NIS-2-Richtlinie kurz erklärt
Mit dem Ziel, den Schutz der kritischen Infrastruktur hinsichtlich möglicher IT-Vorfälle und Cyberangriffe auszubauen, wurde 2023 auf europäischer Ebene die NIS-2-Richtlinie verabschiedet (NIS steht dabei für „Network and Information Security“). Damit vergrößert sich die Anzahl der seit 2016 mit der ersten Richtlinie betroffenen Unternehmen und Organisationen (KRITIS) deutlich. Erweitert wurden sowohl die Branchen als auch die Größen, sodass nun auch kleinere Unternehmen als bisher dazugehören sowie unter Umständen auch deren Dienstleister und Auftragnehmer (siehe Abschnitt zur Betroffenheit). Unterteilt wird nun zudem in wesentliche und wichtige Einrichtungen mit Unterschieden bei der Aufsicht und den Konsequenzen.
Ab dem 18. Oktober 2024 gelten dann Meldepflichten und Vorgaben zu notwendigen Sicherheitsmaßnahmen. Werden diese nicht eingehalten, drohen hohe Geldstrafen. Die Richtlinie wird aktuell in nationales Recht umgesetzt, wobei die Mindeststandards der Richtlinie auch erweitert werden dürfen. Umsetzungsmaßnahmen können und sollten also bereits jetzt auf Grundlage der Richtlinie begonnen werden.
Übersicht der betroffenen Unternehmen
Die NIS-2-Richtlinie gilt für Unternehmen (und öffentliche Einrichtungen) der nachfolgenden Branchen bzw. Sektoren mit mindestens 50 Mitarbeitenden oder mindestens 10 Millionen Euro Jahresumsatz und Jahresbilanzsumme. Damit neue Sektoren, die bislang noch nicht zu den Betreibern kritischer Infrastrukturen (KRITIS) zählten, sind in der Übersicht mit (neu) gekennzeichnet.
Indirekt werden sich die Vorgaben auch auf Dienstleister und Lieferanten der Unternehmen und Einrichtungen aus den betroffenen Sektoren auswirken.
Sektoren mit hoher Kritikalität (vollständige Liste siehe Anhang I der Richtlinie)
Große Unternehmen aus dieser Liste (ab 250 Mitarbeitende oder mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme) zählen zu den wesentlichen Einrichtungen. Mittelgroße Unternehmen (zwischen 50 und 249 Mitarbeitende) aus dieser Liste zu den wichtigen Einrichtungen. Dies hat Auswirkungen auf die Prüfung und Konsequenzen (siehe Abschnitt Konsequenzen).
| Sektor | Teilsektoren | Einrichtungen (beispielhaft!) |
|---|---|---|
| Energie |
|
|
| Verkehr |
|
|
| Bankwesen | - |
|
| Finanzmarktinfrastrukturen | - |
|
| Gesundheitswesen | - |
|
| Trinkwasser (neu) | - |
|
| Abwasser (neu) | - |
|
| Digitale Infrastruktur | - |
|
| Verwaltung von IKT-Diensten (Business-to-Business) (neu) | - |
|
| öffentliche Verwaltung (neu) | - |
|
| Weltraum (neu) | - |
|
Aus diesen Sektoren sind auch Einrichtungen unabhängig von ihrer Größe von der Richtlinie betroffen. Hierzu zählen zum Beispiel Anbieter von öffentlichen elektronischen Kommunikationsnetzen, Vertrauensdiensteanbieter, alleinige Anbieter, die essenziell für Gesellschaft und Wirtschaft sind sowie Einrichtungen, deren Ausfall einen großen Effekt für die öffentliche Ordnung, Sicherheit oder Gesundheit hätte.
Weitere kritische Sektoren (vollständige Liste siehe Anhang II der Richtlinie)
Unternehmen aus dieser Liste (große und mittlere) zählen zu den wichtigen Einrichtungen.
| Sektor | Teilsektoren | Einrichtungen (beispielhaft!) |
|---|---|---|
| Post- und Kurierdienste (neu) | - |
|
| Abfallbewirtschaftung | - |
|
| Produktion, Herstellung und Handel mit chemischen Stoffen (neu) | - |
|
| Produktion, Verarbeitung und Vertrieb von Lebensmitteln | - |
|
| Verarbeitendes Gewerbe/Herstellung von Waren (neu) |
|
|
| Anbieter digitaler Dienste (neu) | - |
|
| Forschung (neu) | - |
|
Notwendige Maßnahmen
Betroffene Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Sicherheitsrisiken zu beherrschen und die Auswirkungen von Vorfällen zu verhindern oder möglichst gering zu halten. Die Angemessenheit wird anhand einer Risikobetrachtung geprüft, wo unter anderem individuell die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere betrachtet wird. Zu den Maßnahmen gehören laut der Richtlinie mindestens:
Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
grundlegende Verfahren im Bereich der Cyberhygiene (zum Beispiel Updates) und Schulungen im Bereich der Cybersicherheit
Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Verantwortung der Geschäftsführung und Schulungen
Die Richtlinie legt eine klare Verantwortung für die Umsetzung und Überwachung der Maßnahmen bei der Geschäftsführung (bzw. den „Leitungsorganen“). Hinzukommt die Verpflichtung, selbst an Schulungen teilzunehmen sowie diese den Mitarbeitenden anzubieten. Ziel dabei ist es, ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen zu erhalten.
Melde- und Berichtspflichten bei Vorfällen
Sicherheitsvorfälle müssen durch die betroffenen Unternehmen gemeldet werden. Die in der Richtlinie vorgesehenen Fristen können sich im Umsetzungsgesetz von Deutschland noch ändern, eine schnelle Reaktionsfähigkeit wird dennoch notwendig sein. Die Details zum Ablauf und der Meldestelle folgen ebenfalls noch.
- innerhalb von 24 Stunden ab Kenntnis des Vorfalls: Frühwarnung
- innerhalb von 72 Stunden ab Kenntnis des Vorfalls: Meldung (erste Bewertung des Vorfalls und deren Auswirkungen)
- spätestens nach einem Monat: Abschlussbericht (ausführliche Beschreibung des Vorfalls, der Ursachen sowie Abhilfemaßnahmen)
Registrierung
Betroffene Unternehmen müssen sich bei der nationalen Behörde registrieren lassen. Auch hierzu sind die Details noch nicht festgelegt.
Kontrollen und Konsequenzen
Werden insbesondere die notwendigen Maßnahmen nicht eingehalten und gegen die Meldepflichten verstoßen, können hohe Geldstrafen auf die Unternehmen zukommen.
Von den Aufsichtsbehörden können Vor-Ort-Kontrollen durchgeführt, Nachweise angefordert und Anweisungen mit Fristeinhaltung gegeben werden. Dabei erfolgt dies bei wichtigen Einrichtungen reaktiv, z.B. nach Hinweisen auf Verstöße. Für wesentliche Einrichtungen ist die Aufsicht proaktiv mit zusätzlichen regelmäßigen Sicherheitsprüfungen (auch Ad-hoc).
Als Höchstbeträge für mögliche Geldstrafen wurden in der Richtlinie 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes im vorigen Jahr für wesentliche Einrichtungen festgesetzt. Für wichtige sind es 7 Millionen Euro oder 1,4 Prozent.
Vorgehensweise
Unternehmen werden nicht darüber informiert, ob sie von der NIS-2-Richtlinie betroffen sind. Prüfen Sie daher nach, ob Sie bzgl. Ihrer Größe und Branche dazuzählen. Ist dies der Fall, liegt die Verantwortlichkeit bei der Geschäftsführung. Im Unternehmen müssen passende Personen festgelegt werden, die die Vorgaben operativ umsetzen. Sprechen Sie zudem Ihren bestehenden IT-Dienstleister darauf an. Es ist sehr empfehlenswert, sich für die Umsetzung fachkundige Unterstützung hinzuziehen.