NIS-2-Richtlinie im Überblick
Mit der NIS-2-Richtlinie (EU) 2022/2555 gelten ab Oktober 2024
für viele Unternehmen und Organisationen in 18 Sektoren
verpflichtende Sicherheitsmaßnahmen und Meldepflichten –
auch für viele, die bisher nicht betroffen waren.
Muss ab 18. Oktober 2024 in nationales Recht umgesetzt werden
Gilt für folgende Unternehmen
NIS-2 ist eine überarbeitete Version der NIS-1-Richtlinie, die strengere Cybersicherheitsstandards für betroffene Unternehmen vorschreibt. Die Unternehmen sind verpflichtet, sich selbst einzustufen und sich bei der zuständigen Behörde zu registrieren. Betroffene Unternehmen müssen ein Informationssicherheitsmanagementsystem (ISMS) implementieren, um die gesetzlichen Anforderungen zu erfüllen.
Die NIS-2-Richtlinie ist eine Weiterentwicklung der ersten EU-Richtlinie zur Netz- und Informationssicherheit. Ab Oktober 2024 gelten durch sie verbindliche Sicherheitsmaßnahmen und Meldepflichten für Unternehmen und Organisationen in 18 kritischen Sektoren. Diese betreffen auch viele, die bisher nicht betroffen waren. Die Richtlinie ersetzt die NIS Directive von 2016 und strebt ein verbessertes gemeinsames Cybersicherheitsniveau in der EU an. Im Vergleich zur vorherigen NIS Directive erweitert NIS-2 deutlich den Kreis der betroffenen Unternehmen, ihre Pflichten und die behördliche Überwachung. Bei Verstößen drohen erhebliche Geldstrafen.
NIS-2 legt strenge Sicherheitsanforderungen sowie Meldepflichten für Unternehmen in 18 kritischen Sektoren fest. Ziel ist die Stärkung der Widerstandsfähigkeit und Abwehrfähigkeiten gegenüber Cyberangriffen und die Verbesserung der Zusammenarbeit zwischen den Mitgliedstaaten. Die Richtlinie umfasst auch Sanktionen bei Nichteinhaltung und verstärkt die Rolle der nationalen Behörden in der Umsetzung.
- Die EU-weite NIS-2-Richtlinie (EU) 2022/2555 ist seit 2023 auf EU-Ebene in Kraft.
- Es handelt sich um eine Richtlinie, die nicht unmittelbar angewendet wird, sondern erst in nationales Recht umgesetzt werden muss.
- Die Umsetzung in nationales Recht muss bis zum 18. Oktober 2024 erfolgen.
- Die NIS2-Richtlinie legt einen Mindeststandard fest, wodurch den EU-Staaten die Möglichkeit gegeben wird, strengere Vorschriften zu erlassen.
- In Deutschland ist bisher ein Referentenentwurf für das NIS2-Umsetzungsgesetz bekannt.
In Deutschland sind Schätzungen zufolge zwischen 29.000 bis 40.000 Unternehmen von der NIS 2 betroffen.
Die NIS-2-Richtlinie gilt für öffentliche oder private Einrichtungen in 18 Sektoren, die als mittlere oder größerer Unternehmen gelten und ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben
Dies sind Unternehmen, mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme
Die NIS-2 Directive betrifft Organisationen in 18 Sektoren, die in Anhang I und II aufgelistet sind. Für jeden Sektor wird dort genau festgelegt, welche Art von Organisation betroffen ist. Daher ist entscheidend, ob Ihre Organisation einer der genannten Arten entspricht. Eine detailliertere Definition dieser Organisationen finden Sie in Anhang I und Anhang II.
Übersicht der 18 betroffenen Sektoren
Energie
Verkehr
Bankwesen
Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser
Abwasser
Digitale Infrastruktur
Verwaltung von IKT-Diensten (B2B)
Weltraum
Post- und Kurierdienste
Abfallbewirtschaftung
Produktion Herstellung und Handel mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Öffentliche Verwaltung
Verarbeitendes Gewerbe/Herstellung von Waren
Anbieter digitaler Dienste
Forschung
Wir helfen Ihnen gerne herauszufinden, ob Sie von der NIS-2 Richtlinie betroffen sind.
Was müssen betroffene Unternehmen und Organisationen tun?
Unternehmen und Organisationen, die von der NIS-2-Richtlinie betroffen sind, müssen eine Reihe von Maßnahmen ergreifen, um die Cybersicherheit zu erhöhen und die Einhaltung der Vorschriften zu gewährleisten. Im Kapitel 4 der EU-Richtlinie sind diese detailiert beschrieben.
Risikomanagementmaßnahmen im Bereich der Cybersicherheit (Artikel 21)
Es müssen angemessene Sicherheitsmaßnahmen ergriffen werden, um Risiken für Netz- und Informationssysteme zu beherrschen. Diese Maßnahmen müssen dem aktuellen Risiko angemessen sein und verschiedene Faktoren wie Risikoexposition, Größe der Einrichtung und die Wahrscheinlichkeit von Sicherheitsvorfällen berücksichtigen.
Die erforderlichen Maßnahmen sollten einen ganzheitlichen Ansatz verfolgen und folgende Aspekte umfassen:
Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Meldepflicht von Sicherheitsvorfällen (Art. 23)
Die Meldepflicht von Sicherheitsvorfällen ist ein wesentlicher Bestandteil des Risikomanagements in Unternehmen und Organisationen.Die NIS-2-Richtlinie schreibt vor, dass erhebliche Sicherheitsvorfälle innerhalb bestimmter Fristen der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Die Verantwortung über Maßnahmen liegt bei der Geschäftsführung (Art. 20). Nichtbeachtung der NIS-2-Vorschriften, dies umfasst Risikomanagementmaßnahmen (Art. 21) oder Meldepflicht von Sicherheitsvorfällen (Art. 23) , kann zu erheblichen Konsequenzen führen. Unternehmen könnten mit strengen Sanktionen konfrontiert werden, die Bußgelder umfassen, welche sich nach dem Schweregrad des Verstoßes richten. Die Meldung erfolgt in drei Phasen:
Verdacht auf rechtswidrige oder böswillige Handlungen.
Klärung, ob der Vorfall grenzüberschreitend ist.
Erste Bewertung des Sicherheitsvorfalls, einschließlich Schweregrad, Auswirkungen und gegebenenfalls Kompromittierungsindikatoren.
Detaillierte Beschreibung des Vorfalls.
Angaben zur Art der Bedrohung, Ursachen und ergriffenen Abhilfemaßnahmen.
Berücksichtigung etwaiger grenzüberschreitender Auswirkungen.