NIS2-Richtlinie
Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union
NIS2 steht für Network and Information Systems Directive 2, eine EU-Richtlinie, die die Cybersicherheit und den Schutz von Netzwerken und informationstechnischen Systemen in der Europäischen Union zum Ziel hat. Diese Richtlinie ist eine Aktualisierung der ursprünglichen NIS-Richtlinie und zielt darauf ab, die Cyberresilienz in der gesamten EU zu stärken und die Reaktionsfähigkeit auf Cyberbedrohungen zu verbessern.
Die Europäische Union schreibt zur NIS2-Richtlinie folgendes:
Die 2016 eingeführten Cybersicherheitsvorschriften der EU wurden durch die 2023 in Kraft getretene NIS2-Richtlinie aktualisiert. Es modernisierte den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich entwickelnden Bedrohungslandschaft für Cybersicherheit Schritt zu halten. Durch die Ausweitung des Anwendungsbereichs der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen verbessert sie die Resilienz- und Reaktionskapazitäten öffentlicher und privater Stellen, der zuständigen Behörden und der EU insgesamt weiter.
Die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie) sieht rechtliche Maßnahmen vor, um das Gesamtniveau der Cybersicherheit in der EU zu erhöhen, indem Folgendes gewährleistet wird:
- Vorbereitung der Mitgliedstaaten, indem sie verlangt, dass sie angemessen ausgerüstet sind. Zum Beispiel mit einem Computer Security Incident Response Team (CSIRT) und einer zuständigen nationalen Behörde für Netzwerk- und Informationssysteme (NIS),
- Zusammenarbeit zwischen allen Mitgliedstaaten durch Einsetzung einer Kooperationsgruppe zur Unterstützung und Erleichterung der strategischen Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten.
- eine Kultur der Sicherheit in allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind und stark auf ITK angewiesen sind, wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitsversorgung und digitale Infrastruktur.
Unternehmen, die von den Mitgliedstaaten als Betreiber wesentlicher Dienste in den links genannten Sektoren eingestuft wurden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen.
Quelle: https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
Wie wirkt sich NIS2 auf Unternehmen aus?
Hier sind einige wichtige Punkte, wie NIS2 sich auf Unternehmen auswirken kann:
- Erhöhte Sicherheitsanforderungen: NIS2 legt strengere Sicherheitsanforderungen für Betreiber wesentlicher Dienstleistungen und digitale Dienstleister fest. Unternehmen in diesen Sektoren müssen sicherstellen, dass ihre Netzwerke und informationstechnischen Systeme bestimmten Standards entsprechen.
- Meldepflicht für Sicherheitsvorfälle: Die Richtlinie erfordert, dass Unternehmen sicherheitsrelevante Vorfälle den nationalen Behörden melden. Dies soll dazu beitragen, dass Bedrohungen frühzeitig erkannt und bekämpft werden.
- Zusammenarbeit mit Behörden: Unternehmen müssen mit den nationalen Behörden zusammenarbeiten und Informationen über ihre Sicherheitsmaßnahmen und Vorfälle teilen. Dies trägt dazu bei, die nationale und europäische Cybersicherheit zu stärken.
- Risikomanagement: Unternehmen müssen Risikomanagementprozesse implementieren, um Bedrohungen zu identifizieren und angemessen darauf zu reagieren.
- Sicherheitskultur fördern: NIS2 fördert die Entwicklung einer Sicherheitskultur in Unternehmen, in der die Bedeutung von Cybersicherheit anerkannt und angemessene Schulungs- und Sensibilisierungsmaßnahmen durchgeführt werden.
- Strafen und Sanktionen: Bei Nichteinhaltung der Richtlinie können Geldstrafen und andere Sanktionen verhängt werden, die je nach nationalen Gesetzen und Regelungen variieren.
NIS2 hat das Ziel, die Cybersicherheit in der EU zu verbessern und die Resilienz gegenüber Cyberbedrohungen zu erhöhen. Unternehmen in kritischen Branchen und digitale Dienstleister sollten daher die Anforderungen der Richtlinie genau prüfen und sicherstellen, dass sie in Übereinstimmung mit den Vorschriften handeln, um ihre Netzwerke und Informationen zu schützen und potenzielle Strafen zu vermeiden.
Welchen Vorteil haben die Unternehmen davon?
Die NIS2-Richtlinie bietet Unternehmen eine Reihe von potenziellen Vorteilen, vor allem im Bereich der Cybersicherheit und des Schutzes von Netzwerken und informationstechnischen Systemen:
- Höhere Cybersicherheit: Durch die Einhaltung der strengeren Sicherheitsanforderungen der NIS2-Richtlinie können Unternehmen ihre eigenen Netzwerke und Informationssysteme besser schützen. Dies trägt dazu bei, die Wahrscheinlichkeit von Cyberangriffen und Datenverlusten zu verringern.
- Früherkennung von Bedrohungen: Die Meldepflicht für Sicherheitsvorfälle ermöglicht es Unternehmen, Sicherheitsvorfälle frühzeitig zu erkennen und zu melden. Dies ermöglicht eine schnellere Reaktion und eine bessere Koordinierung mit den nationalen Behörden und anderen betroffenen Unternehmen.
- Bessere Zusammenarbeit mit Behörden: Die Zusammenarbeit mit den nationalen Behörden und anderen Unternehmen kann dazu beitragen, ein besseres Verständnis für die aktuellen Cyberbedrohungen zu entwickeln und bewährte Praktiken im Bereich der Cybersicherheit auszutauschen.
- Stärkung des Vertrauens der Kunden: Die Einhaltung der NIS2-Richtlinie und die Verbesserung der Cybersicherheit können das Vertrauen der Kunden stärken. Kunden sind eher geneigt, mit Unternehmen Geschäfte zu machen, von denen sie wissen, dass sie ihre Daten und Informationen sicher schützen.
- Wettbewerbsvorteil: Unternehmen, die in Cybersicherheit investieren und die NIS2-Anforderungen erfüllen, können einen Wettbewerbsvorteil erzielen. Sie können sich als zuverlässige Partner für andere Unternehmen positionieren, insbesondere in Branchen, in denen die Cybersicherheit von entscheidender Bedeutung ist.
- Risikoreduktion und Vermeidung von Strafen: Die Umsetzung der NIS2-Richtlinie kann das Risiko von Geldstrafen und Sanktionen verringern, die bei Nichteinhaltung verhängt werden können. Unternehmen, die die Anforderungen erfüllen, minimieren das finanzielle Risiko, das mit Verstößen gegen die Richtlinie verbunden ist.
- Stärkung der Resilienz: Die Implementierung von Risikomanagementprozessen und die Entwicklung einer Sicherheitskultur tragen zur Stärkung der unternehmenseigenen Resilienz gegenüber Cyberbedrohungen bei.
Insgesamt bietet die NIS2-Richtlinie Unternehmen die Möglichkeit, ihre Cybersicherheit zu verbessern, das Risiko von Cyberangriffen und Datenverlusten zu reduzieren und gleichzeitig das Vertrauen von Kunden und Geschäftspartnern zu stärken. Indem sie die Anforderungen der Richtlinie erfüllen, können Unternehmen auch sicherstellen, dass sie besser auf die sich ständig verändernde Bedrohungslandschaft reagieren können.
Reicht es nicht, wenn man schon eine ISO 27001 Zertifizierung hat?
Die ISO 27001-Zertifizierung ist eine anerkannte und weit verbreitete Norm für Informationssicherheitsmanagement, die Organisationen dabei unterstützt, angemessene Sicherheitskontrollen und -prozesse zu implementieren. Sie ist jedoch nicht gleichbedeutend mit der Erfüllung der NIS2-Richtlinie.
Die NIS2-Richtlinie hat spezifische Anforderungen für Betreiber wesentlicher Dienstleistungen und digitale Dienstleister in der Europäischen Union. Während ISO 27001 eine solide Grundlage für das Informationssicherheitsmanagement bietet, sind zusätzliche Maßnahmen erforderlich, um die spezifischen Anforderungen der NIS2-Richtlinie zu erfüllen. Diese Anforderungen können Folgendes umfassen:
- Meldepflicht für Sicherheitsvorfälle: Die NIS2-Richtlinie erfordert, dass sicherheitsrelevante Vorfälle den nationalen Behörden gemeldet werden. Dies erfordert spezifische Verfahren und Prozesse, die über ISO 27001 hinausgehen.
- Zusammenarbeit mit Behörden: Unternehmen müssen in der Lage sein, wirksam mit nationalen Behörden zusammenzuarbeiten und Informationen über Sicherheitsmaßnahmen und Vorfälle bereitzustellen.
- Spezifische Sektoranforderungen: Bestimmte Branchen und kritische Dienstleistungen können spezifische Anforderungen gemäß der NIS2-Richtlinie haben, die über die allgemeinen Anforderungen von ISO 27001 hinausgehen.
Es ist wichtig zu beachten, dass ISO 27001 eine wertvolle Grundlage für die Erfüllung der NIS2-Anforderungen sein kann, aber Unternehmen müssen zusätzliche Maßnahmen und Prozesse implementieren, um die spezifischen Vorschriften der NIS2-Richtlinie zu erfüllen. Eine ISO 27001-Zertifizierung kann jedoch als Teil eines umfassenden Sicherheitsmanagementsystems dienen, um die Cybersicherheit zu stärken und die Erfüllung der NIS2-Richtlinie zu unterstützen.
Welche Unternehmen werden durch NIS2 als kritische Infrastruktur angesehen?
Die NIS2-Richtlinie der Europäischen Union legt fest, dass Betreiber wesentlicher Dienstleistungen und digitale Dienstleister als “kritische Dienstleistungsanbieter” betrachtet werden. Diese Unternehmen und Organisationen sind besonders wichtig für die Funktionsfähigkeit der Gesellschaft und der Wirtschaft, und ihre Cybersicherheit hat direkte Auswirkungen auf das öffentliche Interesse und die nationale Sicherheit. Die genaue Definition und Identifizierung solcher kritischer Dienstleistungsanbieter kann auf nationaler Ebene in den EU-Mitgliedstaaten variieren, sollte jedoch die folgenden Sektoren abdecken:
- Energie: Dies umfasst Unternehmen und Dienstleister, die in der Strom- und Gasversorgung tätig sind, einschließlich Stromnetzbetreiber und Energieversorger.
- Verkehr: Hierzu gehören Flughäfen, Schienen- und Straßennetzbetreiber, Hafenbetreiber und Luftverkehrsgesellschaften.
- Gesundheitswesen: Dies betrifft insbesondere Krankenhäuser und Gesundheitseinrichtungen, die lebenswichtige medizinische Dienstleistungen erbringen.
- Wasserversorgung und Abwasserentsorgung: Unternehmen, die für die Wasserversorgung und Abwasserentsorgung verantwortlich sind, gelten ebenfalls als kritische Dienstleistungsanbieter.
- Digitale Dienstleister: Dies umfasst Anbieter von Online-Marktplätzen, Suchmaschinen und cloudbasierten Diensten. Das können große Plattformen und Dienstanbieter sein.
- Finanzdienstleistungen: Unternehmen im Finanzsektor, einschließlich Banken, Zahlungsdienstleister und Börsen, werden ebenfalls als kritische Dienstleistungsanbieter betrachtet.
- Digitale Infrastruktur: Dies bezieht sich auf Unternehmen, die Rechenzentren und Internet-Exchange-Punkte betreiben, da sie eine wichtige Rolle bei der Aufrechterhaltung der digitalen Konnektivität spielen.
Die genaue Abgrenzung und Identifizierung kritischer Dienstleistungsanbieter erfolgt in enger Zusammenarbeit zwischen den EU-Mitgliedstaaten und der Europäischen Kommission. Die NIS2-Richtlinie verpflichtet die Mitgliedstaaten, nationale Strategien und Schwellenwerte festzulegen, um zu bestimmen, welche Unternehmen als kritische Dienstleistungsanbieter gelten. Es ist wichtig zu beachten, dass diese Definitionen und Schwellenwerte von Land zu Land variieren können. Unternehmen in den genannten Sektoren sollten daher die nationalen Gesetze und Verordnungen sorgfältig prüfen, um sicherzustellen, dass sie den Anforderungen der NIS2-Richtlinie entsprechen.
Was bedeutet das für Unternehmen in Deutschland?
Das NIS2-Umsetzungsgesetz ändert die deutsche KRITIS-Regulierung ab 2024 deutlich – neben den Betreibern kritischer Anlagen wird es besonders wichtige Einrichtungen und wichtige Einrichtungen geben. Für etwa 30.000 betroffene Unternehmen in Deutschland, die über klassische Kritische Infrastrukturen hinausgehen, steigen die Security-Pflichten.
- Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS) und die neuen Einrichtungen – je nach Unternehmensgröße besonders wichtigen oder wichtig. Ebenfalls betroffen sind Bundeseinrichtungen und einige Sonderfälle.
- Sektoren: Die KRITIS-Sektoren der kritischen Anlagen bleiben bestehen, die Sektoren der neuen Einrichtungen erweitern sich, wie in der EU und umfassen neben Infrastruktur nun große Teile der Wirtschaft.
- Cybersecurity: Die Sicherheitsmaßnahmen für Unternehmen werden umfassender und tiefer mit Risikomanagement, Vorfallsmeldungen, vielen technische Maßnahmen und Governance.
- Aufsicht: Staatliche Befugnisse erweitern sich durch Registrierungspflicht, Nachweise, Meldepflichten und verbindlichen Informationsaustausch. Die geteilte Regulierung über verschiedene Behörden wie BSI, BNetzA etc. nimmt zu, soll aber vereinfacht werden.
- Sanktionen: Erweiterte Sanktionsvorschriften mit neuen Bußgeldtatbeständen und erhöhten Bußgeldern zwischen 100 Tsd. und 20 Mio. EUR, teils gekoppelt an den weltweiten Umsatz.
Die bestehende KRITIS-Regulierung wird durch NIS2 mit einem Mehrklassen-System an Betreibern mit unterschiedlichen Stufen von Pflichten. Was zu beachten ist: es muss nicht das ganze Unternehmen in einem regulierten Bereich tätig sein, es reicht eine kleine Sparte, damit das gesamte Unternehmen in die Regelung fällt.
Stand der Dinge im Herbst 2023:
Im September wurde vom Innenministerium ein Diskussionspapier zum Dialog mit der Wirtschaft veröffentlicht, als dritter Entwurf des NIS2-Umsetzungsgesetzes:
- Erster Referentenentwurf von April 2023
- Zweiter Referentenentwurf von Juli 2023 – der aktuelle Stand dieser Seite
- Dritter Entwurf (Diskussionspapier) von September 2023 – folgend zusammengefasst
Der Entwurf vom 27.09.2023 dient wohl der Verbändeabstimmung und verfasst wichtige Teile der NIS2-Regulierung neu und anders – die wichtigsten Änderungen als Ausblick:
Nachweise
Eine der wichtigsten Änderungen im neuen Entwurf ist die Begrenzung der NIS2-Nachweise.
Waren eigentlich 2-jährige Prüfungen für besonders wichtige Einrichtungen und Betreiber kritischer Anlagen geplant, streicht der vorliegende Diskussionsentwurf dies auf Prüfungen nur noch alle drei Jahre und nur für Betreiber kritischer Anlagen zusammen, §39.
Wichtige und besonders wichtige Einrichtungen müssen wie gehabt Maßnahmen umsetzen, aber regulär keine Nachweise darüber erbringen. Das BSI kann einzelne besonders wichtige Einrichtungen jedoch zu Nachweisen und auch Prüfungen verpflichten, und die Einhaltung der NIS2-Vorgaben auch selbst überprüfen, §64. Analog bei wichtigen Einrichtungen, §65.
Betreiber und Sektoren
Die betroffenen Unternehmen wurden im Entwurf präzisiert und die Definitionen vereinfacht. Der Entwurf fasst Einrichtungsarten und Unternehmensgröße in §28 zusammen:
Besonders wichtige Einrichtungen: Sektoren aus Anlage 1 mit a) >250 Mitarbeitern oder b) >50 Mio. Umsatz und >43 Mio. Bilanz plus Sonderfälle: qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen, Zentralregierung.
Wichtige Einrichtungen: Sektoren aus Anlage 1 und 2 mit a) >50 Mitarbeitern oder b) >10 Mio. Umsatz und Bilanz plus Vertrauensdienste.
Die Sektoren betroffener Einrichtungen sind in den Anlagen 1 und 2 vom Entwurf definiert und weichen von den Definitionen früherer Entwürfe und auch EU NIS2 leicht ab. Die KRITIS-Sektoren der Betreiber kritischer Anlagen bleiben bestehen §28 (6).
Anlage 1:
Energie
Stromversorgung, Fernwärme/-kälte, Kraftstoff/Heizöl, Gas
Transport/Verkehr
Luftverkehr Schienenverkehr, Schifffahrt, Straßenverkehr
Finanz/Versicherung
Banken, Finanzmarkt-Infrastruktur
Gesundheit
Dienstleistungen, Referenzlabore, F&E, Pharma (NACE C Abt. 21), Medizinprodukte
Wasser/Abwasser
Trinkwasser, Abwasser
IT und TK
IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services
Weltraum
Bodeninfrastrukturen
Sonderfälle besonders wichtig:
qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen, Zentralregierung
Anlage 2:
Transport/Verkehr
Post und Kurier
Chemie
Herstellung, Handel, Produktion
Forschung
Forschungseinrichtungen
Verarbeitendes Gewerbe
Medizin/Diagnostika; DV, Elektro, Optik (NACE C Abt. 26 und 27); Maschinenbau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30)
Digitale Dienste
Marktplätze, Suchmaschi
Lebensmittel
Großhandel, Produktion, Verarbeitungnen, soziale Netzwerke
Entsorgung
Abfallbewirtschaftung
Sonderfälle wichtig:
Vertrauensdienste