Mit der NIS-2-Richtlinie (EU) 2022/2555 gelten ab Oktober 2024
für viele Unternehmen und Organisationen in 18 Sektoren
verpflichtende Sicherheitsmaßnahmen und Meldepflichten –
auch für viele, die bisher nicht betroffen waren.
NIS-2 ist eine überarbeitete Version der NIS-1-Richtlinie, die strengere Cybersicherheitsstandards für betroffene Unternehmen vorschreibt. Die Unternehmen sind verpflichtet, sich selbst einzustufen und sich bei der zuständigen Behörde zu registrieren. Betroffene Unternehmen müssen ein Informationssicherheitsmanagementsystem (ISMS) implementieren, um die gesetzlichen Anforderungen zu erfüllen.
Die NIS-2-Richtlinie ist eine Weiterentwicklung der ersten EU-Richtlinie zur Netz- und Informationssicherheit. Ab Oktober 2024 gelten durch sie verbindliche Sicherheitsmaßnahmen und Meldepflichten für Unternehmen und Organisationen in 18 kritischen Sektoren. Diese betreffen auch viele, die bisher nicht betroffen waren. Die Richtlinie ersetzt die NIS Directive von 2016 und strebt ein verbessertes gemeinsames Cybersicherheitsniveau in der EU an. Im Vergleich zur vorherigen NIS Directive erweitert NIS-2 deutlich den Kreis der betroffenen Unternehmen, ihre Pflichten und die behördliche Überwachung. Bei Verstößen drohen erhebliche Geldstrafen.
NIS-2 legt strenge Sicherheitsanforderungen sowie Meldepflichten für Unternehmen in 18 kritischen Sektoren fest. Ziel ist die Stärkung der Widerstandsfähigkeit und Abwehrfähigkeiten gegenüber Cyberangriffen und die Verbesserung der Zusammenarbeit zwischen den Mitgliedstaaten. Die Richtlinie umfasst auch Sanktionen bei Nichteinhaltung und verstärkt die Rolle der nationalen Behörden in der Umsetzung.
In Deutschland sind Schätzungen zufolge zwischen 29.000 bis 40.000 Unternehmen von der NIS 2 betroffen.
Die NIS-2-Richtlinie gilt für öffentliche oder private Einrichtungen in 18 Sektoren, die als mittlere oder größerer Unternehmen gelten und ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben
Dies sind Unternehmen, mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme
Die NIS-2 Directive betrifft Organisationen in 18 Sektoren, die in Anhang I und II aufgelistet sind. Für jeden Sektor wird dort genau festgelegt, welche Art von Organisation betroffen ist. Daher ist entscheidend, ob Ihre Organisation einer der genannten Arten entspricht. Eine detailliertere Definition dieser Organisationen finden Sie in Anhang I und Anhang II.
Unternehmen und Organisationen, die von der NIS-2-Richtlinie betroffen sind, müssen eine Reihe von Maßnahmen ergreifen, um die Cybersicherheit zu erhöhen und die Einhaltung der Vorschriften zu gewährleisten. Im Kapitel 4 der EU-Richtlinie sind diese detailiert beschrieben.
Es müssen angemessene Sicherheitsmaßnahmen ergriffen werden, um Risiken für Netz- und Informationssysteme zu beherrschen. Diese Maßnahmen müssen dem aktuellen Risiko angemessen sein und verschiedene Faktoren wie Risikoexposition, Größe der Einrichtung und die Wahrscheinlichkeit von Sicherheitsvorfällen berücksichtigen.
Die erforderlichen Maßnahmen sollten einen ganzheitlichen Ansatz verfolgen und folgende Aspekte umfassen:
Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Die Meldepflicht von Sicherheitsvorfällen ist ein wesentlicher Bestandteil des Risikomanagements in Unternehmen und Organisationen.Die NIS-2-Richtlinie schreibt vor, dass erhebliche Sicherheitsvorfälle innerhalb bestimmter Fristen der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Die Verantwortung über Maßnahmen liegt bei der Geschäftsführung (Art. 20). Nichtbeachtung der NIS-2-Vorschriften, dies umfasst Risikomanagementmaßnahmen (Art. 21) oder Meldepflicht von Sicherheitsvorfällen (Art. 23) , kann zu erheblichen Konsequenzen führen. Unternehmen könnten mit strengen Sanktionen konfrontiert werden, die Bußgelder umfassen, welche sich nach dem Schweregrad des Verstoßes richten. Die Meldung erfolgt in drei Phasen: