NIS-2-Richtlinie im Überblick

Mit der NIS-2-Richtlinie (EU) 2022/2555 gelten ab Oktober 2024
für viele Unternehmen und Organisationen in 18 Sektoren
verpflichtende Sicherheitsmaßnahmen und Meldepflichten –
auch für viele, die bisher nicht betroffen waren.

Muss ab 18. Oktober 2024 in nationales Recht umgesetzt werden

Gilt für folgende Unternehmen

Öffentliche oder private Einrichtungen in 18 relevanten Sektoren, die Dienste oder Tätigkeiten in der EU erbringen, mindestens 50 Beschäftigte haben und 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme

NIS-2 ist eine überarbeitete Version der NIS-1-Richtlinie, die strengere Cybersicherheitsstandards für betroffene Unternehmen vorschreibt. Die Unternehmen sind verpflichtet, sich selbst einzustufen und sich bei der zuständigen Behörde zu registrieren. Betroffene Unternehmen müssen ein Informationssicherheitsmanagementsystem (ISMS) implementieren, um die gesetzlichen Anforderungen zu erfüllen.

Die NIS-2-Richtlinie ist eine Weiterentwicklung der ersten EU-Richtlinie zur Netz- und Informationssicherheit. Ab Oktober 2024 gelten durch sie verbindliche Sicherheitsmaßnahmen und Meldepflichten für Unternehmen und Organisationen in 18 kritischen Sektoren. Diese betreffen auch viele, die bisher nicht betroffen waren. Die Richtlinie ersetzt die NIS Directive von 2016 und strebt ein verbessertes gemeinsames Cybersicherheitsniveau in der EU an. Im Vergleich zur vorherigen NIS Directive erweitert NIS-2 deutlich den Kreis der betroffenen Unternehmen, ihre Pflichten und die behördliche Überwachung. Bei Verstößen drohen erhebliche Geldstrafen.

NIS-2 legt strenge Sicherheitsanforderungen sowie Meldepflichten für Unternehmen in 18 kritischen Sektoren fest. Ziel ist die Stärkung der Widerstandsfähigkeit und Abwehrfähigkeiten gegenüber Cyberangriffen und die Verbesserung der Zusammenarbeit zwischen den Mitgliedstaaten. Die Richtlinie umfasst auch Sanktionen bei Nichteinhaltung und verstärkt die Rolle der nationalen Behörden in der Umsetzung.

  • Die EU-weite NIS-2-Richtlinie (EU) 2022/2555 ist seit 2023 auf EU-Ebene in Kraft.
  • Es handelt sich um eine Richtlinie, die nicht unmittelbar angewendet wird, sondern erst in nationales Recht umgesetzt werden muss.
  • Die Umsetzung in nationales Recht muss bis zum 18. Oktober 2024 erfolgen.
  • Die NIS2-Richtlinie legt einen Mindeststandard fest, wodurch den EU-Staaten die Möglichkeit gegeben wird, strengere Vorschriften zu erlassen.
  • In Deutschland ist bisher ein Referentenentwurf für das NIS2-Umsetzungsgesetz bekannt.

In Deutschland sind Schätzungen zufolge zwischen 29.000 bis 40.000 Unternehmen von der NIS 2 betroffen.

Die NIS-2-Richtlinie gilt für öffentliche oder private Einrichtungen in 18 Sektoren, die als mittlere oder größerer Unternehmen gelten und ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben

Dies sind Unternehmen, mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme

Die NIS-2 Directive betrifft Organisationen in 18 Sektoren, die in Anhang I und II aufgelistet sind. Für jeden Sektor wird dort genau festgelegt, welche Art von Organisation betroffen ist. Daher ist entscheidend, ob Ihre Organisation einer der genannten Arten entspricht. Eine detailliertere Definition dieser Organisationen finden Sie in Anhang I und Anhang II.

Übersicht der 18 betroffenen Sektoren

Energie

Verkehr

Bankwesen

Finanzmarktinfrastrukturen

Gesundheitswesen

Trinkwasser

Abwasser

Digitale Infrastruktur

Verwaltung von IKT-Diensten (B2B)

Öffentliche Verwaltung

Weltraum

Post- und Kurierdienste

Abfallbewirtschaftung

Produktion Herstellung und Handel mit chemischen Stoffen

Produktion, Verarbeitung und Vertrieb von Lebensmitteln

Verarbeitendes Gewerbe/Herstellung von Waren

Anbieter digitaler Dienste

Forschung

Wir helfen Ihnen gerne herauszufinden, ob Sie von der NIS-2 Richtlinie betroffen sind.

Was müssen betroffene Unternehmen und Organisationen tun?

Unternehmen und Organisationen, die von der NIS-2-Richtlinie betroffen sind, müssen eine Reihe von Maßnahmen ergreifen, um die Cybersicherheit zu erhöhen und die Einhaltung der Vorschriften zu gewährleisten. Im Kapitel 4 der EU-Richtlinie sind diese detailiert beschrieben.

Risikomanagementmaßnahmen im Bereich der Cybersicherheit (Artikel 21)

Es müssen angemessene Sicherheitsmaßnahmen ergriffen werden, um Risiken für Netz- und Informationssysteme zu beherrschen. Diese Maßnahmen müssen dem aktuellen Risiko angemessen sein und verschiedene Faktoren wie Risikoexposition, Größe der Einrichtung und die Wahrscheinlichkeit von Sicherheitsvorfällen berücksichtigen.

Die erforderlichen Maßnahmen sollten einen ganzheitlichen Ansatz verfolgen und folgende Aspekte umfassen:

Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme

  • Bewältigung von Sicherheitsvorfällen
  •  
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  •  
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  •  
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  •  
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit

Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit

  •  
  • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  •  
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  •  
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
  •  

Meldepflicht von Sicherheitsvorfällen (Art. 23)

Die Meldepflicht von Sicherheitsvorfällen ist ein wesentlicher Bestandteil des Risikomanagements in Unternehmen und Organisationen.Die NIS-2-Richtlinie schreibt vor, dass erhebliche Sicherheitsvorfälle innerhalb bestimmter Fristen der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Die Verantwortung über Maßnahmen liegt bei der Geschäftsführung (Art. 20). Nichtbeachtung der NIS-2-Vorschriften, dies umfasst  Risikomanagementmaßnahmen (Art. 21) oder Meldepflicht von Sicherheitsvorfällen (Art. 23) , kann zu erheblichen Konsequenzen führen. Unternehmen könnten mit strengen Sanktionen konfrontiert werden, die Bußgelder umfassen, welche sich nach dem Schweregrad des Verstoßes richten. Die Meldung erfolgt in drei Phasen:

1. Frühwarnung:
innerhalb von 24 Stunden ab Kenntnis
Verdacht auf rechtswidrige oder böswillige Handlungen.
Klärung, ob der Vorfall grenzüberschreitend ist.
2. Ausführlicher Bericht:
innerhalb von 72 Stunden ab Kenntnis
Erste Bewertung des Sicherheitsvorfalls, einschließlich Schweregrad, Auswirkungen und gegebenenfalls Kompromittierungsindikatoren.
3. Fortschritts-/Abschlussbericht:
Ein Monat nach Meldung
Detaillierte Beschreibung des Vorfalls.
Angaben zur Art der Bedrohung, Ursachen und ergriffenen Abhilfemaßnahmen.
Berücksichtigung etwaiger grenzüberschreitender Auswirkungen.
Previous slide
Next slide
  1. Relevanz für das eigene Unternehmen klären
  2. Verantwortlichkeiten festlegen
  3. Sicherheitsmaßnahmen umsetzen
  4. Geschäftskontinuität für den Sicherheitsvorfall sichern
  5. Meldeverfahren einrichten
Haben Sie Fragen oder wünschen sich mehr Informationen?
Denis Seefeldt und Michael Rode stehen als Ansprechpartner zur Verfügung.