Alles zur NIS2-Richtlinie

Erfahren Sie alles Wichtige zur NIS2-Richtlinie in unserem Artikel: Wann ist sie in Kraft getreten, welche Unternehmen betrifft sie und welche konkreten Anforderungen müssen erfüllt werden?

Was ist NIS2 und ab wann gilt die Richtlinie?

Die NIS2-Richtlinie, auch bekannt als Richtlinie über Netz- und Informationssicherheit, handelt von Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union.

Die NIS2-Richtlinie ist eine Überarbeitung der ursprünglichen NIS-Richtlinie (NIS1) und wurde entwickelt, um auf die sich verändernde Bedrohungslandschaft und die neuen Herausforderungen im Bereich der Cybersicherheit zu reagieren.

Sie zielt darauf ab, die Cybersicherheit in Europa weiter zu stärken, indem sie Unternehmen und Organisationen strengere Anforderungen auferlegt, insbesondere in Bezug auf die Meldung von Sicherheitsvorfällen und die Einhaltung von Sicherheitsmaßnahmen.

Was sind die Hauptziele der NIS2-Richtlinie?

Verbesserung der Zusammenarbeit zwischen den Mitgliedstaaten
Förderung eines kohärenten Cybersicherheitsansatzes in der gesamten EU
Gewährleistung eines angemessenen Schutzniveaus für kritische Infrastrukturen und Anbieter digitaler Dienste

Bis wann muss die NIS2 Richtlinie in nationales Recht übergehen?

Die NIS2-Richtlinie ist am 16. Januar 2023 in Kraft getreten und muss von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.

Welche Unternehmen sind von NIS2 betroffen?

Große und mittlere Unternehmen aus Sektoren mit hoher Kritikalität

Energie: Unternehmen, die Strom- und Gasversorgung, einschließlich Stromnetze und Gaspipelines, betreiben
Verkehr: Unternehmen im Luftverkehr, Schienenverkehr, Straßenverkehr, Seeverkehr und Binnenschifffahrt
Banken: Finanzinstitute, einschließlich Banken, Börsen und Zahlungsdienstleister
Gesundheitswesen: Krankenhäuser, medizinische Einrichtungen und Dienstleister im Gesundheitswesen
Wasser: Wasserversorger und Unternehmen im Bereich der Wasseraufbereitung
Digitale Dienste: Plattformen, Marktplätze, Cloud-Service-Anbieter und sonstige digitale Dienstleister
Verwaltung von IKT (Informations- und Kommunikationstechnik) Diensten im B2B Bereich
Öffentliche Verwaltung
Weltraum

Große und mittlere Unternehmen aus sonstigen kritischen Sektoren

Post- und Kurierdienste
Abfallbewirtschaftung
Chemie
Lebensmittel
Verarbeitendes/herstellendes Gewerbe
Anbieter digitaler Dienste und Forschung

Welche Unternehmen gelten als größere und mittlere Unternehmen?

Größenklasse	Beschäftigte (VZÄ)	Jahresumsatz	Jahresbilanzsumme
Kleines Unternehmen (KU)	< 50 und	≤ 10 Mio. Euro oder	≤ 10 Mio. Euro
Mittleres Unternehmen (MU)	< 250 und	≤ 50 Mio. Euro oder	≤ 43 Mio. Euro
Großes Unternehmen (GU)	≥ 250 oder	> 50 Mio. Euro und	> 43 Mio. Euro

Sind auch kleine Unternehmen betroffen?

Kleine Unternehmen sind grundsätzlich nicht von der NIS2 betroffen. Es gibt jedoch folgende Ausnahmen:

Vertrauensdienstanbieter
Anbieter öffentlicher elektronischer Kommunikationsnetze
TLD Namenregister und DNS Dienstanbieter

Wie unterscheiden sich wesentliche und wichtige Einrichtungen?

Wesentliche Einrichtungen	Wichtige Einrichtungen
Große Unternehmen aus Sektoren mit hoher Kritikalität	Mittlere Unternehmen aus Sektoren mit hoher Kritikalität
	Große und mittlere Unternehmen aus sonstigen kritischen Sektoren

Auswirkungen für die Unternehmen

Bei der Umsetzung der NIS2-Richtlinie gibt es aus sicherheitstechnischer Sicht keine gravierenden Unterschiede. Lediglich bei der Überwachung und den Sanktionen gibt es Abweichungen. Diese sehen wie folgt aus:

Wesentliche Einrichtungen	Wichtige Einrichtungen
Regelmäßige und gezielte Sicherheitsprüfungen („ex-ante“)	Überprüfungen nur bei begründetem Verdacht („ex-post“)
Stichprobenkontrollen	Vor-Ort-Kontrollen und externe nachträgliche Aufsichtsmaßnahmen
Bußgeldrahmen 10 Mio. Euro oder 2% des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist)	Bußgeldrahmen 7 Mio. Euro oder 1,4% des weltweiten Umsatzes

Welche Anforderungen stellt NIS2 an Unternehmen?

Ist ein Unternehmen von NIS2 betroffen, ergeben sich neben der Registrierung bei der zuständigen Behörde folgende Anforderungsbereiche, in denen Maßnahmen zur Verbesserung der Cybersicherheit umgesetzt werden müssen:

Implementierung eines umfassenden Risikomanagements
Sicherheit in der Lieferkette, sprich im Umgang mit Geschäftspartnern, Zulieferern etc.
Vorfalls- und Krisenmanagement
Grundlegende Cyberhygiene
Melde- und Berichtspflichten

Welche Sicherheitsziele müssen bei der NIS2-Richtlinie erfüllt werden?

Betroffene Unternehmen sind durch die NIS2 Richtlinie dahingehend verpflichtet, “geeignete und verhältnismäßige technische operative und organisatorische Maßnahmen [zu] ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme […] zu beherrschen und die Auswirkungen von Sicherheitsvorfällen […] zu verhindern oder möglichst gering zu halten.”

Amtsblatt der Europäischen Union L, 2022/2555, 14. Dezember 2022

Gemäß NIS2 sind Unternehmen verpflichtet, ihre Sicherheitsmaßnahmen dem aktuellen Stand der Technik und den individuellen Bedrohungsszenarien anzupassen. Diese Schutzmaßnahmen müssen einem ganzheitlichen Ansatz folgen, der nicht nur Cyberangriffe, sondern auch andere potenzielle Vorfälle berücksichtigt, die die eigene IT-Infrastruktur und damit die Bereitstellung wesentlicher Dienstleistungen beeinträchtigen könnten.

Folgende Sicherheitsziele sollten mindestens erfüllt sein:

Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme

Beschreibung	Gelöst durch lywand
Regelmäßige Überprüfung der IT Infrastruktur auf Schwachstellen	Ja
Bewertung der Schwachstellen	Ja

Bewältigung von Sicherheitsvorfällen und Krisenmanagement

Beschreibung	Gelöst durch lywand
Behebung des Vorfalls	Teilweise
Aufrechterhaltung des Betriebs	Nein
Wiederherstellung nach einem Vorfall	Nein
Backup Management	Nein

Sicherheit in der Lieferkette

Beschreibung	Gelöst durch lywand
Partnerübergreifende Informationssysteme	Nein
Umgang mit Geschäftspartnern	Nein
Schnittstellen mit Partnern	Teilweise

Management und Offenlegung von Schwachstellen

Beschreibung	Gelöst durch lywand
Monitoring der Schwachstellen	Ja
Behandlung der Schwachstellen	Ja
Überprüfung auf Schwachstellen	Ja

Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit

Beschreibung	Gelöst durch lywand
Dauerhafte Überprüfung der Cybersicherheit	Ja
Prüfung auf Umsetzung und Wirksamkeit von Maßnahmen	Ja

Allgemeine Cyberhygiene und Awareness Schulungen

Beschreibung	Gelöst durch lywand
Zero-Trust Grundsätze	Nein
Softwareupdates	Ja
Gerätekonfigurationen	Ja
Netzwerksegmentierung	Nein

Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung

Beschreibung	Gelöst durch lywand
Prüfung, ob Kommunikationskanäle verschlüsselt sind	Ja
Prüfung der verwendeten Verschlüsselungsalgorithmen und Technologien	Nein
Verschlüsselung von unternehmenswichtigen Daten	Nein

Sicherheit des Personals und Zugriffsmanagement

Beschreibung	Gelöst durch lywand
Least Privilege Ansatz	Nein
Überwachung der Zugriffe	Nein

Sichere Kommunikation und Multi-Faktor Authentifizierung

Beschreibung	Gelöst durch lywand
Meldepflichten an staatliche Institution - CERT/CSIRT	Nein
Prüfung auf aktivierte Multi-Faktor Authentifizierungen	Teilweise

Weitere Informationen finden Sie im Amtsblatt der Europäischen Union.

Thomas Haak

13. März 2024

Kategorie

Ratgeber

Das könnte Sie auch interessieren

Ratgeber

Asset Discovery deckt Shadow IT auf: Ein Muss für MSPs

In diesem Artikel erfahren Sie, wie Shadow IT für Unternehmen zu einem unsichtbaren, aber erheblichen Sicherheitsrisiko werden kann. Lernen Sie, wie Asset Discovery IT-Dienstleistern hilft, versteckte Geräte und Anwendungen im Netzwerk aufzudecken. Außerdem stellen wir bewährte Maßnahmen zur Kontrolle von Shadow IT und zur Verbesserung der Netzwerksicherheit vor.

6. November 2024

Ratgeber

Herkömmlicher Schwachstellenscanner vs. Security Audit Plattform

Finden Sie heraus, wie sich die Security Audit Plattform von lywand von traditionellen Schwachstellenscannern unterscheidet und welche Lösung am besten zu Ihrem MSP-Geschäft passt.

7. Oktober 2024

Ratgeber

IT-Sicherheit durch Systemhärtung: Was Sie als MSP wissen müssen

Die Systemhärtung ist ein unverzichtbarer Prozess, um die IT-Infrastruktur Ihrer Kunden zu schützen. Doch was genau bedeutet Systemhärtung und warum ist sie so wichtig?

2. September 2024

Zweck	Damit deine Cookie-Präferenzen berücksichtigt werden können, werden diese in den Cookies abgelegt.
Daten	Akzeptierte bzw. abgelehnte Cookie-Kategorien
Gesetzt von	Lywand Software GmbH
Privacy Policy	lywand.com/datenschutzerklaerung

Zweck	Durch dieses Webanalyse-Tool ist es uns möglich, Nutzerstatistiken über deine Websiteaktivitäten zu erstellen und unserer Website bestmöglich an deine Interessen anzupassen.
Daten	anonymisierte IP-Adresse, pseudonymisierte Benutzer-Identifikation, Datum und Uhrzeit der Anfrage, übertragene Datenmenge inkl. Meldung, ob die Anfrage erfolgreich war, verwendeter Browser, verwendetes Betriebssystem, Website, von der der Zugriff erfolgte.
Gesetzt von	Google Ireland Limited
Privacy Policy	policies.google.com/privacy

Zweck	Darstellung des Unternehmensstandorts mithilfe des Kartendienstes von Google.
Daten	Datum und Uhrzeit des Besuchs, Standortinformationen, IP-Adresse, URL, Nutzungsdaten, Suchbegriffe, geografischer Standort
Gesetzt von	Google Ireland Limited
Privacy Policy	policies.google.com/privacy

Zweck	Komfortable Terminfindung über Calendly direkt auf der Website.
Daten	Termininformationen, Kalenderinformation, Informationen von Software Drittanbietern, Zahlungsinformationen, Chatbot Daten, Marketing Informationen, Log & Geräte Daten, Cookie Daten, Nutzungsdaten
Gesetzt von	Calendly LLC
Privacy Policy	calendly.com/privacy

Zweck	Diese Datenverarbeitung wird von YouTube durchgeführt, um die Funktionalität des Players zu gewährleisten.
Daten	Geräteinformationen, IP-Adresse, Referrer-URL, angesehene Videos
Gesetzt von	Google Ireland Limited
Privacy Policy	policies.google.com/privacy

Cookie-Einstellungen

Was ist NIS2 und ab wann gilt die Richtlinie?

Was sind die Hauptziele der NIS2-Richtlinie?

Bis wann muss die NIS2 Richtlinie in nationales Recht übergehen?

Welche Unternehmen sind von NIS2 betroffen?

Große und mittlere Unternehmen aus Sektoren mit hoher Kritikalität

Große und mittlere Unternehmen aus sonstigen kritischen Sektoren

Welche Unternehmen gelten als größere und mittlere Unternehmen?

Sind auch kleine Unternehmen betroffen?

Wie unterscheiden sich wesentliche und wichtige Einrichtungen?

Auswirkungen für die Unternehmen

Welche Anforderungen stellt NIS2 an Unternehmen?

Welche Sicherheitsziele müssen bei der NIS2-Richtlinie erfüllt werden?

Folgende Sicherheitsziele sollten mindestens erfüllt sein:

Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme

Bewältigung von Sicherheitsvorfällen und Krisenmanagement

Sicherheit in der Lieferkette

Management und Offenlegung von Schwachstellen

Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit

Allgemeine Cyberhygiene und Awareness Schulungen

Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung

Sicherheit des Personals und Zugriffsmanagement

Sichere Kommunikation und Multi-Faktor Authentifizierung

Das könnte Sie auch interessieren

Asset Discovery deckt Shadow IT auf: Ein Muss für MSPs

Herkömmlicher Schwachstellenscanner vs. Security Audit Plattform

IT-Sicherheit durch Systemhärtung: Was Sie als MSP wissen müssen