NIS-2-Richtlinie: Netzwerk- und Informationssysteme in der EU sollen noch sicherer gegen Cyberbedrohungen werden

EU-Maßnahmen zur Stärkung der Cybersicherheit

Die Richtlinie NIS (Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit) ist Teil der europäischen Cybersicherheitsstrategie und verfolgt das Ziel, die Cybersicherheit kritischer Infrastrukturen (KRITIS) in der EU zu stärken. Sie verpflichtet die Betreiber, Mindeststandards zum Schutz ihrer Netzwerk- und Informationssysteme gegen Cyber Aktivitäten einzuhalten. Cyberbedrohungen stellen ein erhebliches Risiko für unsere Wirtschaft dar. Am 16.1.2023 ist die NIS-2-Richtlinie in Kraft getreten. Die Mitgliedstaaten der EU haben nun bis zum 17.10.2024 Zeit, die dort getroffenen Verpflichtungen in ihren Ländern umzusetzen.

Betroffene Unternehmen

Die NIS-2-Richtlinie umfasst im Bereich der hohen Kritikalität Energieversorger, Verkehrsunternehmen, Internet- und Cloud-Anbieter, Banken, Gesundheitsdienstleister, Institute im Bereich der Raumfahrt und die öffentliche Verwaltung. Sonstige kritische Sektoren sind Chemie- und Lebensmittelindustrie, Post- und Kurierdienste, Abfallwirtschaft, die Autoindustrie und digitale Dienste. Eine vollständige Liste der KRITIS finden Sie hier

Die neue NIS-2-Richtlinie – was sie im Kern bedeutet

Die betroffenen Sektoren wurden durch die NIS-2-Richtlinie erweitert und in „wesentlich“ sowie „wichtig“ eingeteilt.

Bislang bestanden je nach Größe und Kritikalität schon verschiedene, in diese Richtung gehende Anforderungen. Die BSI-Kritisverordnung sei hier exemplarisch genannt. Aufgrund der steigenden Bedeutung der Cybersicherheit und des IT-Risikomanagements sind von den Anforderungen nun mehr als die bekannten KRITIS-Sektoren betroffen. Die NIS-2-Richtlinie unterscheidet elf wesentliche (essential) Sektoren und sieben wichtige (important) Sektoren. Wobei alle mittleren und großen öffentlichen sowie privaten Einrichtungen, die in den von der NIS-2-Richtlinie erfassten Sektoren tätig sind oder dort genannte Dienste erbringen, in deren Anwendungsbereich fallen. Zu den KRITIS gehören Energieversorger, öffentliche Verwaltung und das Gesundheitswesen, aber auch Post- und Kurierdienste, Abfallbewirtschaftung, Anbieter digitaler Dienste und Forschung. Kleine Unternehmen sind von der NIS-2-Direktive kaum betroffen. In der NIS-2-Richtlinie sind Schwellenwerte von mindestens 50 Mitarbeiter:innen und 10 Mio. € Jahresumsatz festgelegt. 

Das Maßnahmenset rund um die Cybersicherheit wurde verstärkt

Die Maßnahmen der NIS-2-Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau werden in fünf Kernbereiche aufgeteilt: 

  • Risikomanagementmaßnahmen
  • Governance
  • Berichtspflichten
  • Informationsaustausch
  • Freiwillige Informationsmeldungen

Die NIS-2-Richtlinie fordert im Rahmen des Risikomanagements das Ergreifen geeigneter und verhältnismäßiger technischer, operativer und organisatorischer Maßnahmen (z.B. regelmäßige Penetrationstests). Dabei steht ein gefahrenübergreifender Ansatz im Fokus, der den Schutz der Netz- und Informationssysteme sowie  der physischen Umwelt vor Sicherheitsvorfällen gewährleisten soll. Maßnahmen für die Sicherheit der Entwicklungsprozesse sind genauso zu treffen wie die Risikobewertung in Bezug auf die Sicherheit kritischer Lieferketten. Für die Umsetzung und Einhaltung wird ausdrücklich das Management mit einbezogen (Governance). Sicherheitsvorfälle mit erheblichen Auswirkungen auf die Erbringung der Unternehmensdienstleistungen sind zu melden. Zudem ist auch die unverzügliche Mitteilung an Empfänger der Unternehmensdienste, die potenziell von einer erheblichen Cyberbedrohung betroffen sind, mit allen Maßnahmen oder Abhilfemaßnahmen verpflichtend, die auf diese Bedrohung ergriffen werden können. Die wesentlichen und wichtigen Einrichtungen sind untereinander zum Informationsaustausch verpflichtet.

Härtere Sanktionen greifen

Bei Nichterfüllung der Pflichten können die betroffenen Unternehmen Bußgelder von bis zu 10 Mio. € bzw. 2 % des gesamten weltweiten Umsatzes, der im vorangegangenen Geschäftsjahr getätigt wurde, treffen.

Umsetzungstipps

Nach dem Inkrafttreten am 16.1.2023 haben die Mitgliedstaaten 21 Monate Zeit, die NIS-2-Richtlinie in nationales Recht umzusetzen. Unternehmen können diese Zeit nutzen, um sich mit den Inhalten der Richtlinie vertraut zu machen, Risikobewertungen für ihre Organisation vorzunehmen und ein Informationssicherheitsmanagementsystem zu etablieren oder zu verbessern.
Wir empfehlen dringend, in der verbleibenden Zeit bis Oktober 2024 und somit bereits jetzt eine Gap-Analyse durchzuführen, konkrete Handlungsfelder zu ermitteln und schrittweise das Cybersicherheitsniveau zu erhöhen.

Wir helfen Ihnen u.a. wie folgt:

  • Schulung NIS-2-Inhalte
  • Durchführung Gap-Analyse
  • Würdigung juristischer Detailfragen
  • ISMS-Beratung
  • Durchführung von Penetrationstests
  • Überprüfung bzw. Anpassung der IT-Verträge mit Dienstleistern (Auslagerungsprüfung)
  • Überwachung IT-Systeme (SOC as a Service) (https://www.csoc.de/)
  • Umsetzungsberatung
  • Projektbegleitende Prüfung

Zurück

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Fabrice Voigt

IT-Prüfer/Berater, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE), ISO 27001-Certified Inform. Security Auditor

Zum Profil von Fabrice Voigt

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Cyber Security IT-Prüfung und Beratung IT-Sicherheit

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
YouTube Video laden
Permalink