Bisherige KRITIS-Unternehmen
Diese Unternehmen müssen bestimmte Schwellenwerte überschreiten, um als KRITIS-Betreiber eingestuft zu werden. Ein typischer Schwellenwert ist die Versorgung von mindestens 500.000 Einwohnern.
NIS2 ist die weitreichende Neuauflage der Richtlinie über Netz- und Informationssicherheit, die von der Europäischen Union verabschiedet wurde. Sie zielt darauf ab, die Cybersicherheit in den Mitgliedstaaten bei fortschreitender Digitalisierung zu stärken.
Die ursprüngliche NIS-Richtlinie trat 2016 in Kraft. Sie legte grundlegende Anforderungen für Betreiber kritischer Infrastrukturen und digitale Dienstleister fest. NIS2 erweitert diese Anforderungen erheblich und umfasst nun eine breitere Palette von Sektoren.
Die Richtlinie verpflichtet Unternehmen und öffentliche Einrichtungen dazu, strenge Massnahmen zu implementieren, um die Sicherheit von Systemen und Netzwerken zu erhöhen. Unternehmen müssen auch regelmässige Bewertungen ihrer Sicherheit durchführen und Vorfälle innerhalb festgelegter Fristen melden.
Ein zentrales Ziel von NIS2 ist es, die Resilienz kritischer Infrastrukturen zu erhöhen. Zudem soll die Zusammenarbeit zwischen den EU-Mitgliedstaaten im Bereich der Cybersicherheit verbessert werden. Auf diese Weise soll die Kompromittierung durch Cyberangriffe minimiert und die allgemeine Sicherheit im digitalen Raum erhöht werden.
Mit der Einführung der NIS2-Richtlinie wird die Cyber-, physische und digitale Sicherheit für Unternehmen und öffentliche Einrichtungen in Deutschland erheblich ausgeweitet. Doch wen betrifft NIS2 überhaupt?
Die bisherige Gesetzgebung deckte etwa 1.100 KRITIS-Betreiber ab. Insgesamt waren über 2000 Anlagen betroffen. Die neue Richtlinie wird allerdings etwa 30.000 Unternehmen und Einrichtungen verpflichtend sein.
Angriffe auf diese kritischen Infrastrukturen können gravierende Auswirkungen auf die Bevölkerung haben. Der aktuelle BSI-Bericht zur Lage der IT-Sicherheit in Deutschland ist eindeutig. Auf den Punkt gebracht: Die Bedrohung im Cyberraum ist so hoch wie nie zuvor.
Diese Unternehmen müssen bestimmte Schwellenwerte überschreiten, um als KRITIS-Betreiber eingestuft zu werden. Ein typischer Schwellenwert ist die Versorgung von mindestens 500.000 Einwohnern.
Grossunternehmen mit mehr als 250 Mitarbeitern fallen in diese Kategorie. Ebenso gehören Unternehmen mit einem Jahresumsatz von mindestens 50 Millionen Euro dazu. Auch Unternehmen mit einer Bilanz von mindestens 43 Millionen Euro fallen darunter.
Mittlere Unternehmen mit mehr als 50 Mitarbeitern werden als wichtige Einrichtungen betrachtet. Ebenso gehören Unternehmen mit einem Jahresumsatz von mindestens 10 Millionen Euro in diese Kategorie. Auch Unternehmen mit einer Bilanz von mindestens 10 Millionen Euro fallen darunter.
Die Industrie- und Handelskammern, Nachrichtendienste, Bereiche des Ministeriums für Verteidigung sind ausgeschlossen. Auch das Auswärtige Amt sowie Einrichtungen der sozialen Sicherung. Bundesländer sind nicht direkt reguliert.
Zusätzlich können Unternehmen indirekt von der NIS2-Richtlinie betroffen sein, beispielsweise als Dienstleister oder Lieferant eines KRITIS-Betreibers. Für wen gilt NIS2? Diese umfassende Ausweitung der Anforderungen soll die Resilienz der IT-Infrastruktur in Deutschland signifikant erhöhen. Sie soll das Land auch besser auf zukünftige Bedrohungen vorbereiten.
Die NIS2-Richtlinie bringt erhebliche Erweiterungen und neue Anforderungen mit sich, die weit in die Lieferketten hineinreichen. NIS2: Was ist zu tun? Besonders betroffen sind Geschäftsführende, da diese bei Verstössen persönlich haften können.
Die wichtigsten Massnahmen im Überblick:
Erweiterte Anwendungsbereiche
Was muss bei NIS2 gemacht werden?
Ein effektives Business Continuity Management (BCM) bildet die Grundlage für den Umgang mit IT-Sicherheitsvorfällen. Ein BCM stellt sicher, dass kritische Geschäftsprozesse auch bei schweren Vorfällen aufrechterhalten werden.
Hier sind die wichtigsten Aspekte:
Die NIS-2-Richtlinie der EU setzt neue Standards und erhöht die Anforderungen an Unternehmen, insbesondere in kritischen Sektoren:
Dieser umfassende Ansatz gewährleistet, dass Unternehmen gut auf IT-Sicherheitsvorfälle vorbereitet sind und effektiv darauf reagieren können. Zudem stellt er sicher, dass die NIS2-Compliance beachtet wird.
Die NIS2-Richtlinie sieht einen dreistufigen Meldeprozess vor, um sicherzustellen, dass Sicherheitsvorfälle effizient und zeitnah gemeldet werden.
Dieser erste Bericht muss eine sofortige Einschätzung des Vorfalls enthalten, um rasch reagieren zu können.
Er muss innerhalb von 24 Stunden eingereicht werden.
Innerhalb der nächsten 72 Stunden ist ein detaillierterer Bericht erforderlich. Dieser Bericht muss eine erste Bewertung des Vorfalls und seiner Auswirkungen liefern.
Schliesslich muss ein umfassender Abschlussbericht innerhalb eines Monats eingereicht werden. Dieser Bericht muss alle relevanten Infos und eine detaillierte Beschreibung des Vorfalls umfassen.
Die Implementierung dieses Meldeprozesses stellt sicher, dass die NIS2-Anforderungen eingehalten werden. Unternehmen müssen ihre Strategien und SOC-Infrastruktur anpassen, um diesen strengen Meldepflichten gerecht zu werden. Dadurch verbessern sie nicht nur ihre Cybersicherheit, sondern auch ihre digitale Resilienz.
Ein SOC ermöglicht die 24/7-Überwachung von Netzwerken und Systemen. Dies ist entscheidend für die frühzeitige Erkennung bei einem NIS2 Incident Response.
SOCs sind darauf ausgerichtet, schnell auf einen Incident Response zu reagieren. Dies entspricht den NIS2-Anforderungen zur zeitnahen Meldung von Vorfällen.
Durch die ständige Analyse von Bedrohungen und Schwachstellen unterstützt ein SOC das umfassende Management. Dies hilft bei der effektiven Bewältigung von Risiken. Dies ist eine zentrale Anforderung von NIS2.
SOCs können die für NIS2 erforderlichen detaillierten Berichte über Vorfälle erstellen. Diese Berichte umfassen die Indicators of Compromise und Beschreibungen der Vorfälle.
Ein SOC hilft bei der Implementierung & Überwachung von Massnahmen zur Erhöhung der Sicherheit. Dies unterstützt den präventiven Ansatz von NIS2.
SOCs können bei der Einhaltung der spezifischen technischen Massnahmen helfen, die von NIS2 gefordert werden. Sie unterstützen auch bei der Umsetzung der notwendigen Massnahmen.
SOCs können zur Schulung von Mitarbeitern in Bezug auf Cybersicherheit beitragen. Dies ist ebenfalls eine Anforderung von NIS2.
Ein SOC kann bei der Überwachung und Absicherung der gesamten digitalen Lieferkette unterstützen. Dies ist ein wichtiger Aspekt von NIS2.
Als SOC-Partner können Dienstleister bei der Umsetzung dieser Massnahmen unterstützen:
Durch diese Dienstleistungen stärken SOC-Partner die NIS2 Security von Unternehmen. Sie helfen ihnen, ihre digitale Infrastruktur effektiv zu sichern und gesetzlichen Anforderungen gerecht zu werden. Die Integration eines SOC verbessert die Fähigkeit von Unternehmen, die NIS2-Anforderungen zu erfüllen. Sie stärkt auch ihre gesamte Cybersicherheit.
Die NIS2-Richtlinie umfasst umfassende Anforderungen für Unternehmen, die Vorfälle im Bereich der Cybersicherheit melden müssen. Sie verlangt zudem ein effektives Cyber-Risikomanagement sowie entsprechende Massnahmen in der Lieferkette.
Zu den technischen und organisatorischen Massnahmen gehören unter anderem Zugriffskontrollen, wie Multi-Faktor-Authentifizierung und Verschlüsselung. Auch physische Sicherheit und Schulungen zur Erhöhung des Bewusstseins für Mitarbeiter sind wichtig. Werden entsprechende Massnahmen umgesetzt, können NIS2 Folgen vermieden werden.
Die Verantwortung für die Umsetzung der NIS2-Anforderungen liegt bei der Geschäftsleitung. Diese muss regelmässig an Schulungen teilnehmen, um Risiken bewerten und geeignete Massnahmen umsetzen zu können. Geschäftsleiter haften mit ihrem Privatvermögen bei Verletzung ihrer Pflichten, und Unternehmen drohen hohe Bussgelder bei Nichteinhaltung der NIS2-Regeln.
Das NIS2-Umsetzungsgesetz (Stand Mai 2024) regelt die Bussgelder, die im Vergleich zur Vorgängerversion deutlich erhöht wurden. Die Strafen unterscheiden sich je nach Art der Einrichtung und Verstoss.
kann das Bussgeld bis zu 10 Millionen Euro betragen. Alternativ kann es einen Höchstbetrag von mindestens 2 % des gesamten weltweiten Umsatzes des Unternehmens im letzten Geschäftsjahr erreichen. Massgeblich ist der jeweils höhere Betrag.
Alternativ kann er einen Höchstbetrag von mindestens 1,4 % des gesamten weltweiten Umsatzes des Unternehmens im letzten Geschäftsjahr erreichen. Dabei ist der höhere Betrag massgeblich.
Höhe des Bussgeldes | Verstoss |
---|---|
10 Millionen Euro | Betreiber kritischer Anlagen (KRITIS) erbringen Nachweise über Erfüllung der Anforderungen nicht, nicht richtig oder nicht vollständig. Besonders wichtige Einrichtungen setzen Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig um bzw. übermitteln Meldungen nicht, nicht richtig, unvollständig oder nicht rechtzeitig. (ist der Umsatz der Firmen höher als 500 Millionen Euro, beträgt das Bussgeld 2 % des weltweiten Jahresumsatzes) |
7 Millionen Euro | Wichtige Einrichtungen setzen Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig um bzw. übermitteln Meldungen nicht, nicht richtig, unvollständig oder nicht rechtzeitig. (ist der Umsatz der Firmen höher als 500 Millionen Euro, beträgt das Bussgeld 1,4 % des weltweiten Jahresumsatzes) |
2 Millionen Euro | z. B TK-Anbieter treffen keine durch das BSI angewiesenen Massnahmen zur Abwehr konkreter erheblicher Gefahren. Betreiber kritischer Anlagen liefern keine geeigneten Nachweise über die erfolgte Mängelbeseitigung. |
500.000 Euro | z. B. Besonders wichtige und wichtige Einrichtungen verweigern, die durch das BSI angewiesenen erforderlichen Massnahmen zur Verhütung oder Behebung eines Sicherheitsvorfalls oder Mangels oder die Berichterstattung darüber bzw. erbringen den geforderten Nachweis nicht oder nicht rechtzeitig. Das BSI wird über Änderungen an Registrierungsdaten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet. Betreiber kritischer Anlagen liefern Nachweise über Erfüllung der Anforderungen nicht rechtzeitig. Hersteller von IT-Systemen verweigern die durch das BSI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei IKT-Produkten. |
100.000 Euro | z. B. Kontaktstelle ist nicht erreichbar. Betreiber kritischer Anlagen liefern fahrlässig einen Nachweis nicht richtig oder vollständig. Hersteller verweigern Auskunft zu Produkten und Systemen (v. a. technische Details). Betreiber kritischer Anlagen, wichtige und besonders wichtige Einrichtungen verweigern die Unterrichtung von Kunden sowie die Einsetzung eines Überwachungsbeauftragten. |
Wann tritt NIS2 in Kraft? Die NIS2-Richtlinie wurde Anfang 2023 von der Europäischen Union verabschiedet und soll bis zum 17. Oktober 2024 in nationales Recht in allen Mitgliedsstaaten überführt werden.
Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) sollte ursprünglich im März 2024 veröffentlicht werden. Jedoch wird es voraussichtlich erst im Oktober 2024 in Kraft treten.
Ein Diskussionspapier vom Bundesministerium des Innern und für Heimat (BMI) erschien am 23. September 2023, doch offizielle Entwürfe sind noch ausstehend. Der neueste Referentenentwurf vom 3. April 2024 gelangte im Mai 2024 an die Öffentlichkeit. Allerdings sind Verzögerungen bei der Fertigstellung zu erwarten.
Das NIS2UmsuCG zielt darauf ab, die Cybersicherheit in Deutschland zu erhöhen. Dies soll geschehen, indem Unternehmen und Einrichtungen in kritischen Sektoren umfangreiche Massnahmen zur Erhöhung der Sicherheit implementieren.
Der NIS2 Umsetzungsgesetz Referentenentwurf stellt hierbei die Grundlage für die spezifischen Anforderungen dar. Unternehmen sollten proaktiv prüfen, ob sie von den neuen Anforderungen betroffen sind, und frühzeitig Massnahmen zur Einhaltung einleiten. Ein Readiness Assessment kann dabei helfen, die nötigen Schritte zur Erfüllung der Anforderungen in Erfahrung zu bringen.
Sektoren mit hoher Kritikalität:
Sonstige kritische Sektoren:
Unternehmen sind verpflichtet, eigenständig zu prüfen, ob sie betroffen sind, und ihre Betroffenheit zu registrieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann bei Bedarf eine Betroffenheit anordnen. Unternehmen, die nicht automatisch unter diese Schwellenwerte fallen, können dennoch aufgrund ihrer Kritikalität als Sonderfall betroffen sein.
Die Umsetzung des NIS2UmsuCG stellt einen entscheidenden Schritt zur Verbesserung der Cybersicherheit in Deutschland dar. Betroffene Unternehmen sollten sich daher frühzeitig auf die neuen Anforderungen vorbereiten. Gleichzeitig sollten entsprechende Strategien zur Verbesserung der Sicherheit entwickelt werden.
Die NIS2-Richtlinie markiert einen bedeutenden Fortschritt in der Cybersicherheit für Unternehmen und öffentliche Einrichtungen in der EU. Durch die Ausweitung auf eine breitere Palette von Sektoren zielt NIS2 darauf ab, die Resilienz kritischer Infrastrukturen zu erhöhen. Zudem werden strenge Anforderungen eingeführt, um die Sicherheitsstandards zu verbessern.
Zudem werden strenge Anforderungen eingeführt, um die Sicherheitsstandards zu verbessern. Auch die Zusammenarbeit zwischen den Mitgliedstaaten soll dadurch gestärkt werden. Unternehmen müssen strenge Sicherheitsmassnahmen implementieren, regelmässige Risikobewertungen durchführen und Vorfälle innerhalb festgelegter Fristen melden.
Die Verantwortung liegt bei der Geschäftsführung, die bei Nichteinhaltung mit erheblichen Bussgeldern und rechtlichen Konsequenzen rechnen muss. Ein gut ausgestattetes Security Operations Center (SOC) kann wesentlich zur Einhaltung der NIS2-Anforderungen beitragen. Zudem stärkt es die allgemeine Cybersicherheit.
Angesichts der bevorstehenden Umsetzung des NIS2-Umsetzungsgesetzes sollten betroffene Unternehmen frühzeitig Massnahmen ergreifen, um die neuen Anforderungen zu erfüllen. Zudem müssen sie ihre digitale Infrastruktur sichern. Wenn Sie Fragen haben oder eine Beratung benötigen, zögern Sie nicht, uns zu kontaktieren. Unser Expertenteam steht Ihnen zur Verfügung, um Ihnen zu helfen, die Herausforderungen der NIS2-Compliance zu meistern.