Was ist NIS2?

Die NIS2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die am 16. Januar 2023 in Kraft getreten ist. Die EU-Mitgliedstaaten müssen diese Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland gibt es bereits einen Referentenentwurf des Bundesinnenministeriums zur Umsetzung der NIS2-Richtlinie. Das NIS2-Umsetzungsgesetz (NIS2-UmsuCG)¹ ändert die deutsche KRITIS-Regulierung erheblich:

1.  Für etwa 30.000 betroffene Unternehmen in Deutschland, die über klassische kritische Infrastrukturen hinausgehen, steigen die Security-Pflichten. 
2. Die EU-Länder erhalten strengere Anforderungen im Bereich der Lieferkettensicherheit
3. Die Durchsetzung durch die Aufsichtsbehörden wird deutlich konsequenter.

Aufgrund der Zunahme von Cyber-Bedrohungen und der massiven wirtschaftlichen und gesellschaftlichen Abhängigkeit von der IT hat sich gezeigt, dass die aktuellen Richtlinien nicht mehr ausreichen und strengere Anforderungen seitens der EU notwendig sind. NIS2 knüpft daher an die seit 2018 bestehende NIS-Richtlinie an und wird auf einen weit größeren Teil der Wirtschaft ausgeweitet.
Die NIS2-Richtlinie weitete die Vorgaben zur Cybersicherheit auf viele mittelständige Unternehmen aus. Zudem wird der Kreis der betroffenen Branchen auf 18 erweitert. Neben den Betreibern kritischer Anlagen gibt es besonders wichtige Einrichtungen und wichtige Einrichtungen.

Von NIS zu NIS2

NIS hat das Ziel, die Resilienz und Reaktion auf Sicherheitsvorfälle in der EU zu verbessern. Bereits die erste NIS-Richtlinie sollte sicherstellen, dass Unternehmen in kritischen Sektoren wie Trinkwasserversorgung oder digitale Infrastruktur geeignete Maßnahmen ergreifen, um die Sicherheit und Kontinuität Ihrer Netzwerk- und Informationssysteme zu gewährleisten. So bestand bereits die Verpflichtung,

Der Anwendungsbereich der NIS2-Richtlinie geht weit über diese bekannten kritischen Infrastrukturen hinaus. Ein Beispiel aus dem Energiesektor: Der Anwendungsbereich von NIS war auf Unternehmen beschränkt, die Energie in der Strom- und Gasbranche erzeugen, liefern oder regulieren. In der erweiterten NIS2-Richtlinie werden höchstwahrscheinlich auch die Lieferketten dieser Unternehmen, z.B. Betreiber von Ladestationen für Elektrofahrzeuge oder Hersteller von Windturbinen, diese Anforderungen erfüllen müssen.

Von wichtigen und besonders wichtigen Einrichtungen

Die von NIS2 betroffenen Unternehmen in Deutschland teilen sich in vier Gruppen:

1. Betreiber kritischer Anlagen (KRITIS)
2. Besonders wichtige Einrichtungen. Das sind Unternehmen mit 250+ Mitarbeitern oder einem Nettoumsatz von mehr als 50 Mio. Euro und einer Bilanzsumme von 43 Mio. Euro. Diese Unternehmen werden von den Regulierungsbehörden proaktiv überwacht.
3. Wichtige Einrichtungen. Das sind Unternehmen, die mehr als 50 Mitarbeiter beschäftigen und einen Jahresumsatz von mehr als 10 Millionen Euro und eine Bilanzsumme ab 10 Mio. Euro haben. Diese Unternehmen können in regelmäßigen Abständen mit einer Überprüfung rechnen.
4. Bundeseinrichtungen

Ausnahme: Kleinere Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz von weniger als 10 Mio. Euro, müssen als Anbieter von Vertrauensdiensten (z.B. digitale Dienste, die die Vertraulichkeit, Integrität und Authentizität von elektronischen Transaktionen, Kommunikation und Dokumenten gewährleisten), ebenfalls NIS2-konform sein.

Strengere Meldepflichten und hohe Bußgelder für Unternehmen

Wenn Ihr Unternehmen in den Geltungsbereich der NIS2-Richtlinie fällt, hat dies folgende Konsequenzen:

1. Compliance: Sie müssen die Risikomanagement-Maßnahmen und Berichtsmeldepflichten einhalten. Denken Sie daran, die richtigen Sicherheitsmaßnahmen zu ergreifen und schwerwiegende Vorfälle den zuständigen Behörden zu melden.
2. Erhöhte Haftung: Unternehmen, die die NIS2-Richtlinie nicht einhalten und infolgedessen sensible Daten verlieren, können für die Folgen haftbar gemacht werden. Dazu gehören finanzielle Verluste, Rufschädigung und rechtliche Haftung.
3. Kosten: Höchstwahrscheinlich werden Ihnen zusätzliche Kosten entstehen, um die Richtlinie einzuhalten.
   Denken Sie an die Anpassung bestehender Systeme und Prozesse, aber auch an die Schulung neuer Mitarbeiter, die Einführung neuer Tools und die Überwachung potenzieller Bedrohungen.

Das Melden potenzieller Bedrohungen ist eine drastische Maßnahme. Während die erste NIS-Richtlinie die Meldung von Vorfällen innerhalb von 24 Stunden vorschrieb, verlangt die neue NIS2-Richtlinie die Meldung bereits bei potenziellen Bedrohungen. Das bedeutet, dass Ihre IT-Abteilung proaktiv überwachen und berichten muss.

Wie kann Insight helfen?

Insight unterstützt Sie mit Managed Security Operations Services bei der aktiven Überwachung und Berichterstattung.
Unser NIS2-Assessment, Teil unserer Governance, Risiko und Compliance Services, hilft Kunden die Auswirkungen von NIS2 auf ihr individuelles Geschäft zu verstehen und sich auf die neuen Vorschriften vorzubereiten.

Unser Assessment umfasst die folgenden Punkte:

• Kick-off Call: Festlegung von Zielen und Aktivitätenplan
• Assessment: Dokumentationsanalyse und Interview-Serie
• Workshop: Besprechung der Ergebnisse und möglicher Verbesserungs-bereiche
• NIS2 Assessment-Dokumentation: Detaillierter Bericht und nächste Schritte.

Unsere Insight Sicherheits- und Compliance-Experten führen das Assessment auf Grundlage der europäischen NIS2-Leitlinien durch, um die aktuelle Kunden-Compliance in allen anwendbaren NIS2-Kontrollbereichen zu bewerten. Die Ergebnisse präsentiert Insight Kunden in einem Nachbereitungsworkshop und erstellt einen zusammenfassenden Bericht über die Schwerpunktbereiche, um Lücken im Prozess zu schließen.

Im Anschluss an das NIS2-Assessment unterstützt Insight im Zuge von Folgeprojekten Kunden individuell bei der Einhaltung der Vorschriften. Wenden Sie sich an Ihren Insight Account Manager oder kontaktieren Sie einen unserer Insight Cybersecurity-Spezialisten.

Kontakt

NIS2 Checkliste

Unsere Empfehlung für Ihr Unternehmen

Da der bis heute veröffentlichte nationale Entwurf zur NIS-2-Richtline, das NIS2-Umsetzungsgesetz (NIS-2UmsuCG), noch nicht verbindlich ist, bleibt abzuwarten, wie der endgültige Wortlaut nach Abschluss der Trilog-Verhandlungen zwischen EU-Kommission, EU-Parlament und Ministerrat aussehen wird.²

Es ist jedoch bereits ersichtlich, dass die rechtlichen Vorgaben zur Cybersicherheit für Unternehmen erheblich verschärft werden. Gleichzeitig wird der Umsetzungszeitraum vor dem Hintergrund der angespannten Marktlage bei der Verfügbarkeit von Cybersicherheitsexperten und der erforderlichen Vorlaufzeit für die nationale Umsetzung von technischen und organisatorischen Maßnahmen immer kürzer.³

Unternehmen sollten daher nicht bis Ende 2024 warten, um Ihre Sicherheitsvorkehrungen und -verfahren einzurichten, sondern bereits jetzt damit beginnen, folgende Aspekte zu prüfen:

1. Risikoanalyse: Prüfen Sie, welche Systeme und Dienste Ihres Unternehmens am kritischsten sind und somit das größte Risiko bei einem Hack darstellen.
2. Geschäftskontinuität: Haben Sie gute Backup-Pläne einschließlich Katastrophenwiederherstellung und Krisenmanagement?
3. Sicherheit der Lieferkette: Welche potenziellen Risiken gibt es für Ihr Unternehmen durch externe Lieferanten und Dienstleistern?
4. Sicherheit von Netzwerk- und Informationssystemen: Wie sind diese aufgebaut und wie gehen Sie mit Schwachstellen um?
5. Umgang mit Vorfällen: Wie werden Vorfälle derzeit behandelt und möglicherweise registriert?
6. Effektivität: Wie sind Sie aufgestellt bezüglich Richtlinien und Verfahren zur Überprüfung der Wirksamkeit von Cybersicherheit?
7. Menschliche Faktoren: Wie gut sind Ihre Mitarbeiter im Unternehmen über IT- und Sicherheitsrichtlinien informiert? Wären weitere Schulungen und Awareness-Trainings sinnvoll?
8. Kryptografie und Verschlüsselung: Wie sind Sie aufgestellt bezüglich Richtlinien und Verfahren zum Einsatz von Kryptografie und Verschlüsselung?
9. Physische Sicherheit: Personal, Zugangskontrollrichtlinien und Asset Management.
10. Multi-Faktor-Authentifizierung: Wenden Sie diese auf alle Konten an, die aus dem Internet erreichbar sind, administrative Rechte haben und in kritischen Systemen verwendet werden.

Es gibt also viel zu tun, um eine solide Sicherheit aufzubauen und dauerhaft zu gewährleisten. Es geht nicht nur um die Technologie, sondern auch um die Prozesse innerhalb eines Unternehmens und die Menschen, die dort arbeiten. Die oben genannten Prüfpunkte helfen Ihnen zu bestimmen, welche Maßnahmen Sie noch ergreifen oder ausweiten müssen, um so weit wie möglich NIS2-konform zu sein.

Wenn Sie eine individuelle Beratung zu Ihrem Unternehmen wünschen oder mehr über unsere NIS2 Services wissen möchten, kontaktieren Sie uns gerne direkt.

Kontakt

^Quellen:

^{1 Das NIS2-Umsetzungsgesetz NIS2UmsuCG – OpenKRITIS
2 Die NIS-2-Richtlinie – Inhalt und Umsetzung in der Praxis - reuschlaw
3 NIS-2: Alles Wissenswerte zur neuen Richtlinie - PwC}