NIS-2-Richtlinie

NIS-2-Richtlinie: Was jetzt für Unternehmen wichtig ist

Die neue EU-Richtlinie für Cybersicherheit im Überblick

 Jetzt anhören: Alle Infos zu NIS-2 gibt es auch im Podcast. Zur aktuellen Folge 

Was ist NIS-2?

Mit der NIS-2-Richtlinie gelten ab Oktober 2024 für viele Unternehmen und Organisationen in 18 kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten – auch für viele, die bisher nicht betroffen waren. NIS2 ersetzt die NIS Directive von 2016 und zielt auf ein besseres gemeinsames Cybersicherheitsniveau in der EU ab. Im Vergleich zur vorigen NIS Directive erweitert NIS2 stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Bei Verstößen gegen die NIS2 Directive drohen hohe Geldstrafen.

 Was bedeutet NIS? 

NIS-Richtlinie steht für „Network and Information Security“-Richtlinie.

Wann tritt NIS-2 in Kraft?

  • NIS-2-Richtlinie (EU) 2022/2555 (Volltext als PDF) ist seit 2023 auf EU-Ebene in Kraft
  • Als Richtlinie nicht direkt anwendbar, sondern erst in nationales Recht umzusetzen
  • Das nationale Recht muss ab 18. Oktober 2024 angewendet werden
  • NIS2 gibt Mindeststandard vor, d.h. die EU-Staaten dürfen strengere Vorschriften erlassen
  • In Deutschland wurde bisher ein Referentenentwurf für das NIS2-Umsetzungsgesetz bekannt

NIS-2: Wer ist betroffen?

Die EU-weite NIS-2-Richtlinie gilt für folgende Einrichtungen, die ihre Dienste in der Europäischen Union erbringen oder ihre Tätigkeiten dort ausüben:

Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme

Einige Sonderfälle unabhängig von ihrer Größe

Übersicht der 18 betroffenen Sektoren

Die NIS2 Directive betrifft Einrichtungen aus 18 Sektoren, die in Anhang I und II aufgeführt sind. Darin steht für jeden Sektor genau, welche „Art der Einrichtung“ betroffen ist. Entscheidend ist daher, ob Sie einer darin genannten Art der Einrichtung entsprechen. Diese Einrichtungen werden in Anhang I und Anhang II jeweils noch genauer definiert.

Sektoren mit hoher Kritikalität (Anhang I der NIS-2):

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten (B2B)
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren (Anhang II der NIS-2):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschung

Sie benötigen Hilfe bei der Umsetzung von NIS-2? Wir sind gerne für Sie da – ganz unverbindlich.

Kontaktieren Sie uns

Was müssen von NIS-2 betroffene Unternehmen und Organisationen tun?

Maßnahmen zum Risikomanagement für Cybersicherheit (Art. 21)

Laut NIS2 müssen Sie mindestens die folgenden Cybersecurity-Maßnahmen umsetzen, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu beherrschen – und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder gering zu halten. Sie müssen die IT-Systeme und deren physische Umwelt schützen („All-Gefahren-Ansatz“). Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen.

 

  • Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
  • Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
  • Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
  • Supply Chain: Sicherheit in der Lieferkette
  • Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme
  • Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
  • Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
  • Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
  • Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
  • Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall

Deutscher NIS2-Gesetzesentwurf:
Nur zertifizierte IKT-Produkte und -Dienste dürfen genutzt werden.

Verantwortung der Geschäftsführung (Art. 20)

  • muss die Umsetzung der Maßnahmen überwachen und haftet für Verstöße
  • muss an Schulungen teilnehmen und diese den Beschäftigten anbieten

 

Meldepflicht von Sicherheitsvorfällen (Art. 23)

Die EU NIS2 Directive schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Die Richtlinie sieht diese Fristen vor, um den Vorfall der Behörde zu melden:

  • Frühwarnung innerhalb von 24 h ab Kenntnis:
    Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.
  • Ausführlicher Bericht innerhalb von 72 h ab Kenntnis:
    Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.
  • Fortschritts-/Abschlussbericht ein Monat nach Meldung:
    Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.

Registrierung (Art. 3 / Art. 27)

Wenn NIS-2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren – wie genau, wird noch festgelegt. Folgende Informationen sind einzureichen:

  • Name Ihrer Einrichtung
  • Anschrift und Kontaktdaten, einschließlich E-Mail-Adressen, IP-Adressbereiche und Telefonnummern
  • ggf. den relevanten Sektor und Teilsektor gemäß Anhang I oder II
  • ggf. eine Liste der EU-Mitgliedstaaten, in denen Sie Dienste erbringen

Hilfe zur NIS-2-Umsetzung             NIS-2-Merkblatt herunterladen

Was passiert, wenn Sie die NIS-2 Vorschriften nicht einhalten?

Bei Verstößen gegen die Risikomanagementmaßnahmen (Art. 21) oder Meldepflicht von Sicherheitsvorfällen (Art. 23) drohen hohe Geldstrafen. Die NIS2 Directive trifft eine Einteilung in wesentliche und wichtige Einrichtungen. Während die Pflichten grundsätzlich gleich sind, unterscheiden sie sich darin, wie streng die Aufsicht ist und wie hoch die Geldstrafen bei Non-Compliance ausfallen.

 

Wesentliche Einrichtungen

Wichtige Einrichtungen

Aufsicht durch Behörden

Proaktive Aufsicht, zum Beispiel:

  • regelmäßige Sicherheitsprüfungen
  • Ad-hoc-Prüfungen
  • Vor-Ort-Kontrollen
  • Anforderung von Nachweisen
  • Anweisungen mit Fristen

Reaktive Aufsicht nach Hinweisen auf Verstöße, zum Beispiel:

  • gezielte Sicherheitsprüfungen
  • Vor-Ort-Kontrollen
  • Anforderung von Nachweisen
  • Anweisungen mit Fristen

Geldstrafen bei Verstößen gegen Art. 21 oder 23

Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist

Höchstbetrag von mindestens 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist

Wer zählt dazu?

Große Unternehmen aus Anhang I:

  • > 249 Beschäftigte, oder
  • > 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz

Größenunabhängige Sonderfälle

Große Unternehmen aus Anhang II:

  • > 249 Beschäftigte, oder
  • > 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz

Mittlere Unternehmen aus Anhang I oder Anhang II:

  • mind. 50 Beschäftigte, oder
  • > 10 Mio. EUR Umsatz und > 10 Mio. EUR Bilanz
  • kein großes Unternehmen

Größenunabhängige Sonderfälle:

  • Einrichtungen, die vom Staat als „wichtig“ eingestuft werden (zum Beispiel alleinige Anbieter)

5 Schritte: Wie fange ich am besten mit der Umsetzung der NIS-2-Richtlinie an?

1. Relevanz für Sie klären:

Sie erhalten keinen Bescheid, ob die NIS2 Directive auf Sie zutrifft. Sie sollten daher prüfen, ob Sie von der neuen NIS Directive betroffen sind:

  • Erbringt Ihre Einrichtung Dienstleistungen in der EU oder übt ihre Tätigkeiten in der EU aus?
  • Entsprechen Sie einer „Art der Einrichtung“, die in Anhang I oder Anhang II der Directive genannt wird? (Beispiel: Anbieter digitaler Dienste > Anbieter von Online-Marktplätzen)
  • Hat Ihre Einrichtung zudem mindestens 50 Beschäftigte, oder mindestens 10 Mio. EUR Umsatz und mindestens 10 Mio. EUR Bilanz, oder ist sie in den größenunabhängigen Sonderfällen enthalten?

 

2. Verantwortlichkeit festlegen

  • Ihre Geschäftsführung sollte mit NIS2 vertraut sein, da sie für die Maßnahmen verantwortlich ist und für Verstöße haftet.

  • Legen Sie eine Person fest, die operativ für die Umsetzung der NIS2 Directive zuständig ist.

  • Finden Sie rechtzeitig erfahrene externe Partner, die Ihnen bei der Umsetzung Ihrer NIS2 Compliance zur Seite stehen.

 

3. Maßnahmen umsetzen

  • Ermitteln Sie in einer Risikoanalyse, welche Maßnahmen für Ihr individuelles Risiko angemessen sind. Beispiel: Reicht bei Ihnen Antiviren-Software aus oder benötigen Sie ein EDR-System?

  • Dabei sind u.a. Stand der Technik, Ausmaß der Risikoexposition und Wahrscheinlichkeit von Vorfällen zu berücksichtigen.

  • Setzen Sie angemessene Maßnahmen zum Risikomanagement um, wie die Bewältigung von Sicherheitsvorfällen, Schulung von Mitarbeitenden und die Bewertung der Wirksamkeit.

 

4. Geschäftskontinuität sichern

  • Erstellen Sie einen Plan, um den Betrieb aufrecht zu erhalten, wenn es zu einem Sicherheitsvorfall kommt (Business Continuity).

  • Dazu gehören Backup-Management, Systemwiederherstellung und Krisenmanagement.

 

5. Meldeverfahren einrichten

  • Um hohe Strafen zu vermeiden, überlegen Sie, wie Sie gewährleisten können, Sicherheitsvorfälle rechtzeitig an die Behörden zu melden.

  • Sie müssen u.a. innerhalb von 24 Stunden eine Frühwarnung und innerhalb von 72 Stunden einen Bericht über Schweregrad, Folgen etc. liefern.

  • Lassen Sie sich bei Bedarf von einem externen Partner beraten, um im Ernstfall vorbereitet zu sein.

 

Hilfe bei der NIS-2-Umsetzung erhalten

Wie G DATA Lösungen Ihnen helfen, die NIS-2-Vorschriften zu erfüllen

  • Artikel 20: Governance / Schulung der Geschäftsführung und Belegschaft
  • Artikel 21: Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • Artikel 23: Berichtspflichten

Sie benötigen Hilfe bei der Umsetzung der NIS2 Directive? Wir sind gerne unverbindlich für Sie da.

Kontakt aufnehmen

Hinweis: Die zur Verfügung gestellten Informationen dienen lediglich Ihrer Information und ersetzen keine individuelle juristische Beratung.