NIS2: Alles was Sie über die Richtlinie wissen müssen

NIS2: Alles was Sie über die Richtlinie wissen müssen

NIS2 ist die weitreichende Neuauflage der Richtlinie über Netz- und Informationssicherheit, die von der Europäischen Union verabschiedet wurde. Sie zielt darauf ab, die Cybersicherheit in den Mitgliedstaaten bei fortschreitender Digitalisierung zu stärken. 

Die ursprüngliche NIS-Richtlinie trat 2016 in Kraft. Sie legte grundlegende Anforderungen für Betreiber kritischer Infrastrukturen und digitale Dienstleister fest. NIS2 erweitert diese Anforderungen erheblich und umfasst nun eine breitere Palette von Sektoren. 

Die Richtlinie verpflichtet Unternehmen und öffentliche Einrichtungen dazu, strenge Massnahmen zu implementieren, um die Sicherheit von Systemen und Netzwerken zu erhöhen. Unternehmen müssen auch regelmässige Bewertungen ihrer Sicherheit durchführen und Vorfälle innerhalb festgelegter Fristen melden. 

Ein zentrales Ziel von NIS2 ist es, die Resilienz kritischer Infrastrukturen zu erhöhen. Zudem soll die Zusammenarbeit zwischen den EU-Mitgliedstaaten im Bereich der Cybersicherheit verbessert werden. Auf diese Weise soll die Kompromittierung durch Cyberangriffe minimiert und die allgemeine Sicherheit im digitalen Raum erhöht werden. 

NIS2: Wer ist betroffen?

Mit der Einführung der NIS2-Richtlinie wird die Cyber-, physische und digitale Sicherheit für Unternehmen und öffentliche Einrichtungen in Deutschland erheblich ausgeweitet. Doch wen betrifft NIS2 überhaupt?

Die bisherige Gesetzgebung deckte etwa 1.100 KRITIS-Betreiber ab. Insgesamt waren über 2000 Anlagen betroffen. Die neue Richtlinie wird allerdings etwa 30.000 Unternehmen und Einrichtungen verpflichtend sein. 

Angriffe auf diese kritischen Infrastrukturen können gravierende Auswirkungen auf die Bevölkerung haben. Der aktuelle BSI-Bericht zur Lage der IT-Sicherheit in Deutschland ist eindeutig. Auf den Punkt gebracht: Die Bedrohung im Cyberraum ist so hoch wie nie zuvor. 

Die betroffenen Einrichtungen werden in verschiedene Kategorien eingeteilt:

Bisherige KRITIS-Unternehmen

Diese Unternehmen müssen bestimmte Schwellenwerte überschreiten, um als KRITIS-Betreiber eingestuft zu werden. Ein typischer Schwellenwert ist die Versorgung von mindestens 500.000 Einwohnern.

Besonders wichtige Einrichtungen (Essential)

Grossunternehmen mit mehr als 250 Mitarbeitern fallen in diese Kategorie. Ebenso gehören Unternehmen mit einem Jahresumsatz von mindestens 50 Millionen Euro dazu. Auch Unternehmen mit einer Bilanz von mindestens 43 Millionen Euro fallen darunter.

Wichtige Einrichtungen (Important)

Mittlere Unternehmen mit mehr als 50 Mitarbeitern werden als wichtige Einrichtungen betrachtet. Ebenso gehören Unternehmen mit einem Jahresumsatz von mindestens 10 Millionen Euro in diese Kategorie. Auch Unternehmen mit einer Bilanz von mindestens 10 Millionen Euro fallen darunter.

Die Industrie- und Handelskammern, Nachrichtendienste, Bereiche des Ministeriums für Verteidigung sind ausgeschlossen. Auch das Auswärtige Amt sowie Einrichtungen der sozialen Sicherung. Bundesländer sind nicht direkt reguliert. 

Zusätzlich können Unternehmen indirekt von der NIS2-Richtlinie betroffen sein, beispielsweise als Dienstleister oder Lieferant eines KRITIS-Betreibers. Für wen gilt NIS2? Diese umfassende Ausweitung der Anforderungen soll die Resilienz der IT-Infrastruktur in Deutschland signifikant erhöhen. Sie soll das Land auch besser auf zukünftige Bedrohungen vorbereiten. 

NIS2 Massnahmen: Was gilt es zu beachten?

Die NIS2-Richtlinie bringt erhebliche Erweiterungen und neue Anforderungen mit sich, die weit in die Lieferketten hineinreichen. NIS2: Was ist zu tun? Besonders betroffen sind Geschäftsführende, da diese bei Verstössen persönlich haften können.

Die wichtigsten Massnahmen im Überblick: 

Erweiterte Anwendungsbereiche 

  • Strengere Sicherheitsanforderungen und Risikomanagement 
  • Meldepflicht bei Vorfällen 
  • Verstärkte Aufsicht und Durchsetzung 
  • Stärkere Zusammenarbeit und Koordination auf EU-Ebene 
  • Konkrete Massnahmen für Unternehmen und Dienstleister 
  • Überwachung von Dienstleistern 
  • Interne Massnahmen 
  • Meldepflichten bei Vorfällen 
  • Sicherheitsstandards einhalten 
  • Vertragliche Anpassungen 

NIS2: Umgang mit Sicherheitsvorfällen

Was muss bei NIS2 gemacht werden?
 Ein effektives Business Continuity Management (BCM) bildet die Grundlage für den Umgang mit IT-Sicherheitsvorfällen. Ein BCM stellt sicher, dass kritische Geschäftsprozesse auch bei schweren Vorfällen aufrechterhalten werden. 

Hier sind die wichtigsten Aspekte:

Risikobewertung und -analyse:

  • Identifikation und Bewertung potenzieller Bedrohungen und Schwachstellen 
  • Durchführung einer Business Impact Analysis (BIA) zur Bewertung der Auswirkungen verschiedener Szenarien 

Notfall- und Wiederherstellungspläne:

  • Entwicklung detaillierter Notfallpläne mit spezifischen Massnahmen und Verantwortlichkeiten. 
  • Implementierung von Wiederherstellungsplänen zur schnellen Wiederherstellung von Systemen und Daten. 

Mitarbeiterschulung und Sensibilisierung:

  • Regelmässige Schulungen und Übungen der Mitarbeiter reduzieren Risiken und bereiten auf den Notfall vor. 
  • Förderung des Bewusstseins und Massnahmen zur Prävention erhöhen ebenfalls die Sicherheit. 

Technische Massnahmen und Prävention:

  • Implementierung von entsprechenden Massnahmen, wie Firewalls, Intrusion Detection Systeme und regelmässige Updates. 
  • Durchführung regelmässiger Sicherheitsaudits und Pentests zum frühzeitigen Aufdecken von Schwachstellen. 

Anforderungen der NIS2-Richtlinie

Die NIS-2-Richtlinie der EU setzt neue Standards und erhöht die Anforderungen an Unternehmen, insbesondere in kritischen Sektoren

Erhöhte Anforderungen für die Sicherheit:

  • Implementierung von Massnahmen zur Verwaltung von Risiken und Verhinderung von Sicherheitsvorfällen. 
  • Sicherstellung der physischen und logischen Sicherheit von Netzwerken und Systemen innerhalb der IT-Struktur. 

Meldepflicht:

  • Unternehmen müssen signifikante Vorfälle unverzüglich an die zuständigen Behörden melden. 
  • Die Meldung muss detaillierte Aussagen über die Art und die Auswirkungen des Vorfalls enthalten. 

Sorgfaltspflicht und Haftung:

  • Führungskräfte sind verpflichtet, angemessene Massnahmen umzusetzen und zu überwachen. 
  • Zudem haften Geschäftsführerinnen und Geschäftsführer persönlich, wenn die NIS2-Richtlinie nicht ordnungsgemäss umgesetzt wurde 
  • Verletzungen der Sorgfaltspflicht können zu erheblichen Bussgeldern und rechtlichen Konsequenzen führen. 

Umgang mit einem IT-Sicherheitsvorfall

Erkennung und Bewertung

  • Einsatz von Überwachungstools zur frühzeitigen Erkennung von Anomalien. 
  • Einrichtung eines Security Operations Centers (SOC) zur dauerhaften Überwachung. 
  • Incident-Response-Team (IRT)
  • Bildung eines Teams aus IT-Sicherheitsfachleuten und Geschäftsvertretern. 
  • Klare Definition von Rollen und Verantwortlichkeiten. 

Sofortmassnahmen

  • Eindämmung des Vorfalls durch Isolierung betroffener Systeme. 
  • Sicherung von Beweismitteln und Zusammenarbeit mit Forensik-Experten. 

Analyse und Wiederherstellung

  • Ursachenanalyse und Behebung des Vorfalls. 
  • Wiederherstellung betroffener Systeme und Validierung der Massnahmen. 

Krisenkommunikation und Dokumentation

  • Informierung interner und externer Stakeholder über den Vorfall. 
  • Bereitstellung regelmässiger Updates zur Gewährleistung von Transparenz. 

Nachbereitung und Verbesserung

  • Durchführung von Nachbesprechungen zur Bewertung des Vorfalls. 
  • Optimierung der Massnahmen zur Erhöhung der Sicherheit basierend auf gewonnenen Erkenntnissen. 

Dieser umfassende Ansatz gewährleistet, dass Unternehmen gut auf IT-Sicherheitsvorfälle vorbereitet sind und effektiv darauf reagieren können. Zudem stellt er sicher, dass die NIS2-Compliance beachtet wird. 

NIS2 Incident Response: Was Unternehmen jetzt machen sollten

Die NIS2-Richtlinie sieht einen dreistufigen Meldeprozess vor, um sicherzustellen, dass Sicherheitsvorfälle effizient und zeitnah gemeldet werden. 

Die Richtlinie sieht einen dreistufigen Meldeprozess vor:

Vorläufiger Bericht

Dieser erste Bericht muss eine sofortige Einschätzung des Vorfalls enthalten, um rasch reagieren zu können. 
Er muss innerhalb von 24 Stunden eingereicht werden.

Vollständiger Bericht

Innerhalb der nächsten 72 Stunden ist ein detaillierterer Bericht erforderlich. Dieser Bericht muss eine erste Bewertung des Vorfalls und seiner Auswirkungen liefern.

Monatlicher Abschlussbericht

Schliesslich muss ein umfassender Abschlussbericht innerhalb eines Monats eingereicht werden. Dieser Bericht muss alle relevanten Infos und eine detaillierte Beschreibung des Vorfalls umfassen.

Die Implementierung dieses Meldeprozesses stellt sicher, dass die NIS2-Anforderungen eingehalten werden. Unternehmen müssen ihre Strategien und SOC-Infrastruktur anpassen, um diesen strengen Meldepflichten gerecht zu werden. Dadurch verbessern sie nicht nur ihre Cybersicherheit, sondern auch ihre digitale Resilienz. 

Beitrag eines SOC zur Erfüllung der NIS2-Anforderungen

Ein Security Operations Center (SOC) kann massgeblich zur Einhaltung der NIS2-Anforderungen beitragen:

1. Fortlaufende Überwachung

Ein SOC ermöglicht die 24/7-Überwachung von Netzwerken und Systemen. Dies ist entscheidend für die frühzeitige Erkennung bei einem NIS2 Incident Response.

2. Incident Response

SOCs sind darauf ausgerichtet, schnell auf einen Incident Response zu reagieren. Dies entspricht den NIS2-Anforderungen zur zeitnahen Meldung von Vorfällen.

3. Risikomanagement

Durch die ständige Analyse von Bedrohungen und Schwachstellen unterstützt ein SOC das umfassende Management. Dies hilft bei der effektiven Bewältigung von Risiken. Dies ist eine zentrale Anforderung von NIS2.

4. Berichterstattung

SOCs können die für NIS2 erforderlichen detaillierten Berichte über Vorfälle erstellen. Diese Berichte umfassen die Indicators of Compromise und Beschreibungen der Vorfälle.
 

5. Proaktive Sicherheit

Ein SOC hilft bei der Implementierung & Überwachung von Massnahmen zur Erhöhung der Sicherheit. Dies unterstützt den präventiven Ansatz von NIS2.

6. Compliance-Unterstützung

SOCs können bei der Einhaltung der spezifischen technischen Massnahmen helfen, die von NIS2 gefordert werden. Sie unterstützen auch bei der Umsetzung der notwendigen Massnahmen.

7. Schulung und Bewusstsein

SOCs können zur Schulung von Mitarbeitern in Bezug auf Cybersicherheit beitragen. Dies ist ebenfalls eine Anforderung von NIS2.

8. Lieferkettenmanagement

Ein SOC kann bei der Überwachung und Absicherung der gesamten digitalen Lieferkette unterstützen. Dies ist ein wichtiger Aspekt von NIS2.

Effiziente Unterstützung durch Dienstleister 

Als SOC-Partner können Dienstleister bei der Umsetzung dieser Massnahmen unterstützen: 

  • Echtzeit-Analyse von Incident Response und Risiken 
  • Schnelle Erkennung von Cyberangriffen 
  • Effizientes Detection Engineering zur proaktiven Bedrohungsabwehr 
  • Automatisierte Plattformen zur Integration von Tools für Cybersicherheit 
  • Unterstützung bei Audit-Prüfungen und Compliance-Anforderungen 

Durch diese Dienstleistungen stärken SOC-Partner die NIS2 Security von Unternehmen. Sie helfen ihnen, ihre digitale Infrastruktur effektiv zu sichern und gesetzlichen Anforderungen gerecht zu werden. Die Integration eines SOC verbessert die Fähigkeit von Unternehmen, die NIS2-Anforderungen zu erfüllen. Sie stärkt auch ihre gesamte Cybersicherheit. 

NIS2 Auswirkungen bei Missachtung der Richtlinie

Die NIS2-Richtlinie umfasst umfassende Anforderungen für Unternehmen, die Vorfälle im Bereich der Cybersicherheit melden müssen. Sie verlangt zudem ein effektives Cyber-Risikomanagement sowie entsprechende Massnahmen in der Lieferkette. 

Zu den technischen und organisatorischen Massnahmen gehören unter anderem Zugriffskontrollen, wie Multi-Faktor-Authentifizierung und Verschlüsselung. Auch physische Sicherheit und Schulungen zur Erhöhung des Bewusstseins für Mitarbeiter sind wichtig. Werden entsprechende Massnahmen umgesetzt, können NIS2 Folgen vermieden werden. 

Sanktionen bei Missachtung 

Die Verantwortung für die Umsetzung der NIS2-Anforderungen liegt bei der Geschäftsleitung. Diese muss regelmässig an Schulungen teilnehmen, um Risiken bewerten und geeignete Massnahmen umsetzen zu können. Geschäftsleiter haften mit ihrem Privatvermögen bei Verletzung ihrer Pflichten, und Unternehmen drohen hohe Bussgelder bei Nichteinhaltung der NIS2-Regeln. 

Das NIS2-Umsetzungsgesetz (Stand Mai 2024) regelt die Bussgelder, die im Vergleich zur Vorgängerversion deutlich erhöht wurden. Die Strafen unterscheiden sich je nach Art der Einrichtung und Verstoss. 

  • Bei besonders wichtigen Einrichtungen und Betreibern kritischer Anlagen 

    kann das Bussgeld bis zu 10 Millionen Euro betragen. Alternativ kann es einen Höchstbetrag von mindestens 2 % des gesamten weltweiten Umsatzes des Unternehmens im letzten Geschäftsjahr erreichen. Massgeblich ist der jeweils höhere Betrag. 
     

  • Der Bussgeldrahmen für wichtige Einrichtungen liegt bei bis zu 7 Millionen Euro.

    Alternativ kann er einen Höchstbetrag von mindestens 1,4 % des gesamten weltweiten Umsatzes des Unternehmens im letzten Geschäftsjahr erreichen. Dabei ist der höhere Betrag massgeblich.

Weitere Bussgelder

  • 2 Millionen Euro für Anbieter im Bereich der Telekommunikation, die BSI-Massnahmen nicht umsetzen. 
  • 500.000 Euro für Verzögerungen oder Verweigerung der geforderten Massnahmen und Nachweise. 
  • 100.000 Euro für geringere Verstösse, wie fehlende Erreichbarkeit der Kontaktstelle oder unvollständige Auskünfte. 

Bussgeldkatalog - Beispiele für Verstösse und Strafen

Höhe des BussgeldesVerstoss
10 Millionen EuroBetreiber kritischer Anlagen (KRITIS) erbringen Nachweise über Erfüllung der Anforderungen nicht, nicht richtig oder nicht vollständig.

Besonders wichtige Einrichtungen setzen Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig um bzw. übermitteln Meldungen nicht, nicht richtig, unvollständig oder nicht rechtzeitig. (ist der Umsatz der Firmen höher als 500 Millionen Euro, beträgt das Bussgeld 2 % des weltweiten Jahresumsatzes)
7 Millionen EuroWichtige Einrichtungen setzen Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig um bzw. übermitteln Meldungen nicht, nicht richtig, unvollständig oder nicht rechtzeitig. (ist der Umsatz der Firmen höher als 500 Millionen Euro, beträgt das Bussgeld 1,4 % des weltweiten Jahresumsatzes)
2 Millionen Euroz. B
TK-Anbieter treffen keine durch das BSI angewiesenen Massnahmen zur Abwehr konkreter erheblicher Gefahren.

Betreiber kritischer Anlagen liefern keine geeigneten Nachweise über die erfolgte Mängelbeseitigung.
500.000 Euroz. B. 
Besonders wichtige und wichtige Einrichtungen verweigern, die durch das BSI angewiesenen erforderlichen Massnahmen zur Verhütung oder Behebung eines Sicherheitsvorfalls oder Mangels oder die Berichterstattung darüber bzw. erbringen den geforderten Nachweis nicht oder nicht rechtzeitig.

Das BSI wird über Änderungen an Registrierungsdaten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet.

Betreiber kritischer Anlagen liefern Nachweise über Erfüllung der Anforderungen nicht rechtzeitig.

Hersteller von IT-Systemen verweigern die durch das BSI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei IKT-Produkten.
100.000 Euroz. B. 
Kontaktstelle ist nicht erreichbar.

Betreiber kritischer Anlagen liefern fahrlässig einen Nachweis nicht richtig oder vollständig.

Hersteller verweigern Auskunft zu Produkten und Systemen (v. a. technische Details).

Betreiber kritischer Anlagen, wichtige und besonders wichtige Einrichtungen verweigern die Unterrichtung von Kunden sowie die Einsetzung eines Überwachungsbeauftragten.

Das NIS2 Umsetzungsgesetz

NIS2-Umsetzung in Deutschland: Wichtige Informationen

Wann tritt NIS2 in Kraft? Die NIS2-Richtlinie wurde Anfang 2023 von der Europäischen Union verabschiedet und soll bis zum 17. Oktober 2024 in nationales Recht in allen Mitgliedsstaaten überführt werden.  

Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) sollte ursprünglich im März 2024 veröffentlicht werden. Jedoch wird es voraussichtlich erst im Oktober 2024 in Kraft treten.  

Ein Diskussionspapier vom Bundesministerium des Innern und für Heimat (BMI) erschien am 23. September 2023, doch offizielle Entwürfe sind noch ausstehend. Der neueste Referentenentwurf vom 3. April 2024 gelangte im Mai 2024 an die Öffentlichkeit. Allerdings sind Verzögerungen bei der Fertigstellung zu erwarten. 

Das NIS2UmsuCG zielt darauf ab, die Cybersicherheit in Deutschland zu erhöhen. Dies soll geschehen, indem Unternehmen und Einrichtungen in kritischen Sektoren umfangreiche Massnahmen zur Erhöhung der Sicherheit implementieren.  

Der NIS2 Umsetzungsgesetz Referentenentwurf stellt hierbei die Grundlage für die spezifischen Anforderungen dar. Unternehmen sollten proaktiv prüfen, ob sie von den neuen Anforderungen betroffen sind, und frühzeitig Massnahmen zur Einhaltung einleiten. Ein Readiness Assessment kann dabei helfen, die nötigen Schritte zur Erfüllung der Anforderungen in Erfahrung zu bringen.  

Sektoren mit hoher Kritikalität

  • Unternehmen mit mehr als 250 Mitarbeitenden 
  • Jahresumsatz von über 50 Millionen Euro 
  • Bilanz von über 43 Millionen Euro 

Sonstige kritische Sektoren

  • Unternehmen mit mehr als 50 Mitarbeitenden 
  • Jahresumsatz von über 10 Millionen Euro 

Unternehmen sind verpflichtet, eigenständig zu prüfen, ob sie betroffen sind, und ihre Betroffenheit zu registrieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann bei Bedarf eine Betroffenheit anordnen. Unternehmen, die nicht automatisch unter diese Schwellenwerte fallen, können dennoch aufgrund ihrer Kritikalität als Sonderfall betroffen sein. 
Die Umsetzung des NIS2UmsuCG stellt einen entscheidenden Schritt zur Verbesserung der Cybersicherheit in Deutschland dar. Betroffene Unternehmen sollten sich daher frühzeitig auf die neuen Anforderungen vorbereiten. Gleichzeitig sollten entsprechende Strategien zur Verbesserung der Sicherheit entwickelt werden. 

NIS2 – Neue Massstäbe für Cybersicherheit in der EU

Die NIS2-Richtlinie markiert einen bedeutenden Fortschritt in der Cybersicherheit für Unternehmen und öffentliche Einrichtungen in der EU. Durch die Ausweitung auf eine breitere Palette von Sektoren zielt NIS2 darauf ab, die Resilienz kritischer Infrastrukturen zu erhöhen. Zudem werden strenge Anforderungen eingeführt, um die Sicherheitsstandards zu verbessern. 

Zudem werden strenge Anforderungen eingeführt, um die Sicherheitsstandards zu verbessern. Auch die Zusammenarbeit zwischen den Mitgliedstaaten soll dadurch gestärkt werden. Unternehmen müssen strenge Sicherheitsmassnahmen implementieren, regelmässige Risikobewertungen durchführen und Vorfälle innerhalb festgelegter Fristen melden.  

Die Verantwortung liegt bei der Geschäftsführung, die bei Nichteinhaltung mit erheblichen Bussgeldern und rechtlichen Konsequenzen rechnen muss. Ein gut ausgestattetes Security Operations Center (SOC) kann wesentlich zur Einhaltung der NIS2-Anforderungen beitragen. Zudem stärkt es die allgemeine Cybersicherheit. 

Angesichts der bevorstehenden Umsetzung des NIS2-Umsetzungsgesetzes sollten betroffene Unternehmen frühzeitig Massnahmen ergreifen, um die neuen Anforderungen zu erfüllen. Zudem müssen sie ihre digitale Infrastruktur sichern. Wenn Sie Fragen haben oder eine Beratung benötigen, zögern Sie nicht, uns zu kontaktieren. Unser Expertenteam steht Ihnen zur Verfügung, um Ihnen zu helfen, die Herausforderungen der NIS2-Compliance zu meistern. 

 

< Zurück zur Übersicht
Home | Insights | Blog | NIS2: Alles was Sie über die Richtlinie wissen müssen