Europäische NIS2-Richtlinie

Das wird in diesem Jahr wichtig!

Was Sie über NIS2 wissen sollten

Die EU hat die Cybersicherheitsvorschriften von 2016 durch die NIS2-Richtlinie von 2023 aktualisiert, um den Herausforderungen der zunehmenden Digitalisierung und der sich wandelnden Bedrohungslandschaft gerecht zu werden.

🚀 Bis zum 17. Oktober 2024 müssen EU-Länder die Security-Mindeststandards für die Bekämpfung von Cyberangriffen in nationales Recht umsetzen. Die Richtlinie erweitert den Anwendungsbereich auf neue Sektoren, verbessert die Resilienz von öffentlichen und privaten Einrichtungen sowie der EU insgesamt und zielt darauf ab, das Gesamtniveau der Cybersicherheit in der EU zu erhöhen. Die Mitgliedstaaten müssen sich vorbereiten, indem sie über angemessene Ressourcen wie Computer Security Incident Response Teams
(CSIRTs) und nationale Behörden für Netzwerk- und Informationssysteme (NIS) verfügen.

🚀 Die Richtlinie fördert die Zusammenarbeit zwischen den Mitgliedstaaten und die Entwicklung einer Sicherheitskultur in kritischen Sektoren wie Energie, Verkehr, Gesundheitsversorgung und digitaler Infrastruktur.

🚀 Unternehmen in diesen Sektoren müssen angemessene Sicherheitsmaßnahmen ergreifen und schwere Vorfälle den nationalen Behörden melden. Wichtige Anbieter digitaler Dienste müssen ebenfalls den Sicherheitsanforderungen der Richtlinie entsprechen. Besonders für Unternehmen, die bisher nicht von der NIS-Richtlinie betroffen waren, bedeutet das eine große Herausforderung.

"Durch die NIS2-Richtlinie werden viele Unternehmen mit IT-Sicherheitsanforderungen konfrontiert, die sich bis dato noch kaum mit dem Thema Cybersicherheit beschäftigt haben. Wir können helfen, hier Klarheit zu schaffen."

Marco Witzgall

Business Development Manager

Sind Sie von NIS2 betroffen?

Die NIS2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die am 16. Januar 2023 in Kraft getreten ist. Welche Unternehmen die NIS2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz. Unterschieden werden dabei mittlere und große Unternehmen:

1. Mittlere Unternehmen, mit 50 bis 250 Mitarbeitern und einem Jahresumsatz von 10 bis 50 Millionen EUR oder einer Jahresbilanzsumme von weniger als 43 Millionen EUR oder

2. Große Unternehmen, mit mehr als 250 Mitarbeitern und einem Jahresumsatz von mehr als 50 Millionen EUR Umsatz oder einer Jahresbilanzsumme mit mehr als 43 Millionen EUR

Wesentliche Sektoren

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Raumfahrt
  • Verwaltung von IKT-Diensten
  • Öffentliche Verwaltung
  • Digitale Infrastruktur

Wichtige Sektoren

  • Wichtiger Sektor
  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Anbieter digitaler Dienste
  • Produktion/Verarbeitung/Vertrieb von Lebensmitteln
  • Forschung
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Produktion/Herstellung/Handel mit chemischen Stoffen

Regulierung unabhängig der Größe

  • Öffentliche Verwaltung bis hin zur lokalen Ebene
  • Bildungseinrichtungen
  • ÖPNV
  • Dienste mit grenzübergreifenden Auswirkungen im Störungsfall
  • Dienste mit Auswirkungen auf die öffentliche Ordnung, Sicherheit, Gesundheit im Störungsfall
  • Domänennamen-Registrierungsdienste

Welche Maßnahmen sind laut NIS2 erforderlich?

Im Unterschied zur ersten NIS-Richtlinie fordert die aktuelle EU-Richtlinie bereits auf europäischer Ebene konkretere Maßnahmen. Die EU legt besonderen Wert darauf, dass bedeutende Organisationen in technischer, operativer und organisatorischer Hinsicht handeln.

Hierbei steht das Prinzip der Verhältnismäßigkeit im Mittelpunkt. Es wird nicht erwartet, dass Unternehmen aufgrund dieser Maßnahmen in den finanziellen Ruin getrieben werden. Die ergriffenen Maßnahmen sollten dem aktuellen Stand der Technik und auch den europäischen Normen entsprechen. Die Kosten der Umsetzung sollen ein Sicherheitsniveau gewährleisten, das dem bestehenden Risiko angemessen ist. Die Richtlinie definiert bereits recht genau, was Verhältnismäßigkeit für die EU bedeutet.

Es ist erkennbar, dass der risikobasierte Ansatz, der bereits in der ersten NIS-Richtlinie enthalten war, weiter ausgebaut wurde und einen noch höheren Stellenwert hat. 

Neu hinzugekommen ist auch ein ansatzübergreifender Fokus. Das bedeutet, dass Netz- und Informationssysteme nicht nur gegen Cyberangriffe, sondern auch gegen physische Bedrohungen geschützt sein müssen. Auch die Sicherheit der Lieferkette wird erstmals berücksichtigt und muss gewährleistet sein. Darüber hinaus werden in der Richtlinie Mindestmaßnahmen zur Risikoreduzierung vorgestellt. 

Gemäß der NIS2-Richtlinie sind die oben aufgeführten Branchen verpflichtet, Behörden und Dienstleistungsempfängern jeden Sicherheitsvorfall zu melden, der erhebliche Auswirkungen auf kritische Dienstleistungen hat. Dabei muss auch mitgeteilt werden, welche Sofortmaßnahmen die Empfänger als Reaktion auf diese Bedrohung ergreifen können. 

Im Falle eines erheblichen Sicherheitsvorfalls muss die Organisation innerhalb von 24 Stunden nach Kenntnisnahme eine Frühwarnung abgeben. Spätestens nach 72 Stunden muss eine erste Bewertung des Sicherheitsvorfalls erfolgen. Innerhalb eines Monats muss der nationalen Behörde ein Abschlussbericht mit den ergriffenen Maßnahmen übermittelt werden.

Folgende Maßnahmen sind als Bestandteil der NIS2 definiert und müssen für eine Konformität betrachtet werden (Kapitel IV, Artikel 21):

  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagement-Maßnahmen im Bereich der Cybersicherheit
  • Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptograpfie und ggf. Verschlüsselung
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie ggf. gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
  • Bewältigung von Sicherheitsvorfällen
  • Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  • Aufrechterhaltung des Betriebs, wie Backupmanagement und Wiederherstellung nach einem Notfall (Disaster-Recovery) und Krisenmanagement

Ausweitung und Verschärfung der Strafen 
- nun auch für Geschäftsführer und C-Level

Erstmals hat die Europäische Union auch die Geschäftsführer der Unternehmen in die Haftung genommen. Die Geschäftsführer der Unternehmen haften ab sofort sowohl mit dem Firmen- als auch mit dem Privatvermögen bei möglichen Verstößen gegen die Richtlinien. Weitere Konsequenzen sind nachfolgend bei Nichteinhaltung der NIS2-Richtlinie aufgeführt.

Für wesentlichen Sektor:

  • Vor-Ort-Kontrollen: Ad-Hoc-Prüfungen erfolgen proaktiv, ohne Anlass
  • Geldbußen von bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes

Für wichtigen Sektor:

  • Vor-Ort-Kontrollen: Wichtige Einrichtungen werden anlassbezogen beaufsichtigt
  • Geldbußen von bis zu 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes

Die Pflichten aus NIS2 sind für alle Sektoren gleich. Bei Sanktionen wird nicht zwischen besonders wichtigen Einrichtungen und kritischen Anlagen unterschieden, sondern zwischen fahrlässigem und vorsätzlichem Verschulden.

Werden Sie jetzt aktiv!
Unsere Experten helfen Ihnen.

Wir unterstützen Sie bei der Umsetzung der NIS2-Richtlinie und der Optimierung Ihrer Sicherheitsmaßnahmen gemäß den EU-Mindestanforderungen. Gemeinsam mit Ihnen analysieren unsere Experten die organisatorischen und technischen Gegebenheiten in Ihrem Unternehmen. Auf Grundlage dieser Erkenntnisse entwickeln wir einen individuellen Maßnahmenplan mit definierten Ziele. Wir legen großen Wert auf Verhältnismäßigkeit, um sicherzustellen, dass die vorgeschlagenen Sicherheitsmaßnahmen im Einklang mit den Bedürfnissen und Ressourcen Ihres Unternehmens stehen.

Prüfen Sie jetz ob Sie NIS2-konform sind!

Zum IT-Sec-Check

Sprechen Sie mit unserem Experten