NIS2-Richtlinie: Was 2024 auf Unternehmen zukommt
Das Wichtigste auf einen Blick.
Was ist NIS2?
Die vom Europäischen Parlament und Rat erlassene NIS2-Richtlinie (Netzwerk und Informationssysteme) wird bis Oktober 2024 in nationales Recht umgesetzt und soll die Cybersicherheit innerhalb der Europäischen Union erhöhen. Dabei werden die Mindestanforderungen an die IT-Sicherheit vieler Unternehmen angehoben. Der Nachfolger der bisher geltenden NIS-Richtlinie bringt einige wichtige Neuerungen mit sich - so fallen nun deutlich mehr Sektoren und Unternehmen unter die Richtlinie als bisher. Außerdem gelten fortan strengere Meldepflichten.
Unternehmen sollten sich deshalb rechtzeitig informieren, ob sie betroffen sind und welche Maßnahmen sie ergreifen müssen. Im Folgenden finden Sie einen ersten Überblick. Für eine ausführliche Einführung in das Thema bietet Enobyte NIS2-Seminare an. Natürlich beraten wir Sie auch gerne individuell.
Ist mein Unternehmen betroffen?
NIS2 definiert 18 Sektoren als Schlüsselsektoren. Unternehmen mit mindestens 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz, die in diesen Sektoren tätig sind, müssen sich an die neuen Vorgaben halten und Maßnahmen zur Erhöhung der Cybersicherheit umsetzen. Für einige Sonderfälle gilt die Richtlinie unabhängig der Unternehmensgröße, beispielsweise für DNS-Dienste, TLD-Registrare und qualifizierte Vertrauensdienste, sowie für Betreiber kritischer Anlagen (KRITIS).
Anhänge I und II der NIS2-Richtlinie bestimmen den grundsätzlichen Anwendungsbereich. Dabei wird zwischen "Sektoren hoher Kritikalität" und "sonstigen kritische Sektoren" unterschieden. Diese Sektoren unterteilen sich in weitere Teilsektoren, sodass nicht zwingend alle in diesen Bereichen tätigen Gewerbe unter NIS2 fallen.
-
Sektoren hoher Kritikalität
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (Business-to-Business)
- öffentliche Verwaltung
- Weltraum
-
Sonstige kritische Sektoren
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe / Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Ferner wird zwischen mittleren (50 - 249 Mitarbeiter, <50 Mio. € Umsatz) und großen Unternehmen (>250 Mitarbeiter, >50 Mio. € Umsatz) unterschieden. Unternehmen gelten je nach Sektor, in dem sie ihre Dienste anbieten, aber auch abhängig von ihrer Größe entweder als wichtige oder besonders wichtige Einrichtungen, woraus sich unterschiedliche Pflichten und Bußgelder ergeben können.
Für eine erste Einschätzung, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist, können Sie unser NIS2-Assessment nutzen.
Welche Maßnahmen muss mein Unternehmen ergreifen?
Wenn Ihr Unternehmen unter NIS2 fällt, muss es sich zunächst an die zuständige Behörde (in Deutschland das Bundesamt für Sicherheit in der Informationstechnik - BSI) wenden und folgende Informationen übermitteln:
- Namen und Kontaktdaten, einschließlich IP-Adressbereiche
- Relevante Sektoren und Teilsektoren gemäß den Anhängen I und II der Richtlinie
- Liste der EU-Staaten, in denen die entsprechenden Dienste erbracht werden
Die Richtlinie verlangt darüber hinaus, dass Leitungsorgane regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie zu Managementpraktiken im Bereich der Cybersicherheit sicherzustellen.
Mindestmaßnahmen
NIS2 verlangt technische, operative und organisatorische Maßnahmen für die Sicherheit der Systeme, die für die Erbringung von Diensten genutzt werden.
Diese erfordern mindestens:
- Konzepte zur Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs bei Notfällen, Backup-Management und Wiederherstellung, Krisenmanagement
- Sicherheit der Lieferkette, sicherheitsbezogene Aspekte der Beziehung zwischen Unternehmen und unmittelbaren Anbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
- Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte für den Einsatz von Kryptografie und ggfs. Verschlüsselung
- Sicherheit des Personals, Zugriffskontrolle, Management von Anlagen
- Verwendung von Multi-Faktor-Authentifizierung (MFA), Kontinuierliche Authentifizierung, gesicherte Kommunikation auch im Notfall
Zukünftig kann die EU-Kommission genauere Durchführungsrechtsakte erlassen, in denen technische und methodische Anforderungen zu diesen Maßnahmen festgelegt werden.
Grundsätzlich sollten Unternehmen gemäß ihrem spezifischen Risiko bestimmen, wie die Maßnahmen verhältnismäßig umgesetzt werden können. Die Nichteinhaltung der Maßnahmen kann mit Bußgeldern belegt werden.
Berichtspflichten
Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Erbringung von Diensten haben, müssen der zuständigen Behörde oder einem CSIRT (Cybersecurity Incident Response Team) gemeldet werden.
Dabei gelten die folgenden Fristen:
- Unverzüglich, spätestens innerhalb von 24 Stunden erfolgt eine Erstmeldung
- Innerhalb von 72 Stunden erfolgt eine ausführlichere Meldung, einschließlich einer Bewertung des Schweregrads und der Auswirkungen sowie Kompromittierungsindikatoren
- Spätestens nach einem Monat folgt ein Abschlussbericht bzw. ein Fortschrittsbericht, sofern der Sicherheitsvorfall noch andauert
Auf Ersuchen der zuständigen Behörde oder des CSIRT müssen gegebenenfalls weitere Zwischenberichte erstellt und übermittelt werden.
Weiterhin kann das Unternehmen aufgefordert werden, Kunden oder die Öffentlichkeit über den Vorfall zu informieren.
Nach den aktuellen Entwürfen des aktualisierten BSI-Gesetzes müssen Unternehmen des Finanz- und Versicherungswesens, der Informationstechnik und Telekommunikation, IKT-Dienste und Digitale Dienste ihre Kunden unverzüglich über erhebliche Cyberbedrohungen und mögliche Gegenmaßnahmen informieren.
Wir beraten Sie gerne!
Sie haben noch Fragen oder wünschen sich eine ausführliche Beratung zum Thema NIS2? Enobyte unterstützt Sie gerne auch bei der Umsetzung der neuen Anforderungen.
Zögern Sie nicht uns zu kontaktieren, um die nächsten Termine unseres kostenlosen Einführungsseminars zu erfragen!
Nehmen Sie Kontakt auf
Mehr als 100 Unternehmen vertrauen bereits auf Enobyte.
Wir freuen uns darauf, mit Ihnen in Kontakt zu treten.