Europäische NIS2-Richtlinie

Sind Sie von NIS-2 betroffen?

Die NIS-2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die am 16. Januar 2023 in Kraft getreten ist. Welche Unternehmen die NIS2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz. Unterschieden werden dabei mittlere und große Unternehmen:

1. Mittlere Unternehmen, mit 50 bis 250 Mitarbeitern und einem Jahresumsatz von 10 bis 50 Millionen EUR oder einer Jahresbilanzsumme von weniger als 43 Millionen EUR oder

2. Große Unternehmen, mit mehr als 250 Mitarbeitern und einem Jahresumsatz von mehr als 50 Millionen EUR Umsatz oder einer Jahresbilanzsumme mit mehr als 43 Millionen EUR

Im Unterschied zur ersten NIS-Richtlinie fordert die aktuelle EU-Richtlinie bereits auf europäischer Ebene konkretere Maßnahmen. Die EU legt besonderen Wert darauf, dass bedeutende Organisationen in technischer, operativer und organisatorischer Hinsicht handeln.

Hierbei steht das Prinzip der Verhältnismäßigkeit im Mittelpunkt. Es wird nicht erwartet, dass Unternehmen aufgrund dieser Maßnahmen in den finanziellen Ruin getrieben werden. Die ergriffenen Maßnahmen sollten dem aktuellen Stand der Technik und auch den europäischen Normen entsprechen. Die Kosten der Umsetzung sollen ein Sicherheitsniveau gewährleisten, das dem bestehenden Risiko angemessen ist. Die Richtlinie definiert bereits recht genau, was Verhältnismäßigkeit für die EU bedeutet.

Es ist erkennbar, dass der risikobasierte Ansatz, der bereits in der ersten NIS-Richtlinie enthalten war, weiter ausgebaut wurde und einen noch höheren Stellenwert hat. 

Neu hinzugekommen ist auch ein ansatzübergreifender Fokus. Das bedeutet, dass Netz- und Informationssysteme nicht nur gegen Cyberangriffe, sondern auch gegen physische Bedrohungen geschützt sein müssen. Auch die Sicherheit der Lieferkette wird erstmals berücksichtigt und muss gewährleistet sein. Darüber hinaus werden in der Richtlinie Mindestmaßnahmen zur Risikoreduzierung vorgestellt. 

Gemäß der NIS2-Richtlinie sind die oben aufgeführten Branchen verpflichtet, Behörden und Dienstleistungsempfängern jeden Sicherheitsvorfall zu melden, der erhebliche Auswirkungen auf kritische Dienstleistungen hat. Dabei muss auch mitgeteilt werden, welche Sofortmaßnahmen die Empfänger als Reaktion auf diese Bedrohung ergreifen können. 

Im Falle eines erheblichen Sicherheitsvorfalls muss die Organisation innerhalb von 24 Stunden nach Kenntnisnahme eine Frühwarnung abgeben. Spätestens nach 72 Stunden muss eine erste Bewertung des Sicherheitsvorfalls erfolgen. Innerhalb eines Monats muss der nationalen Behörde ein Abschlussbericht mit den ergriffenen Maßnahmen übermittelt werden.

Folgende Maßnahmen sind als Bestandteil der NIS2 definiert und müssen für eine Konformität betrachtet werden (Kapitel IV, Artikel 21):

• Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
• Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagement-Maßnahmen im Bereich der Cybersicherheit
• Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
• Konzepte und Verfahren für den Einsatz von Kryptograpfie und ggf. Verschlüsselung
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie ggf. gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
• Bewältigung von Sicherheitsvorfällen
• Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
• Aufrechterhaltung des Betriebs, wie Backupmanagement und Wiederherstellung nach einem Notfall (Disaster-Recovery) und Krisenmanagement