Alles zur NIS2-Richtlinie

Was ist NIS2 und ab wann gilt die Richtlinie?

Die NIS2-Richtlinie, auch bekannt als Richtlinie über Netz- und Informationssicherheit, handelt von Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union.

Die NIS2-Richtlinie ist eine Überarbeitung der ursprünglichen NIS-Richtlinie (NIS1) und wurde entwickelt, um auf die sich verändernde Bedrohungslandschaft und die neuen Herausforderungen im Bereich der Cybersicherheit zu reagieren.

Sie zielt darauf ab, die Cybersicherheit in Europa weiter zu stärken, indem sie Unternehmen und Organisationen strengere Anforderungen auferlegt, insbesondere in Bezug auf die Meldung von Sicherheitsvorfällen und die Einhaltung von Sicherheitsmaßnahmen.

Was sind die Hauptziele der NIS2-Richtlinie?

  • Verbesserung der Zusammenarbeit zwischen den Mitgliedstaaten

  • Förderung eines kohärenten Cybersicherheitsansatzes in der gesamten EU

  • Gewährleistung eines angemessenen Schutzniveaus für kritische Infrastrukturen und Anbieter digitaler Dienste

Bis wann muss die NIS2 Richtlinie in nationales Recht übergehen?

Die NIS2-Richtlinie ist am 16. Januar 2023 in Kraft getreten und muss von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.

Welche Unternehmen sind von NIS2 betroffen?

Große und mittlere Unternehmen aus Sektoren mit hoher Kritikalität

  • Energie: Unternehmen, die Strom- und Gasversorgung, einschließlich Stromnetze und Gaspipelines, betreiben

  • Verkehr: Unternehmen im Luftverkehr, Schienenverkehr, Straßenverkehr, Seeverkehr und Binnenschifffahrt

  • Banken: Finanzinstitute, einschließlich Banken, Börsen und Zahlungsdienstleister

  • Gesundheitswesen: Krankenhäuser, medizinische Einrichtungen und Dienstleister im Gesundheitswesen

  • Wasser: Wasserversorger und Unternehmen im Bereich der Wasseraufbereitung

  • Digitale Dienste: Plattformen, Marktplätze, Cloud-Service-Anbieter und sonstige digitale Dienstleister

  • Verwaltung von IKT (Informations- und Kommunikationstechnik) Diensten im B2B Bereich

  • Öffentliche Verwaltung

  • Weltraum

Große und mittlere Unternehmen aus sonstigen kritischen Sektoren

  • Post- und Kurierdienste

  • Abfallbewirtschaftung

  • Chemie

  • Lebensmittel

  • Verarbeitendes/herstellendes Gewerbe

  • Anbieter digitaler Dienste und Forschung

Welche Unternehmen gelten als größere und mittlere Unternehmen?

Größenklasse

Beschäftigte (VZÄ)

Jahresumsatz

Jahresbilanzsumme

Kleines Unternehmen (KU)

< 50 und

≤ 10 Mio. Euro oder

≤ 10 Mio. Euro

Mittleres Unternehmen (MU)

< 250 und

≤ 50 Mio. Euro oder

≤ 43 Mio. Euro

Großes Unternehmen (GU)

≥ 250 oder

> 50 Mio. Euro und

> 43 Mio. Euro

Sind auch kleine Unternehmen betroffen?

Kleine Unternehmen sind grundsätzlich nicht von der NIS2 betroffen. Es gibt jedoch folgende Ausnahmen:

  • Vertrauensdienstanbieter

  • Anbieter öffentlicher elektronischer Kommunikationsnetze

  • TLD Namenregister und DNS Dienstanbieter

Wie unterscheiden sich wesentliche und wichtige Einrichtungen?

Wesentliche Einrichtungen

Wichtige Einrichtungen

Große Unternehmen aus Sektoren mit hoher Kritikalität

Mittlere Unternehmen aus Sektoren mit hoher Kritikalität

Große und mittlere Unternehmen aus sonstigen kritischen Sektoren

Auswirkungen für die Unternehmen

Bei der Umsetzung der NIS2-Richtlinie gibt es aus sicherheitstechnischer Sicht keine gravierenden Unterschiede. Lediglich bei der Überwachung und den Sanktionen gibt es Abweichungen. Diese sehen wie folgt aus:

Wesentliche Einrichtungen

Wichtige Einrichtungen

Regelmäßige und gezielte Sicherheitsprüfungen („ex-ante“)

Überprüfungen nur bei begründetem Verdacht („ex-post“)

Stichprobenkontrollen

Vor-Ort-Kontrollen und externe nachträgliche Aufsichtsmaßnahmen

Bußgeldrahmen 10 Mio. Euro oder 2% des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist)

Bußgeldrahmen 7 Mio. Euro oder 1,4% des weltweiten Umsatzes 

Welche Anforderungen stellt NIS2 an Unternehmen?

Ist ein Unternehmen von NIS2 betroffen, ergeben sich neben der Registrierung bei der zuständigen Behörde folgende Anforderungsbereiche, in denen Maßnahmen zur Verbesserung der Cybersicherheit umgesetzt werden müssen:

  • Implementierung eines umfassenden Risikomanagements

  • Sicherheit in der Lieferkette, sprich im Umgang mit Geschäftspartnern, Zulieferern etc.

  • Vorfalls- und Krisenmanagement

  • Grundlegende Cyberhygiene

  • Melde- und Berichtspflichten

Welche Sicherheitsziele müssen bei der NIS2-Richtlinie erfüllt werden?

Betroffene Unternehmen sind durch die NIS2 Richtlinie dahingehend verpflichtet, “geeignete und verhältnismäßige technische operative und organisatorische Maßnahmen [zu] ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme […] zu beherrschen und die Auswirkungen von Sicherheitsvorfällen […] zu verhindern oder möglichst gering zu halten.”

Amtsblatt der Europäischen Union L, 2022/2555, 14. Dezember 2022

Gemäß NIS2 sind Unternehmen verpflichtet, ihre Sicherheitsmaßnahmen dem aktuellen Stand der Technik und den individuellen Bedrohungsszenarien anzupassen. Diese Schutzmaßnahmen müssen einem ganzheitlichen Ansatz folgen, der nicht nur Cyberangriffe, sondern auch andere potenzielle Vorfälle berücksichtigt, die die eigene IT-Infrastruktur und damit die Bereitstellung wesentlicher Dienstleistungen beeinträchtigen könnten.

Folgende Sicherheitsziele sollten mindestens erfüllt sein:

Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme

Beschreibung

Gelöst durch lywand

Regelmäßige Überprüfung der IT Infrastruktur auf Schwachstellen

Ja

Bewertung der Schwachstellen

Ja

Bewältigung von Sicherheitsvorfällen und Krisenmanagement

Beschreibung

Gelöst durch lywand

Behebung des Vorfalls

Teilweise

Aufrechterhaltung des Betriebs

Nein

Wiederherstellung nach einem Vorfall

Nein

Backup Management

Nein

Sicherheit in der Lieferkette

Beschreibung

Gelöst durch lywand

Partnerübergreifende Informationssysteme

Nein

Umgang mit Geschäftspartnern

Nein

Schnittstellen mit Partnern

Teilweise

Management und Offenlegung von Schwachstellen

Beschreibung

Gelöst durch lywand

Monitoring der Schwachstellen

Ja

Behandlung der Schwachstellen

Ja

Überprüfung auf Schwachstellen

Ja

Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit

Beschreibung

Gelöst durch lywand

Dauerhafte Überprüfung der Cybersicherheit

Ja

Prüfung auf Umsetzung und Wirksamkeit von Maßnahmen

Ja

Allgemeine Cyberhygiene und Awareness Schulungen

Beschreibung

Gelöst durch lywand

Zero-Trust Grundsätze

Nein

Softwareupdates

Ja

Gerätekonfigurationen

Ja

Netzwerksegmentierung

Nein

Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung

Beschreibung

Gelöst durch lywand

Prüfung, ob Kommunikationskanäle verschlüsselt sind

Ja

Prüfung der verwendeten Verschlüsselungsalgorithmen und Technologien

Nein

Verschlüsselung von unternehmenswichtigen Daten

Nein

Sicherheit des Personals und Zugriffsmanagement

Beschreibung

Gelöst durch lywand

Least Privilege Ansatz

Nein

Überwachung der Zugriffe

Nein

Sichere Kommunikation und Multi-Faktor Authentifizierung

Beschreibung

Gelöst durch lywand

Meldepflichten an staatliche Institution - CERT/CSIRT

Nein

Prüfung auf aktivierte Multi-Faktor Authentifizierungen

Teilweise

Weitere Informationen finden Sie im Amtsblatt der Europäischen Union.

Thomas Haak

13. März 2024

Kategorie

Ratgeber

Das könnte Sie auch interessieren

Feature

Whitelabeling

Mit dem heiß ersehnten Feature Whitelabeling können Sie die Security Audit Plattform nach Ihrem eigenen Look & Feel anpassen. Um das neue Feature abzurunden, haben wir noch ein zusätzliches “Schmankerl” hinzugefügt: Read-Only Zugänge.

21. März 2024

Feature

Bewertung der Sicherheit

Erfahren Sie in diesem Artikel, warum wir die Eintrittswahrscheinlichkeit als neuen Faktor zur Risikobewertung von Schwachstellen implementiert haben und wie die Bewertung der IT-Sicherheit in unserer Security Audit Plattform genau funktioniert.

28. Februar 2024

Unternehmen

Rückblick 2023

In diesem Artikel blicken wir auf das vergangene Jahr zurück und haben für Sie das Wichtigste zusammengefasst: neu entwickelte Features, Updates zu unserem Partnernetzwerk sowie technische Einblicke in die Security Audit Plattform. Zum Abschluss finden Sie ein Resümee unserer Geschäftsführung sowie einen Ausblick auf das Jahr 2024.

24. Januar 2024