Teil 1
Die Netz- und Informationssystem-Sicherheitsrichtlinie (NIS2) ist eine wesentliche Erweiterung der europäischen Cybersecurity-Gesetzgebung, die darauf abzielt, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten Europäischen Union zu gewährleisten. Diese Richtlinie ist eine Aktualisierung der ursprünglichen NIS-Richtlinie von 2016 und bringt bedeutende Neuerungen und Erweiterungen mit sich, die darauf abzielen, die Resilienz gegenüber Cyberbedrohungen zu stärken und die grenzübergreifende Zusammenarbeit zu verbessern.
Der Schwerpunkt von NIS2 liegt auf der signifikanten Ausweitung ihres Anwendungsbereichs. Betroffen waren bisher ausschließlich Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Durch die Einführung der durch die NIS2-2 Richtlinie vorgegebenen Einrichtungskategorien sind jetzt ca. 30.000 Unternehmen zusätzlich zu den Betreibern kritischer Infrastrukturen betroffen, die in der Bundesrepublik Deutschland niedergelassen sind. Die Einrichtungen sind zur Umsetzung von umfassenden technischen und organisatorischen Maßnahmen im Bereich der Informations- und Cybersicherheit verpflichtet. Darüber hinaus müssen diese Unternehmen im Falle eines Cyberangriffs Melde- und Berichtspflichten erfüllen. Auch die Haftungsregelungen, gerade für die Geschäftsleitungen der betroffenen Organisationen, werden verschärft. Sollten die von der Gesetzgebung erfassten Unternehmen die entsprechenden Verpflichtungen nicht, nicht rechtzeitig oder nicht vollständig erfüllen, drohen hohe Bußgelder.
Die Aktualisierung reflektiert auch die sich verändernde Cybersecurity-Landschaft und die Notwendigkeit, adaptive Maßnahmen gegen zunehmend komplexe und vielfältige Bedrohungen zu ergreifen. Durch die Einführung von NIS2 reagiert die EU auf die dringende Notwendigkeit, sowohl die physische als auch die digitale Infrastruktur zu sichern, die das Rückgrat unserer Gesellschaft und Wirtschaft bildet.
Für IT-Security-Manager bietet NIS2 sowohl Herausforderungen als auch Chancen. Die Richtlinie verlangt nicht nur die Einhaltung von Mindestsicherheitsmaßnahmen, sondern fördert auch eine Kultur der kontinuierlichen Verbesserung und des Bewusstseins für Cybersicherheit. Das Verständnis und die Implementierung dieser Richtlinie sind somit entscheidend für die Sicherung der Zukunftsfähigkeit und Resilienz europäischer Unternehmen in einer zunehmend vernetzten Welt.
1. NIS2 Definitionen und Klassifizierungen
Die NIS2 Sektoren werden in Anlagen 1 und 2 des NIS-2 Referentenentwurf definiert und weiter in „wichtige“ und „besonders wichtige Einrichtungen“ unterteilt.
Sowohl besonders wichtige als auch wichtige Einrichtungen sind gemäß NIS2 verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.
Zusätzlich zu den NIS2 Sekttoren bleiben auch weiterhin die Sektoren der kritischen Infrastrukturen erhalten. KRITIS-Betreiber mit identifizierten kritischen Anlagen bleiben entsprechend reguliert und erhalten aus der NIS2-Richtlinie weitere Anforderungen.
Wichtige Einrichtungen
Wichtige Einrichtungen sind Unternehmen oder Organisationen, die wesentliche Dienste anbieten, deren Beeinträchtigung zwar ernste, aber nicht unbedingt katastrophale Auswirkungen auf das öffentliche Wohl oder die Wirtschaft haben würde. Die Klassifizierung als "wichtig" zieht spezifische Sicherheits- und Meldepflichten nach sich, die sicherstellen sollen, dass diese Einrichtungen angemessene Schutzmaßnahmen gegen Cyberbedrohungen ergreifen.
Wichtige Einrichtungen sind:
Vertrauensdiensteanbieter.
Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die
a) weniger als 50 Beschäftigte haben und
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro
oder weniger aufweisen.
Aus Anlagen 1 und 2 des NIS-2 Referentenentwurf bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 50 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.
2. Besonders wichtige Einrichtungen
Besonders wichtige Einrichtungen sind solche, deren Beeinträchtigung zu schwerwiegenden, landesweiten oder branchenübergreifenden Krisen führen. Diese Einrichtungen unterliegen den strengsten Vorschriften der NIS2-Richtlinie, einschließlich rigoroser Sicherheitsaudits und fortlaufender Überwachung.
Besonders wichtige Einrichtungen sind:
Betreiber Kritischer Anlagen.
Qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter
Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die
a) mindestens 50 Mitarbeiter beschäftigen oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.
Aus Anlage 1 des NIS-2 Referentenentwurf bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 250 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.
Betreiber kritischer Anlagen
Eine Anlage ist kritisch, wenn Sie den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung zuzuordnen ist und festgelegte Schwellenwerte überschreitet.
Die Sektoren für Betreiber kritischer Anlagen sind separat zu den Einrichtungen und sowohl in der NIS-2 Richtlinie als auch im KRITIS-Dachgesetz definiert. Kritische Anlagen sind solche, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die Versorgungssicherheit oder die öffentliche Sicherheit haben könnte. Die kritischen Dienstleistungen und Anlagen müssen teilweise noch in einer Verordnung festgelegt werden. Das KRITIS Dachgesetz ist noch in Bearbeitung. Schwellenwerte für kritische Anlagen werden in der "Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz" BSI-KritisV festgelegt.
Betreiber kritischer Anlagen werden unabhängig von ihrer Unternehmensgröße als besonders wichtiges Unternehmen eingestuft.
❗️ Unternehmen sind für die Identifikation von KRITIS-Anlagen und Feststellung der Betroffenheit als NIS2-Einrichtung selbst verantwortlich.
Jetzt 7 Tage kostenfrei testen!
Überprüfen Sie mit unserem NIS-2 Assistenten in wieweit Sie von NIS 2 betroffen oder auch ein Betreiber einer kritischen Anllage sind und erfahren sie mehr über Ihre Pflichten und möglichen Bußgelder bei Verstößen.
2. NIS2 Anforderungen, Bussgelder und Durchsetzungsmassnahmen
Die Anforderungen sind speziell darauf ausgerichtet, die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen und eine schnelle und effektive Reaktion im Falle von Sicherheitsvorfällen zu gewährleisten.
Da die Anforderungen vom Risikoprofil des Unternehmens abhängig sind, gelten für Betreiber kritischer Anlagen höhere Pflichten und Sicherheitsanforderungen, die im Folgenden nicht berücksichtigt werden. Dasselbe gilt für Unternehmen, die bereits durch DORA oder TKG reguliert werden. In NIS2 gibt es hier Ausnahmen die die Mehrfachregulierung berücksichtigen. Zusätzlich gibt es insbesondere im IT Bereich viele Ausnahemen und abweichende Regulierungen, die im Folgenden nicht berücksichtigt werden.
Diese Ausnahmen und Sonderregulierungen werden in unserem NIS-2 Assistenten allerdings berücksichtigt.
Registrierungspflichten:
Wichtige und besonders wichtige Einrichtungen müssen sich registrieren. Die Registrierung erfolgt über eine gemeinsam vom Bundesamt (BSI) und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsmöglichkeit.
Diese Registrierung beinhaltet grundlegende Informationen wie z.B. Namen, Kontaktdaten und den Sektor der Einrichtung.
Mindestanforderungen von Risikomanagementmassnahmen:
Die Maßnahmen sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen.
Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik.
Bewältigung von Sicherheitsvorfällen.
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement.
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen.
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik.
Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik.
Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung.
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen.
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
3. Meldepflichten:
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind gemäß der NIS2-Regulierung verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich zu melden und die Empfänger ihrer Dienste über solche Vorfälle zu informieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Rückmeldungen und Unterstützung bei der Bewältigung der Vorfälle.
Innerhalb von 24 Stunden nach Kenntniserlangung.
Innerhalb von 72 Stunden nach Kenntniserlangung Aktualisierung der Meldung.
Auf Ersuchen des Bundesamtes Zwischenmeldung.
Spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls eine Abschlussmeldung.
Unterrichtungspflichten:
Das Unternehmen muss die Empfänger seiner Dienste unverzüglich über erhebliche Sicherheitsvorfälle unterrichten, die die Erbringung des jeweiligen Dienstes beeinträchtigen könnten. Diese Unterrichtung kann auch durch eine Veröffentlichung auf der Internetseite der Einrichtung erfolgen.
Pflichten für Geschäftsleiter:
Billigungs- und Überwachungspflicht: Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmassnahmen umzusetzen und ihre Umsetzung zu überwachen.
Ersatzansprüche des Unternehmens gegenüber der Geschäftsleitung: Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung enthalten.
Schulungspflicht: Die Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.
Durchsetzungsmassnahmen und Aufsicht des BSI
Das Bundesamt kann die Einhaltung der Verpflichtungen wichtiger Einrichtungen und besonders wichtiger Einrichtungen überprüfen.
Folgende und Durchsetzungsmaßnahmen können zum Besispiel ergriffen werden:
Anordnung von Audits, Prüfungen oder Zertifizierungen.
Festlegung fachlicher und organisatorischer Anforderungen.
Anordnung von Maßnahmen zur Verhütung oder Behebung eines Sicherheitsvorfalls.
Unterrichtung über Cyberbedrohungen.
Öffentliche Bekanntmachung von Verstößen.
Mitteilung an die zuständige Aufsichtsbehörde.
Aussetzung der Genehmigung und Untersagung der Tätigkeit.
Bussgeldvorschriften
wichtige Einrichtungen: Von 100.000 EUR bis zu 7 Mio EUR Bußgelder (oder bis zu 1,4 Prozent des Jahresumsatzes) je nach Zuwiderhandlung.
besonders wichtige Einrichtungen: Von 100.000 EUR bis zu 10 Mio EUR Bußgelder (oder bis zu 2 Prozent des Jahresumsatzes) je nach Zuwiderhandlung
Diese Bußgelder werden detailliert in unserem NIS-2 Assistenten individuell behandelt.
Ausblick:
Teil 2: Planung und Umsetzung der NIS2 Richtlinie.