NIS2: Alles zur EU-Richtlinie für Cyber-Sicherheit
Die NIS2-Richtlinie ist eine EU-Richtlinie, die die Cyber-Resilienz europäischer Mitgliedstaaten und Unternehmen durch verschärfte Regeln stärkt. Zu den wichtigsten Inhalten zählt die Implementierung von Sicherheitsmaßnahmen für verbesserten IT-Schutz sowie Sicherheitsprüfungen und schnelle Meldewege bei Cybervorfällen.
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie der Europäischen Union zielt darauf ab, die Widerstandsfähigkeit gegen Cyberbedrohungen in kritischen und bedeutenden Infrastrukturen der Mitgliedsstaaten zu verbessern. Die Abkürzung NIS2 steht dabei für „Network and Information Security 2“ (dt. Netzwerk- und Informationssicherheit). Mit ihrem Inkrafttreten am 16. Januar 2023 hat sie die Vorgängerrichtlinie NIS1 abgelöst, die bereits ein Umdenken hinsichtlich IT-Sicherheit bewirkte.
Um sowohl im privaten als auch im öffentlichen Sektor der EU-Mitgliedsstaaten für maximalen Schutz zu sorgen, führt die neue NIS2-Richtlinie umfassendere und schärfere Regeln für eine größere Zielgruppe ein. Das strengere Regelwerk soll auf diese Weise für eine stärkere Cyber-Resilienz und ein wirksameres Vorgehen gegen Cyberbedrohungen und Sicherheitslücken sorgen. NIS2 soll zudem sicherstellen, dass kritische Einrichtungen zur Versorgung der Bevölkerung mit lebenswichtigen Waren oder Dienstleistungen auch im Krisenfall gegen Ausfälle und Störungen geschützt sind.
Die Hauptaufgabe der NIS2 besteht darin, Unternehmen besser darauf vorzubereiten, Cyberangriffe zu verhindern und auf IT-Störungen effizient und schnell zu reagieren. Durch eine konsistentere Sicherheitsstrategie in den EU-Staaten soll somit sowohl auf nationaler als auch auf internationaler Ebene im EU-Raum höchstmögliche Cybersicherheit geschaffen werden. Alle Mitgliedsländer müssen die Richtlinie in nationales Recht umsetzen, was sowohl kleine und mittlere als auch große Unternehmen betrifft, die unter die neuen Regelungen fallen.
Was ändert sich durch die NIS2-Richtlinie?
Die Pflicht zur Umsetzung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) bringt in 18 verschiedenen Sektoren tiefgreifende Neuerungen mit sich. Unter anderem werden mehr als doppelt so viele Sektoren als kritisch eingestuft und der Bußgeldkatalog bei Nichteinhaltung verschärft. Zudem werden Geschäftsleiter in die Pflicht genommen. Betroffen sind somit in Deutschland beispielsweise bis zu 40.000 Unternehmen mit mehr als 50 Mitarbeiterinnen und Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro.
Alle Änderungen durch die NIS2-Richtlinie im Überblick:
- Ausweitung des Kreises kritischer Bereiche: NIS2 stuft noch mehr Sektoren als kritisch ein.
- Strengere Strafmaßnahmen: Die Richtlinie erhöht Geldbußen für Verstöße erheblich.
- Verantwortung der Führungskräfte: Geschäftsführende Personen tragen nun die direkte Verantwortung für die Einhaltung von Cybersicherheitsrichtlinien.
- Erweiterte Anwendungsbereiche: Die NIS2-Richtlinie gilt für Unternehmen mit über 50 Mitarbeitenden oder einem Umsatz von mehr als 10 Millionen Euro sowie für einige Unternehmen unabhängig von ihrer Größe.
- Notwendigkeit umfassender Risikoanalysen: Unternehmen haben die Pflicht, gründliche Risikoanalysen durchzuführen.
- Erforderliches Risiko- und Sicherheitsmanagement: Es gelten strenge Anforderungen an das Risikomanagement und die Sicherheitsmaßnahmen. Verschiedene Schutzmaßnahmen wie Penetrationstests, Hardware-Firewalls, und Backup-Strategien sind verpflichtend.
- Verpflichtendes Krisenmanagement: Bei Sicherheitsvorfällen sind schnelle und effektive Krisenmanagementstrategien, Kommunikationswege und Meldesysteme erforderlich.
- Nutzung bestehender Sicherheitsprotokolle: Unternehmen können bestehende Sicherheitsstandards aus regulierten Branchen als Referenz nutzen.
- Schutz vor Ransomware-Attacken
- Geplante Viren-Scans
- Automatische Backups, einfache Wiederherstellung
Wer ist von der NIS2-Richtlinie betroffen?
NIS2 unterscheidet Unternehmen in die erweiterte Kategorie „wesentlich“ (essential) und die Kategorie „wichtig“ (important), die gänzlich neu ist. Unmittelbar betroffen sind Unternehmen mit mehr als 50 Mitarbeiterinnen und Mitarbeitern oder einem Jahresumsatz ab 10 Millionen Euro. Zusätzlich können Unternehmen auch unabhängig von ihrer Größe unter die NIS2 fallen, wenn durch ihren Ausfall Systemrisiken entstehen. Die Kategorie „wesentlich“ umfasst Unternehmen aus elf Sektoren, zu denen insbesondere KRITIS-Unternehmen mit gravierender Bedeutung für das staatliche Gemeinwesen zählen. Die Kategorie „wichtig“ gilt wiederum für sieben systemrelevante Sektoren.
Wesentliche Branchen und Unternehmen
- Energie
- Wasserversorgung
- Transport
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Weltraum
- Abwasser
- Öffentliche Verwaltung
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (B2B)
Wichtige Branchen und Unternehmen
- Post- und Kurierdienste
- Abfall
- Chemische Industrie
- Lebensmittelversorgung
- Anbieter digitaler Dienste
- Industrie (verarbeitendes/herstellendes Gewerbe)
- Forschung (fakultativ)
Welche Pflichten gelten für Unternehmen?
Im Rahmen von NIS2 gehen für Unternehmen strenge Pflichten und signifikante Änderungen einher. Dazu zählen:
Pflichten | Maßnahmen |
---|---|
Risikomanagement und Business Continuity Management (§30, 31) | Verschlüsselung, Multi-Faktor-Authentifizierung, Kryptografie, Cyberhygiene, Rollenvergabe und Zugriffskontrolle, Backup-Management und Systemwiederherstellung, Lieferkettensicherheit sowie Risikoanalysen zählen zum Pflichtprogramm. Die Mindestvoraussetzungen unterscheiden sich dank „Size cap“-Regel je nach Unternehmensgröße. |
Melde- und Unterrichtungspflichten (§32, 35) | Bedeutende Sicherheitsvorfälle müssen innerhalb von 24 Stunden an das BSI bzw. das CSIRT (Cybersecurity Incident Response Team) gemeldet werden. Erste Bewertungen müssen nach 72 Stunden vorliegen. Ein ausführlicher Abschlussbericht ist innerhalb eines Monats erforderlich. |
Registrierungspflichten (§33, 34) | Betroffene Einrichtungen sowie Domain-Name-Registry-Diensteanbieter müssen spätestens drei Monate nach Inkrafttreten der NIS2 über eine entsprechende Registrierungsmöglichkeit Angaben an das BSI und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übermitteln. Sollte die Registrierungspflicht nicht wahrgenommen werden, so kann diese auch vom BSI erfüllt werden. |
Billigungs-, Überwachungs- und Schulungspflichten für Geschäftsleiter (§38) | Eine Delegierung von Sicherheitsmaßnahmen von Seiten der Geschäftsführung genügt nicht mehr. Die Geschäftsführung muss aktiv erforderliche Maßnahmen billigen und ist teilweise zu Schulungen verpflichtet. |
Aufsichts- und Durchsetzungsmaßnahmen (§61, 62) | Das BSI agiert voraussichtlich als Aufsichtsbehörde für die Einhaltung der erforderlichen Maßnahmen. Frühestens drei Jahre nach Inkrafttreten der NIS2 hat die Aufsichtsbehörde die Möglichkeit, Nachweise für die Einhaltung der Pflichten anzufordern. Bei Gefahr in Verzug können Maßnahmen angeordnet werden. |
Wie lässt sich die NIS2-Umsetzung erleichtern?
Um frühzeitig Ihre Pflichten als betroffenes Unternehmen einzuhalten, sollten Sie folgende Maßnahmen ergreifen:
- IST- und SOLL-Analyse: Prüfen Sie, ob Sie von den NIS2-Pflichten betroffen sind und ermitteln Sie den Status Quo sowie das Verbesserungspotenzial Ihrer Cyber-Resilienz im Unternehmen.
- Implementierung: Risikoanalyse- und Sicherheitskonzepte müssen für alle Informationssysteme eingeführt werden.
- Bewertung: Die Wirksamkeit der eigenen Risikomanagementmethoden sollte regelmäßig überprüft werden.
- Erstellung: Es besteht die Pflicht, ein Konzept zum Umgang mit Sicherheitsvorfällen zu entwickeln.
- Backup- und Krisenmanagement: Maßnahmen zur Datensicherung und Krisenbewältigung müssen umgesetzt werden.
- Meldesystem: Ein effektives Meldesystem für Sicherheitsvorfälle sollte eingerichtet werden.
- Schulungen: Mitarbeiter müssen regelmäßig geschult werden.
- Sicherheit der Lieferkette: Die Sicherheit in der Lieferkette ist zu gewährleisten.
Was passiert, wenn NIS2 nicht umgesetzt wird?
Unternehmen, die die vorgeschriebenen Maßnahmen nicht umsetzen, müssen mit erheblichen Geldstrafen (§65) rechnen. Die Aufsichtsbehörden erhalten gemäß NIS2 umfassende Aufsichts-, Kontroll- und Weisungsbefugnisse inklusive der Durchsetzung von Fristen. Darüber hinaus übernehmen Geschäftsleiterinnen und Geschäftsleiter deutlich mehr Verantwortung für Schutz- und Sicherheitsmaßnahmen und können bei Verstößen oder Nachlässigkeit persönlich haftbar gemacht werden (§38, §61).
Wann tritt die NIS2-Richtlinie in Kraft?
Am 14. Dezember 2022 verabschiedeten das Europäische Parlament und der Rat die Richtlinie (EU) 2022/2555, bekannt als NIS2-Richtlinie. Als Ablösung der NIS-Richtlinie trat sie am 16. Januar 2023 offiziell in Kraft. Bis zum 17. Oktober 2024 muss sie von allen EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Sie führt umfassende Änderungen an der eIDAS-Verordnung (EU) Nr. 910/2014 und der EECC-Richtlinie (EU) 2018/1972 ein.
In Deutschland sind über 30.000 Unternehmen und Institutionen von der Umsetzungspflicht der NIS2 betroffen. Das bedeutet einen deutlichen Anstieg um mehr als die Hälfte im Vergleich zur NIS1. Derzeit existieren zwei Referentenentwürfe und ein Diskussionspapier, die den Rahmen und die Inhalte des deutschen Änderungsgesetzes NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) definieren. Zentrale Stelle für die Umsetzung ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).