Die NIS-2 Richtlinie –alles was du wissen musst
Was ist NIS-2?
Wer sich mit dem Thema Cybersicherheit auseinandergesetzt hat, wird an der neuen NIS-2-Richtlinie nicht vorbeigekommen sein. Sie gilt als bedeutende EU-Regulierung und setzt viele Unternehmen jetzt unter Zugzwang.
Der Hintergrund ist ernst: Seit Jahren steigt die Zahl der Cyberattacken kontinuierlich, das Risiko von Cyberattacken auf kritische Infrastruktur verschärft sich und das Schadenausmaß wird immer größer. Die EU hat mit der NIS-2 die Grundlage dafür geschaffen, derartige Risiken zu beschränken.
Die Abkürzung NIS-2 steht für “The Network and Information Security Directive” und soll Cybersecurity und Informationssicherheit für Institutionen und Unternehmen regeln. Die Richtlinie ist seit dem 16.01.2023 in Kraft und soll bis Herbst 2024 in verschiedenen Mitgliedstaten der EU umgesetzt werden. Der für Deutschland geltende Gesetzesentwurf des Bundesinnenministeriums existiert seit Juli 2023 und ist bekannt als NIS-2-Umsetzungs- und Cybersicherheitstärkungsgesetzt (NIS-2UmsuCG).
Was ist mit der Richtlinie NIS-1 passiert?
Tatsächlich ersetzt die NIS-2-Richtlinie die ältere NIS-1 aus dem Jahr 2016. NIS-2 stellt höhere Anforderungen an die betreffenden Institutionen und Unternehmen. Dazu gehören unter anderem erweiterte Meldepflichten, stärkere Sanktionen und einheitliche Strafen und auch der Anwenderkreis hat sich erheblich verbreitert.
Welche Anforderungen stellt NIS-2 an Unternehmen?
NIS-2 bringt Handlungsbedarf für viele Unternehmen und Organisationen. Die wichtigsten Punkte haben wir hier zusammengefasst.
Einordnung Stufen KRITIS:
Unternehmen müssen sich selbst in Stufen und Sektoren einordnen. Betreiber kritischer Infrastruktur “KRITIS” und “besonders wichtiger Einrichtungen” unterliegen verschiedener Vorschriften, auch abhängig von Einrichtungsart und Unternehmensgröße. Diese Tabelle bietet einen Überblick und zeigt verschiedene Stufen der Einordnung:
| Anlage | Kriterium |
| Wichtige Einrichtungen | Mittlere Organisation aus Sektoren mit hoher Krikalität |
| Mittlere und große Organisationen aus Sektoren mit normaler Krikalität | |
| Hersteller von Gütern mit IT-Sicherheitsfunktion | |
| Betreiber im Bereich der oberen Klasse der Störfallverodrnung | |
| Vertrauensdienstanbieter | |
| Besonders Wichtige EInrichtungen | Große Organisationen aus Sektoren mit hoher Kritikalität |
| Mittlere Anbieter von Telekommunikationsdiensten oder Netzen | |
| Betreiber kritischer Anlagen | |
| Qualifizierte Vertrauensdiensleiter | |
| Kritische Anlagen | Bisherige Betreiber Kritischer Infrastrktur |
| Organisationen aus Sektoren mit hoher Krikalität und von großer Bedeutung für das Gemeinwesen |
Risikomanagement:
Risikomanagement ist der zentrale Baustein eines jeden Informationssicherheitsmanagementsystems, kurz ISMS, und somit auch der neuen NIS-2 Richtlinien. Verpflichtete Institutionen und Unternehmen müssen im Rahmen einer umfassenden Risikoanalyse sämtliche Unternehmensrisiken systematisch analysieren, um Schwachstellen zu erkennen und auszuschalten. Interne Schwachstellen, wie etwa veraltete Systeme und Technik und fehlende oder schwache Prozesse, sollen ebenso auf dem Prüfstand stehen wie äußere Risiken wie Cyberangriffe, menschliches Versagen oder Datenschutzverletzungen.
Informationssicherheit:
Informationssicherheit entlang der Lieferkette spielt ebenfalls eine wichtige Rolle. Betroffene Institutionen und Unternehmen müssen also sicherstellen, dass Partner:innen, dienstleistende und zuliefernde Unternehmen Standards in der Informationssicherheit erfüllen. Ein gutes Beispiel für eine mögliche Umsetzung liefert die Automobilbranche mit TISAX®. TISAX ist eine Zertifizierung, die als Branchenstandard gilt. Geregelt werden der Schutz von sensiblen Daten und Informationen, als auch von Prototypen.
Aber auch für andere Branchen gilt: Mit einem standardisierten Informationssicherheitsmanagementsystem können Risiken minimiert und die Sicherheit von Informationen gewährleistet werden.
Meldepflicht:
Erhebliche Störungen müssen an das BSI gemeldet werden, diese Störungen können Prozesse, Komponenten oder ganze IT-Systeme betreffen. Dabei gilt Schnelligkeit vor Gründlichkeit. Der neue Meldeprozess hat drei Stufen: Nach Kenntnis eines Störfalls, muss dieser innerhalb von 24 Stunden gemeldet werden, nach 72 Stunden muss eine Bestätigung erfolgen und eine Abschlussmeldung innerhalb eines Monats nach der Bestätigung. Zwischenmeldungen zwischen Stufe zwei und drei sind optional.
Kontaktstellen:
Für Notfälle und die Kontaktaufnahme durch das BSI, müssen verpflichtete Unternehmen eine Kontaktstelle einrichten und betreiben. Sie muss dem BSI bekannt sein, jederzeit erreichbar und ist auch der Kontaktpunkt für Störfälle.
Verschlüsselung und Zugangskontrolle:
Sensible Informationen und Daten müssen verschlüsselt werden. Einer der Grundsätze der Informationssicherheit ist Vertraulichkeit. Betroffene Unternehmen müssen Sorge tragen, dass personenbezogene Daten oder andere sensible Informationen nur berechtigten Personen zur Verfügung stehen. Die Umsetzung ist mit dem richtigen Passwortmanagement und Multi-Faktor-Authentifizierung oder Single-Sign-On möglich.
Cybersecurity Schulungen:
Laut NIS-2 müssen Mitarbeitende in “Cybersecurity Hygiene” geschult werden. In diesen Schulungen soll vermittelt werden, welche Cybersecurity Bedrohungen existieren und wie mit diesen Risiken umzugehen ist. Dazu gehören der Umgang mit sensiblen Daten, die Nutzung der internen IT-Systeme und Sicherheits-Policies, Passwortmanagement und auch das Erkennen von und der Umgang mit Phishing-Mails.
Business Continuity Management:
Verpflichtete Unternehmen und Institutionen müssen Maßnahmen im Bereich Business Continuity Management (BCM) ergreifen. So wird sichergestellt, dass Betriebskontinuität gewährleistet wird und Prozesse und der Betrieb allgemein in Krisensituationen sichergestellt werden können. Betroffene können sich an Standards zu BCM, wie dem BSI-Standard 200-4, orientieren.
Verschärfung von Sanktionen
Die NIS-2-Richtlinie bringt nicht nur mehr Anforderungen, sondern auch verschärfte Sanktionen und Strafen für verpflichtete Unternehmen und Institutionen. Als Vorlage dient die Datenschutz-Grundverordnung DSGVO.
Allen voran: Um die Verbindlichkeit zu erhöhen, kann die Führungsebene der jeweiligen Organisationen und Unternehmen persönlich haftbar gemacht werden, wenn die Maßnahmen nicht mehr umgesetzt werden.
Für KRITIS Betreiber und besonders wichtige Einrichtungen sind Bußgelder bis zu 10 Millionen Euro oder mindestens zwei Prozent des Jahresumsatzes vorgesehen, abhängig davon, welche Zahl höher ist. Für wichtige Einrichtungen liegt das Bußgeld im Bereich bis zu 7 Millionen Euro oder mindestens 1,4 Prozent des Jahresumsatzes, auch hier abhängig davon, welcher Betrag höher ist.
Ist mein Unternehmen von NIS-2 betroffen?
Durch die Ausweitung der Schwellenwerte im Zuge von NIS-2 im Gegensatz zu NIS-1 sind zukünftig deutliche mehr Unternehmen betroffen. In Deutschland handelt es sich um schätzungsweise bis zu 40.000 Unternehmen, darunter neu auch etwa Onlinemarktplätze, Lebensmittelversorger oder Insurance-Startups. Unternehmen in Branchen, die sich unter Umständen bisher noch nicht im Detail mit Informationssicherheit und einem Informationssicherheitsmanagementsystem ISMS auseinandergesetzt haben.
Folgende Tabelle zeigt die neuen Schwellenwerte für Deutschland nach dem NIS-2UmsuCG
Dazu sind inzwischen 18 Branchen betroffen:
- Energie
- Transport und Verkehr
- Finanz- und Versicherungswesen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Informationstechnik und Telekommunikation
- Verwaltung von IKT-Diensten
- öffentliche Verwaltung
- Weltraum
- Logistik
- Produktion
- Chemie
- verarbeitendes Gewerbe
- Forschung
- Ernährung
- Siedlungsabfallentsorgung
- Anbieter digitaler Dienste
NIS-2-Richtlinie und ISO 27001- die Parallelen
Es gibt bereits Zertifizierungen im Bereich Informationssicherheit. Zum einen die international anerkannte Norm für Informationssicherheit:
Die ISO 27001. Die Zertifizierung ist bereits seit 2018 für alle Betreiber kritischer Infrastrukturen KRITIS verpflichtend und gilt für Institutionen der Wirtschaft, des Staates oder auch für gemeinnützige Vereine. Zum anderen TISAX, seit 2018 die Eintrittskarte in eine Zusammenarbeit mit der Automobilindustrie. Sowohl TISAX als auch die ISO 27001 stellen Anforderungen an Einrichtung und Betrieb von Informationssicherheitsmanagementsystemen und die Beurteilung von Sicherheitsrisiken.
Wer also bereits eine ISO 27001 Zertifizierung oder TISAX hat, deckt bereits einen Großteil der Anforderungen der NIS-2-Richtlinie ab. Die ISO 27001 ermöglicht es, den Scope nur auf einzelne Bereiche einer Organisation anzuwenden. NIS-2 erfordert Stand jetzt eine Gesamtabdeckung. Je nach Scope der ISO 27001 oder TISAX Label kann es allerdings noch zusätzliche Anforderungen durch NIS-2 geben.
Viele Verantwortliche werden sich diese Frage stellen: Wo liegen denn die Unterschiede zwischen ISO 27001 und NIS-2? ISO 27001 ist eine Zertifizierung, die NIS-2 eine Norm. Die Grundaussage ist die gleiche: Jedes Unternehmen sollte ein ISMS aufsetzen. Der Vorteile einer Zertifizierung ist, dass das Sicherheitsniveau von einer akkreditierten Stelle bestätigt wird.