Was ist eigentlich NIS-2?

Bis zum 17. Oktober 2024 muss die NIS2-Richtlinie in Deutschland umgesetzt werden. Wir erklären, wer betroffen ist und worauf zu achten ist.

Europaweiter Cyber-Sicherheit durch NIS-2

Was ist NIS?

Als NIS wird die Netz- und Informationssicherheit-Richtlinie bezeichnet, die sich mit der Verbesserung der IT-Landschaft in der EU beschäftigt und zusätzlich viele Regeln und Leitfäden schafft, vor allem in Bezug auf Cybersicherheit.

Die NIS2-Richtlinie baut auf die NIS-Richtlinie aus dem Jahr 2016 auf und erweitert deren Anwendungsbereich. Damit sind wesentlich mehr Unternehmen und Organisationen von den Anforderungen betroffen, als bisher: Schätzungsweise zwischen 29.000 und 40.000 Unternehmen bezieht die neue Regelung zusätzlich allein in Deutschland ein.

Möchtest du direkt wissen, wie du NIS-2 für dich nutzen kannst? Dann schau dir unsere Handlungsempfehlungen an.

Wie ist NIS entstanden?

Am 06. Juli 2016 verabschiedete die Europäische Union die „Network and Information Security directive“ für eine europaweiten Erhöhung der Cybersicherheit.

Grund dafür war u.a. die enorme Bedeutung von Netz- und Informationssystemen im europäischen Waren-, Dienstleistungs- und Personenverkehr. Um in diesen Bereichen eine stabile und sichere Infrastruktur gewährleisten zu können, wurde zur Sicherung der digitalen Bestandteile innerhalb von Prozessen nach einem einheitlichen Rechtsrahmen gesucht.

Mit der Schaffung einer europaweiten Cyberresilenz wurden nicht nur einheitliche nationale Ressourcen für Cybersicherheit angestrebt, es wurde auch die innereuropäische Zusammenarbeit der Mitgliedsstaaten gefördert.

Zeitstrahl Entstehung NIS-2

Wofür gibt es NIS?

Die Europäische Union setzt mit Hilfe der NIS-Richtlinie Mindestsicherheitsanforderungen für Netz- und Informationssysteme. Dies dient der Absicherung und Aufrechterhaltung wesentlicher Dienste und Dienstleistungen in verschiedenen Sektoren, die digitale Systeme beinhalten und von entscheidender Bedeutung für die nationale Infrastruktur sind.

Damit wird eine allgemeine Verbesserung der Cybersicherheitslage erwirkt und eine einheitliche Resilienz gegenüber Cyberangriffen auf entscheidende Knotenpunkte der Infrastruktur aufgebaut. Diese Widerstandsfähigkeit betrifft vor allem kritische bzw. entscheidende Sektoren wie Energie, Verkehr, Gesundheitswesen und Finanzwesen.

Durch die gemeinsame Erarbeitung und den ständigen Austausch über die Sicherheitsrichtlinien und Bedrohungslagen wird die Zusammenarbeit der Mitgliedsstaaten gestärkt. Das soll vor allem bei länderübergreifenden Cyberangriffen zunutze gemacht werden und im Schadensfall eine schnellere und effizientere Aufarbeitung zufolge haben. Anknüpfend daran sorgt die Meldepflicht von Sicherheitsvorfällen dafür, dass andere Mitgliedsstaaten sich auf gleiche oder ähnliche Angriffe vorbereiten können und so frühzeitig mit Gegenmaßnahmen reagieren zu können.

Warum gibt es jetzt NIS-2?

Mit NIS-2 reagiert die EU auf Mängel bzw. Lücken, die in der ursprünglichen Richtlinie vorhanden waren. Einige Kritikpunkte waren so z. B., dass zu wenig Branchen bedacht worden, wenn eine einheitliche Widerstandfähigkeit gegen Cyberangriffe in der Wirtschaft und Gesellschaft erreicht werden soll.

Wer ist von der NIS2-Richtlinie betroffen?

Die NIS2-Richtlinie teilt die betroffenen Unternehmen in acht wesentliche und sieben wichtige Sektoren ein. Zu den wesentlichen Sektoren gehören u. a. Energie, das Gesundheitswesen und Trink-/ Abwasserunternehmen. Im Bereich der wichtigen Sektoren finden sich u. a. Lebensmittelunternehmen, Post- bzw. Kurierdienste und Forschungseinrichtungen.

Für die NIS2-Richtlinie untergliedert die Europäische Union die wesentlichen und wichtigen Unternehmen erneut nach ihrer Unternehmensgröße in große und mittlere Unternehmen. Anhand dieser Größen, entscheidet sich der Geltungsbereich der Richtlinie. Weiterhin greifen für die einzelnen Größen spezielle Umsetzungsmaßgaben bzw. Strafen bei Nichteinhaltung.

Vorgaben für mittlere Unternehmen gelten sowohl für wesentliche als auch für wichtige Sektoren, wenn mindestens 50 Mitarbeiter im Unternehmen beschäftigt sind und ein Jahresumsatz bzw. eine Bilanz von mind. 10 Mio. € vorliegt.
Allein im wesentlichen Sektor gelten für große Unternehmen strengere Vorgaben, wenn mehr als 250 Mitarbeiter im Betrieb arbeiten und einen Umsatz von mind. 50 Mio. € bzw. eine Bilanz von 43 Mio. € vorliegt.

Zusätzlich zu diesen vordefinierten Geltungsbereichen, können vereinzelt auch Betriebe unterhalb der Größenschwellenwerte unter NIS-2 fallen, wenn sie mit ihren Dienstleitungen und Produkten kritische bzw. gesellschaftlich- und ökonomisch relevant für das Land sind.

Mit dem NIS2-Check können Sie in wenigen Schritten herausfinden, ob Ihr Unternehmen von der Richtlinie betroffen ist.

Überblick wichtige und wesentliche Sektoren NIS-2

Welche Anforderungen beinhaltet die NIS2-Richtlinie?

In der NIS2-Richtlinie werden potenzielle Cyber-Gefahren beachtet. So werden Anforderungen an Netzwerke, IT-Infrastruktur, aber auch Hardware gestellt. Vier Geschäftsbereiche sind davon betroffen:

Risikomanagement, Unternehmensverantwortung, Meldepflichten und Business Continuity.

Innerhalb dieser Bereiche sind 10 grundlegende Pflichten umzusetzen für wesentliche und wichtige Sektoren:

Sicherheitsvorschriften für Angestellte, die Zugriff auf sensible und wichtige Daten haben; inklusive Vorgaben zum Datenzugang
– Überblick über alle Vermögenswerte und richtiger Umgang damit in Schadensfall

Notfallplan für den Geschäftsbetrieb während und nach eines Sicherheitsvorfalls
– aktuelle Backups
– Notfallplan für Zugang zu IT-Systemen und deren Betriebsfunktionen während und nach eines Sicherheitsvorfalls

Sicherheitsvorschriften bei der Beschaffung, der Entwicklung und dem Betreiben von Informationssystemen
– Fokus auf den Umgang und das Melden von Schwachstellen

Cybersecurity-Schulungen und Umgang für eine grundlegende „Computerhygiene“

Vorgaben zum Umgang mit Kryptographie und wenn nötig, Verschlüsselungen

Konzepte für den Umgang mit Sicherheitsvorfällen

Risikobewertung und Sicherheitsrichtlinien für Informationssysteme

Regelungen zur Untersuchung der Effektivität der Sicherheitsmaßnahmen

Verwendung von Multi-Faktor-Authentifizierung
– Sprach-, Text- und Videoverschlüsselung sowie verschlüsselte Notfallkommunikation, falls angebracht

Absicherung der Lieferketten
– Bewertung des Sicherheitsniveaus aller Lieferanten
– Ergreifung Sicherheitsmaßnahmen entsprechend der Schwachstellen der jeweiligen Direktlieferanten

Es genügt also nicht, sich auf wenige Punkte zu konzentrieren, man sollte vielmehr auf einen gesamtheitlichen Ansatz Wert legen und möglichst viele Details bedenken. Auch sollte man nicht bis zur Verabschiedung des Gesetzes in Deutschland warten, da viele dieser Punkte Zeit beanspruchen, bis die Umsetzung durchgeführt ist.

Wann tritt NIS-2 in Kraft?

2016 verkündete die Europäische Union die NIS-Richtlinie, die zwei Jahre später ins nationale Recht umzusetzen war. Da Mängel und Lücken für einen effektiven Schutz festgestellt wurden, verkündete die EU im Dezember 2022 den Beschluss für eine Überarbeitung: NIS-2.

Der 17. Oktober 2024 gilt als Deadline für die Umsetzung von NIS-2 in nationales Recht, wird nach aktuellem Stand in Deutschland aber nicht gehalten (siehe NIS-2 Navigator).

Welche Unterschiede gibt es von NIS zu NIS2?

Während die NIS-Richtlinie in den Augen vieler Kritiker zu kurz gedacht war, geht die NIS-2-Richtlinie hier weiter, indem sie alle wichtigen Organisationen zusätzlich zur Kritischen Infrastruktur bzw. den wesentlichen Sektoren betrachtet.

Weiterhin stellt NIS-2 konkretere Anforderungen an betroffene Unternehmen und ist in der Umsetzung deutlicher, um die Komplexität der ursprünglichen Richtlinien aufzubrechen.

Die NIS2-Richtlinie gibt nun einen umfassenden Überblick, was in welchen Bereichen gefordert wird und was im Schadensfall zu tun ist.

Und auch die Überwachung und andere Verantwortlichkeiten wurden deutlicher herausgearbeitet. So steht nun fest, dass für Deutschland zwar als große Aufsichtsbehörde das BSI zuständig für die Kontrolle der Umsetzung ist, es aber auch in der Lage ist an andere Institutionen Aufgaben in diesem Bereich abzugeben.

Welche Sanktionen drohen bei Nichteinhaltung?

Da die Umsetzung von NIS-2 in nationales Recht durch die einzelnen Länder individuell erfolgt, können die Sanktionen von Mitgliedsstaat zu Mitgliedsstaat variieren.

Allgemein werden die Sanktionen aber in drei Kategorien unterteilt:

  1. Nicht-monetäre Sachstrafen
  2. Verwaltungsstrafen
  3. Strafrechtliche Sanktionen

Bei Nichteinhaltung der Sicherheitsvorschriften oder Nichtmeldung von Sicherheitsvorfällen können die Strafen wie folgt ausfallen:

  1. Nicht-monetäre Sachstrafen
  • Compliance-Anordnungen
  • verbindliche Handlungsanweisungen
  • Anordnungen zur Durchführung von Sicherheitsüberprüfungen
  • Anordnung zur Benachrichtigung der Kunden im Schadensfall

Das BSI ist in Deutschland dafür zuständig, die Umsetzung der NIS-2 Maßnahmen zu überprüfen. Stellt es eine ausbleibende oder unzureichende Realisierung der Vorschriften fest, ist es berechtigt, diese Sachstrafen zu verhängen.

  1. Verwaltungsstrafen

Hier werden erste Unterschiede zwischen den wesentlichen und wichtigen Sektoren deutlich: Strafen für Unternehmen im wesentlichen Sektor fallen deutlich höher aus. Hier können Bußgelder in Höhe von 10.000.000 € oder 2% des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Bei Verstößen gegen die NIS-2-Richtlinie von Unternehmen im wichtigen Sektor können immerhin noch Strafen von bis zu 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist.

  1. Strafrechtliche Sanktionen

Die NIS-2-Richtlinie verfolgt in der Verantwortlichkeit für die Umsetzung der Maßnahmen einen neuen Ansatz. Weg vom Druck auf die IT-Abteilung, sollen nun Managements persönlich haftbar gemacht werden für grobe Fahrlässigkeit bei Sicherheitsvorfällen.

Kann diese nachgewiesen werden, können folgende Strafen eintreten:

  • Anordnung der Veröffentlichung von Compliance-Verstöße des Unternehmens
  • bei Sicherheitsvorfall Abgabe öffentlicher Erklärungen zur Identifizierung der natürlichen und juristischen Person(en) und zur Art des Vorfalls
  • bei Unternehmen im wesentlichen Sektor, kann Person bei wiederholten Verstößen ein vorübergehendes Ausübungsverbot von Führungspositionen erhalten

Diese Maßnahmen sollen vor allem das C-Level-Management zur Rechenschaft ziehen, aber primär präventiv zur Einhaltung und Umsetzung der Vorgaben genutzt werden.

Welche Vorteile hat NIS?

Durch die NIS2-Richtlinie werden Unternehmen beauftragt, sich mit den Themen Risikomanagement, Reaktion im Falle eines Angriffs, Business Continuity und technische-/organisatorische Maßnahmen zu beschäftigen. Was zunächst vielleicht nach überflüssiger Arbeit klingt, hilft jedoch im Schadensfall, professionell mit der Situation umzugehen und den finanziellen Schaden so gering wie möglich zu halten. Und auch die Erfahrung der letzten Jahre zeigt: Wer sich früh auf einen Angriff vorbereitet, kann im Ernstfall schneller und besser reagieren und hat die Situation schneller überwunden als diejenigen, die diesen Prozess aufschieben. Es ist keine Frage mehr, ob man angegriffen wird, sondern nur, wann.

Handlungsempfehlung

Bereit für eine reibungslose Umsetzung der NIS2-Richtlinie in Ihrem Unternehmen? Unsere Zusammenfassung bietet Ihnen einfache, auf Ihre Bedürfnisse abgestimmte Ansätze zur erfolgreichen Integration. Lassen Sie sich von unseren Experten unterstützen und bleiben Sie einen Schritt voraus in Sachen Cybersicherheit. Jetzt herunterladen und aktiv werden!

Wo erfahre ich noch mehr?

Wir können mir unserem Wissensartikel nur einen groben Abriss der NIS-2-Richtlinie geben. Da es sich um eine EU-Vorgabe handelt, variiert die Umsetzung national von Mitgliedsstaat zu Mitgliedsstaat.

Trotzdem möchten wir an dieser Stelle die Chance nutzen und auf weiterführende Informationen hinweisen: