NIS-2-Richtlinie: Netzwerk- und Informationssysteme in der EU sollen noch sicherer gegen Cyberbedrohungen werden
EU-Maßnahmen zur Stärkung der Cybersicherheit
Die Richtlinie NIS (Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit) ist Teil der europäischen Cybersicherheitsstrategie und verfolgt das Ziel, die Cybersicherheit kritischer Infrastrukturen (KRITIS) in der EU zu stärken. Sie verpflichtet die Betreiber, Mindeststandards zum Schutz ihrer Netzwerk- und Informationssysteme gegen Cyber Aktivitäten einzuhalten. Cyberbedrohungen stellen ein erhebliches Risiko für unsere Wirtschaft dar. Am 16.1.2023 ist die NIS-2-Richtlinie in Kraft getreten. Die Mitgliedstaaten der EU haben nun bis zum 17.10.2024 Zeit, die dort getroffenen Verpflichtungen in ihren Ländern umzusetzen.
Betroffene Unternehmen
Die NIS-2-Richtlinie umfasst im Bereich der hohen Kritikalität Energieversorger, Verkehrsunternehmen, Internet- und Cloud-Anbieter, Banken, Gesundheitsdienstleister, Institute im Bereich der Raumfahrt und die öffentliche Verwaltung. Sonstige kritische Sektoren sind Chemie- und Lebensmittelindustrie, Post- und Kurierdienste, Abfallwirtschaft, die Autoindustrie und digitale Dienste. Eine vollständige Liste der KRITIS finden Sie hier.
Die neue NIS-2-Richtlinie – was sie im Kern bedeutet
Die betroffenen Sektoren wurden durch die NIS-2-Richtlinie erweitert und in „wesentlich“ sowie „wichtig“ eingeteilt.
Bislang bestanden je nach Größe und Kritikalität schon verschiedene, in diese Richtung gehende Anforderungen. Die BSI-Kritisverordnung sei hier exemplarisch genannt. Aufgrund der steigenden Bedeutung der Cybersicherheit und des IT-Risikomanagements sind von den Anforderungen nun mehr als die bekannten KRITIS-Sektoren betroffen. Die NIS-2-Richtlinie unterscheidet elf wesentliche (essential) Sektoren und sieben wichtige (important) Sektoren. Wobei alle mittleren und großen öffentlichen sowie privaten Einrichtungen, die in den von der NIS-2-Richtlinie erfassten Sektoren tätig sind oder dort genannte Dienste erbringen, in deren Anwendungsbereich fallen. Zu den KRITIS gehören Energieversorger, öffentliche Verwaltung und das Gesundheitswesen, aber auch Post- und Kurierdienste, Abfallbewirtschaftung, Anbieter digitaler Dienste und Forschung. Kleine Unternehmen sind von der NIS-2-Direktive kaum betroffen. In der NIS-2-Richtlinie sind Schwellenwerte von mindestens 50 Mitarbeiter:innen und 10 Mio. € Jahresumsatz festgelegt.
Das Maßnahmenset rund um die Cybersicherheit wurde verstärkt
Die Maßnahmen der NIS-2-Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau werden in fünf Kernbereiche aufgeteilt:
- Risikomanagementmaßnahmen
- Governance
- Berichtspflichten
- Informationsaustausch
- Freiwillige Informationsmeldungen
Die NIS-2-Richtlinie fordert im Rahmen des Risikomanagements das Ergreifen geeigneter und verhältnismäßiger technischer, operativer und organisatorischer Maßnahmen (z.B. regelmäßige Penetrationstests). Dabei steht ein gefahrenübergreifender Ansatz im Fokus, der den Schutz der Netz- und Informationssysteme sowie der physischen Umwelt vor Sicherheitsvorfällen gewährleisten soll. Maßnahmen für die Sicherheit der Entwicklungsprozesse sind genauso zu treffen wie die Risikobewertung in Bezug auf die Sicherheit kritischer Lieferketten. Für die Umsetzung und Einhaltung wird ausdrücklich das Management mit einbezogen (Governance). Sicherheitsvorfälle mit erheblichen Auswirkungen auf die Erbringung der Unternehmensdienstleistungen sind zu melden. Zudem ist auch die unverzügliche Mitteilung an Empfänger der Unternehmensdienste, die potenziell von einer erheblichen Cyberbedrohung betroffen sind, mit allen Maßnahmen oder Abhilfemaßnahmen verpflichtend, die auf diese Bedrohung ergriffen werden können. Die wesentlichen und wichtigen Einrichtungen sind untereinander zum Informationsaustausch verpflichtet.
Härtere Sanktionen greifen
Bei Nichterfüllung der Pflichten können die betroffenen Unternehmen Bußgelder von bis zu 10 Mio. € bzw. 2 % des gesamten weltweiten Umsatzes, der im vorangegangenen Geschäftsjahr getätigt wurde, treffen.
Umsetzungstipps
Nach dem Inkrafttreten am 16.1.2023 haben die Mitgliedstaaten 21 Monate Zeit, die NIS-2-Richtlinie in nationales Recht umzusetzen. Unternehmen können diese Zeit nutzen, um sich mit den Inhalten der Richtlinie vertraut zu machen, Risikobewertungen für ihre Organisation vorzunehmen und ein Informationssicherheitsmanagementsystem zu etablieren oder zu verbessern.
Wir empfehlen dringend, in der verbleibenden Zeit bis Oktober 2024 und somit bereits jetzt eine Gap-Analyse durchzuführen, konkrete Handlungsfelder zu ermitteln und schrittweise das Cybersicherheitsniveau zu erhöhen.
Wir helfen Ihnen u.a. wie folgt:
- Schulung NIS-2-Inhalte
- Durchführung Gap-Analyse
- Würdigung juristischer Detailfragen
- ISMS-Beratung
- Durchführung von Penetrationstests
- Überprüfung bzw. Anpassung der IT-Verträge mit Dienstleistern (Auslagerungsprüfung)
- Überwachung IT-Systeme (SOC as a Service) (https://www.csoc.de/)
- Umsetzungsberatung
- Projektbegleitende Prüfung