NIS2: Höhere Sicherheit für kritische Infrastrukturen in Europa

Seit Anfang Januar 2023 ist die NIS2-Richtlinie (Network Information Security) in Kraft. Sie soll die Sicherheit kritischer Infrastrukturen (KRITIS) europaweit signifikant erhöhen und vereinheitlichen. Die EU hat mit NIS2 die Vorgaben verschärft sowie die Zahl der betroffenen Unternehmen und Sektoren ausgeweitet. Neben den bisherigen KRITIS-Betreibern gibt es jetzt als neue Kategorien die wesentlichen und wichtigen Einrichtungen.

Großflächige Stromausfälle, Störung der Wasserversorgung oder längerfristiger Ausfall des Internets – Angriffe auf die Betreiber kritischer Infrastrukturen (KRITIS) können sich gravierend auf die Bevölkerung auswirken. Daher gelten für KRITIS-Betreiber grundsätzlich strengere Anforderungen an die IT- und Informationssicherheit. Zentrale Rechtsgrundlage hierzulande sind das BSI-Gesetz (BSIG) sowie die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIG (BSI-Kritisverordnung, BSIKritisV).

Demnach gelten nur Einrichtungen oder Anlagen als KRITIS, die bestimmte Schwellenwerte überschreiten (erhebliche Größenordnung). Diese Werte sind meist so zugeschnitten, dass eine Untergrenze von 500.000 Einwohnern versorgt wird. Daher ist die Zahl der KRITIS-Betreiber naturgemäß begrenzt. Die Schwellenwerte sind aber umstritten. Beispiel Wasserwerke: Aktuell gelten nur etwa 1 Prozent der rund 5.500 deutschen Wasserwerke als KRITIS-Betreiber mit entsprechend hohen Sicherheitsanforderungen, da sie mehr als 500.000 Einwohner versorgen. Damit ist beispielsweise das Wasserwerk einer Großstadt wie Augsburg aktuell nicht zu strengeren IT-Schutzmaßnahmen verpflichtet.

NIS2 ERWEITERT DEN KREIS DER KRITIS-UNTERNEHMEN

Mit der neuen NIS2 wird sich die Zahl der entsprechenden KRITIS-Einrichtungen erheblich erhöhen, da diese Schwellenwerte bei den neuen Kategorien der wesentlichen (Essential Entities) und wichtigen Einrichtungen (Important Entities) wegfallen und sich mit wenigen Ausnahmen nach der Unternehmensgröße (Anzahl Mitarbeiter und Umsatz) richten. Ziel ist es, dass mehr Unternehmen aus sensiblen Industrien sich besser vor Cyberangriffen schützen.

Für die bisherigen KRITIS-Betreiber gelten weiterhin die bisherigen Vorschriften, sie fallen aber gleichzeitig automatisch unter die Kategorie der wesentlichen Einrichtungen. Es ist also durchaus kompliziert.

Grundsätzlich trat die EU NIS2 als neue Richtlinie für die Betreiber kritischer Infrastrukturen am 16. Januar 2023 in Kraft. Die Mitgliedsstaaten haben nun 21 Monate Zeit, die EU NIS in nationales Recht zu überführen. Stichtag ist der 17. Oktober 2024. In Deutschland trägt das Gesetz den sperrigen Namen „Umsetzung von EU NIS2 und Stärkung der Cybersicherheit“, oder kurz NIS2UmsuCG. Die Umsetzung der Richtlinie folgt dabei diesem zeitlichen Ablauf:

Die von der NIS2 regulierten wesentlichen und wichtigen Einrichtungen erbringen Dienstleistungen in insgesamt 18 Sektoren. Diese teilen sich in elf Essential-Sektoren und sieben Important-Sektoren auf. Hier eine Übersicht:

Diese Sektoren sind nach Unternehmensgröße reguliert

  • Mittlere Unternehmen:  mit 50 – 250 Mitarbeitern und einem Jahresumsatz von 10 bis 50 Millionen Euro
     
  • Große Unternehmen: mit mehr als 250 Mitarbeitern und einem Jahresumsatz von mindestens 50 Millionen Euro

Entsprechend gelten die Regularien der NIS2 für folgende Unternehmen aus den entsprechenden Sektoren:

  • Betreiber wesentlicher Einrichtungen (Essential Entities): Große Unternehmen aus den 11 Essential-Sektoren sowie unabhängig von der Größe öffentliche Verwaltung, Digitale Infrastruktur wie Domain-Registrare oder Firmen, die von den einzelnen Staaten wegen ihrer großen nationalen Bedeutung als Essentials eingestuft werden.
  • Betreiber wichtiger Einrichtungen (Important Entities): Große Unternehmen der 7 Important-Sektoren, mittlere Unternehmen aller 18 Sektoren (Essential und Important) sowie Firmen, die von den einzelnen Staaten wegen ihrer großen nationalen Bedeutung als Important eingestuft werden.

ANFORDERUNGEN DER NIS2

Für die Betreiber der wesentlichen und wichtigen Einrichtungen legt die NIS2 Mindestanforderungen an die IT- und Informationssicherheit fest. Die Vorgaben für die wesentlichen Einrichtungen sind etwas strenger und werden im Rahmen des Gesetzgebungsverfahrens noch genauer spezifiziert. Grundsätzlich verfolgt die NIS2 einen sogenannten „All-hazard approach“ („All-Gefahren-Ansatz“), um IT, Netzwerke und die physische Infrastruktur vor Sicherheitsvorfällen zu schützen.

Damit dies gelingt, müssen die Betreiber unter anderem folgende Anforderungen erfüllen beziehungsweise Maßnahmen umsetzen:

  • Risikomanagement: Firmen müssen regelmäßig die Risiken ihrer IT-Systeme analysieren, mögliche Risiken und Schwachstellen identifizieren und bewerten sowie entsprechende Gegenmaßnahmen zum Senken der Risiken oder Abwehr der Gefahren implementieren.
  • Technische und organisatorische Maßnahmen: Zum Schutz ihrer Netzwerke, IT-Systeme und Daten müssen Firmen diverse technische und organisatorische Maßnahmen ergreifen. Dazu gehören Themen wie Zugriffskontrolle (u. a. Multi-Faktor-Authentifizierung), Management von Sicherheitsvorfällen u. a. mit Systemen zur Angriffserkennung, sichere Kommunikation, Kryptografie, physische Sicherheit, Security Awareness-Schulungen für Mitarbeiter oder Vorgaben für die Sicherheit beim Einkauf von IT-Lösungen.
  • Business Continuity Management (BCM): Firmen sind verpflichtet, Vorkehrungen für die Aufrechterhaltung des Geschäftsbetriebs im Falle eines Sicherheitsvorfalls zu treffen. Dazu gehören Backup Management, Wiederherstellungspläne (Disaster Recovery), Tests von Notfallplänen oder das Festlegen von Verantwortlichkeiten im Krisenfall (Einrichtung Krisenstab).
  • Sicherheit der Lieferkette (Supply Chain): Firmen müssen zudem die Sicherheit ihrer Lieferketten gewährleisten und dafür sorgen, dass auch externe Dienstleister und Zulieferer ihre Systeme und Daten ausreichend schützen.
  • Meldepflichten: Erhebliche Sicherheitsvorfälle sind binnen 24 Stunden bei der zuständigen Aufsichtsbehörde (BSI) zu melden. Innerhalb von 72 Stunden ist eine ausführliche Analyse des Vorfalls mit Bewertung (Schwere, Auswirkungen, Indikatoren) nachzureichen.

WAS BEDEUTET DAS FÜR UNTERNEHMEN?

Spätestens im Herbst 2024 kommt eine Vielzahl von neuen Vorschriften auf deutsche Firmen in den von der NIS2 definierten Sektoren zu. Die betroffenen Unternehmen sollten daher frühzeitig Maßnahmen ergreifen, um die Vorgaben umzusetzen. Bei einer nicht konformen Umsetzung oder Verstößen gegen die NIS2 drohen hohe finanzielle Strafen mit Summen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes.

Das gilt vor allem für die bisherigen KRITIS-Unternehmen und die Betreiber wesentlicher Einrichtungen, die binnen zwei bis drei Jahren nach Inkrafttreten des Gesetzes erstmalig einen Nachweis für die Maßnahmenumsetzung liefern müssen (z. B. Zertifikat ISO 27001). Sie haben zwar noch bis 2026 Zeit, sollten aber proaktiv agieren, um sich besser zu schützen.

Die Betreiber wichtiger Einrichtungen müssen sich zunächst nur binnen drei Monaten nach der Identifizierung beim BSI registrieren und vorläufig noch keinen Nachweis für die Umsetzung erbringen.

fernao security force GmbH unterstützt Sie beim Thema NIS2 mit folgenden Dienstleistungen:

  • Identifizieren der Anforderungen: Welche Vorgaben der NIS2 treffen auf Ihr Unternehmen zu?
  • Konzeption von Sicherheitsmaßnahmen
  • Aufbau und Implementierung eines Informationssicherheits-Managementsystems nach ISO 27001 (bildet die Basis für die Erfüllung der Anforderungen der NIS2).
< Zurück zur Übersicht
Home | Insights | Blog | NIS2: Höhere Sicherheit für kritische Infrastrukturen in Europa