Neue Cybersicherheitsstandards: Was die NIS-2-Richtlinie für Unternehmen in der EU bedeutet

Christian Lipp >> 10. Juli 2024

Hero ImageNIS-2

NIS-2 ist die aktualisierte Version der ursprünglichen NIS-Richtlinie (Network and Information Systems) von 2016. Diese neue Richtlinie zielt darauf ab, die Sicherheit von Netzwerken und Informationssystemen in der Europäischen Union zu verbessern. Sie setzt höhere Cybersicherheitsstandards für Unternehmen und umfasst mehr Branchen und Organisationen als zuvor.

Die NIS-2-Richtlinie (EU 2022/2555) trat Anfang 2023 in der EU in Kraft. Die Mitgliedstaaten müssen diese Standards durch nationale Gesetze umsetzen. In Deutschland wird dies durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) geschehen, das voraussichtlich ab dem 17. Oktober 2024 gilt.

Wer ist betroffen?

WICHTIG!
Behörden, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), informieren nicht darüber, ob ein Unternehmen von NIS-2 betroffen ist. Dies muss jedes Unternehmen selbst anhand bestimmter Kriterien ermitteln.
Ein Unternehmen ist betroffen, wenn es bestimmte Schwellenwerte bei der Anzahl der Mitarbeiter oder dem Jahresumsatz/Jahresbilanzsumme überschreitet und in einem bestimmten Sektor tätig ist.

Schwellenwerte:

Besonders wichtige Einrichtungen:

  • Betreiber kritischer Anlagen (KRITIS-Betreiber)
  • Spezielle Einrichtungen wie Domains, DNS, qualifizierte Vertrauensdienste, größere Telekommunikationsanbieter
  • Einrichtungen mit mehr als 250 Mitarbeitern ODER mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme, aus den Sektoren in Anlage 1 der NIS-2-Richtlinie

Wichtige Einrichtungen:

  • Spezielle Einrichtungen wie Vertrauensdienste, kleinere Telekommunikationsanbieter
  • Einrichtungen mit mehr als 50 Mitarbeitern ODER mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme, aus den Sektoren in Anlage 1 und Anlage 2 der NIS-2-Richtlinie

Hier sind einige Beispiele für betroffene wichtige Einrichtungen:

Gesundheitssektor: Kliniken, größere Arztpraxen und Labore
Finanzsektor: Banken, Versicherungen und Zahlungsdienstleister
Transport und Verkehr: Flughäfen, Bahnbetreiber, Logistikunternehmen
Versorgungsunternehmen: Energieversorger, Wasser- und Abfallmanagementunternehmen
Digitale Infrastruktur: Rechenzentren, Internetknotenpunkte, Cloud-Dienstleister

Dienstleister oder Lieferanten eines von NIS-2 betroffenen Unternehmens können ebenfalls verpflichtet werden, NIS-2-konforme Sicherheitsstandards zu erfüllen. Dies ist wichtig für das Risiko- und Lieferkettenmanagement, um die Sicherheit der digitalen Infrastruktur und Daten zu gewährleisten.

Welche Maßnahmen müssen umgesetzt werden?

Unternehmen müssen verschiedene Sicherheitsmaßnahmen ergreifen, um ihre Netzwerke und Informationen zu schützen, darunter:

  • Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
  • Sicherheit der Lieferkette und zwischen Einrichtungen, Dienstleister-Sicherheit
  • Sicherheit in der Entwicklung, Beschaffung und Wartung
  • Management von Schwachstellen
  • Bewertung der Cybersicherheit und Risiko-Management
  • Schulungen in Cybersicherheit und Cyberhygiene
  • Kryptografie und Verschlüsselung
  • Personalsicherheit, Zugriffskontrolle und Anlagen-Management
  • Multi-Faktor-Authentifizierung und kontinuierliche Authentifizierung
  • Sichere Kommunikation (Sprache, Video und Text)
  • Sichere Notfallkommunikation

Meldepflichten

NIS-2 verschärft auch die Meldepflichten für Sicherheitsvorfälle. Unternehmen müssen Vorfälle innerhalb von 24 Stunden nach Kenntnisnahme an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Ein ausführlicher Bericht muss innerhalb von 72 Stunden nach Kenntnisnahme eingereicht werden. Innerhalb eines Monats ist ein Abschlussbericht erforderlich, der detaillierte Beschreibungen des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält.

Sanktionen

Bei Nichteinhaltung der Vorgaben können wesentliche Einrichtungen mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist. Zudem besteht eine persönliche Haftung der Geschäftsleiter.

NIS-2 und das NIS2UmsuCG sind entscheidende Schritte für Deutschland, um die Cybersicherheit zu verbessern und die Anforderungen der EU-Richtlinie zu erfüllen. Unternehmen müssen sich dieser neuen Realität bewusst sein und entsprechende Maßnahmen ergreifen, um ihre Systeme zu schützen und die Compliance sicherzustellen.

Die nationalen Gesetze zur Umsetzung von NIS-2 befinden sich noch in der Entwicklung, und die Einzelheiten können daher variieren. Weitere Details finden Sie unter folgenden Links:

NIS-2-Richtlinie
Aktueller Referentenentwurf NIS2UmsuCG

Sind Sie unsicher, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist? Kontaktieren Sie uns jetzt für eine Beratung und sichern Sie die Cybersicherheit Ihrer Systeme!

Christian Lipp
Christian Lipp
Senior Consultant

Cloud Security | Microsoft 365

Verwandte Beiträge
Folge uns
X Logo (Twitter)
LinkedIn Logo
Xing Logo