Die NIS2-Richtlinie (2022/2555) wurde entwickelt, um die Cybersicherheitsvorschriften der Europäischen Union zu aktualisieren, die ursprünglich 2016 eingeführt wurden. Diese neue Richtlinie trat 2023 in Kraft und muss bis Oktober 2024 in nationales Recht umgesetzt werden. Sie zielt darauf ab, die Cybersicherheit in der EU zu stärken, indem sie die Anforderungen an Cybersicherheitsmaßnahmen und Meldepflichten für eine breitere Gruppe von Unternehmen und Organisationen verschärft, die wesentliche Dienste für die Gesellschaft erbringen.
Relevanz für Unternehmen
Die NIS2-Richtlinie betrifft Unternehmen, die in vordefinierten Sektoren tätig sind und wesentliche oder wichtige Dienste für die Gesellschaft erbringen. Diese Sektoren umfassen unter anderem das Gesundheitswesen, Energie, Verkehr, Finanzwesen und die Wasserversorgung.
Ein Unternehmen fällt unter die NIS-2-Richtlinie, wenn es folgende Kriterien erfüllt:
- Sektorale Zugehörigkeit: Das Unternehmen gehört einem der 18 vordefinierten Sektoren an, die in der Richtlinie als „wesentlich“ oder „wichtig“ eingestuft sind.
- Größenkriterium: Das Unternehmen überschreitet eine bestimmte Größenordnung, die durch folgende Schwellenwerte definiert ist:
- Mindestens 50 Mitarbeitende oder
- Jahresumsatz/Jahresbilanz von über 10 Millionen Euro.
Erfüllt ein Unternehmen beide Kriterien, fällt es ebenso unter die NIS-2-Richtlinie.
Anforderungen und Pflichten für Unternehmen
Unternehmen, die unter die NIS2-Richtlinie fallen, müssen folgende Anforderungen erfüllen:
- Erhöhte Sicherheitsanforderungen: Unternehmen müssen sicherstellen, dass ihre IT-Infrastruktur und Netzwerke den neuen Sicherheitsstandards entsprechen. Dies umfasst Maßnahmen zum Schutz vor Cyberangriffen, die Sicherung sensibler Daten sowie den Schutz der Lieferkette.
- Meldepflichten: Sicherheitsvorfälle, die die IT-Infrastruktur betreffen, müssen unverzüglich den zuständigen Behörden gemeldet werden. Eine verspätete oder unterlassene Meldung kann zu erheblichen rechtlichen Konsequenzen führen.
- Regelmäßige Sicherheitsüberprüfungen: Unternehmen sind verpflichtet, regelmäßige Prüfungen und Bewertungen ihrer IT-Sicherheitssysteme und Sicherheitsprotokolle durchzuführen, um die Einhaltung der gesetzlichen Anforderungen sicherzustellen.
- Cyberhygiene und Schulungen: Alle Führungskräfte müssen an Schulungen in Cybersicherheit teilnehmen, um die Risiken besser zu verstehen und geeignete Maßnahmen zur Risikominderung zu ergreifen.
- Sanktionen: Bei Nichteinhaltung der Richtlinie drohen empfindliche Bußgelder und weitere Sanktionen. Führungskräfte können im Falle eines Cyberangriffs, der auf eine Nichteinhaltung der Sicherheitsanforderungen zurückzuführen ist, persönlich haftbar gemacht werden.
Weitere Schritte für Unternehmen zur NIS2 Umsetzung
Unternehmen sollten sich frühzeitig mit den Anforderungen der NIS-2-Richtlinie vertraut machen und entsprechende Vorkehrungen treffen. Dies umfasst die Bewertung der aktuellen IT-Sicherheitsmaßnahmen, die Anpassung an die neuen gesetzlichen Anforderungen sowie die Einführung eines umfassenden Cyber-Risikomanagements.
Die Geschäftsführung ist dabei verantwortlich, sicherzustellen, dass alle notwendigen Maßnahmen ergriffen werden, um die gesetzlichen Anforderungen zu erfüllen und Haftungsrisiken zu minimieren. Die frühzeitige Umsetzung dieser Maßnahmen ist entscheidend, um rechtlichen Konsequenzen und möglichen wirtschaftlichen Schäden durch Cyberangriffe vorzubeugen.
Checkliste für die Umsetzung der NIS-2-Richtlinie
- Überprüfung der Sektorzugehörigkeit und Größe: Feststellen, ob das Unternehmen in einem der relevanten Sektoren tätig ist und die Größenkriterien erfüllt.
- Sicherheitsmaßnahmen anpassen: Implementierung und Pflege robuster Sicherheitsmaßnahmen in der IT-Infrastruktur.
- Meldesysteme einrichten: Systeme zur unverzüglichen Meldung von Sicherheitsvorfällen an die zuständigen Behörden etablieren.
- Regelmäßige Sicherheitsüberprüfungen durchführen: Sicherstellen, dass regelmäßige Prüfungen der IT-Sicherheitssysteme durchgeführt werden.
- Schulungen in Cybersicherheit organisieren: Führungskräfte und relevante Mitarbeiter in Cybersicherheit schulen.
- Risikomanagement etablieren: Ein effektives Risikomanagementsystem für Cybersicherheit implementieren.
- Kontinuierliche Überwachung und Anpassung: Regelmäßige Überprüfung und Anpassung der Sicherheitsmaßnahmen, um den aktuellen Bedrohungen gerecht zu werden.
Die Einhaltung dieser Richtlinie ist nicht nur eine rechtliche Verpflichtung, sondern auch eine strategische Maßnahme, um das Unternehmen gegen die wachsenden Bedrohungen der digitalen Welt zu schützen und langfristig abzusichern.
Die NIS-2-Richtlinie (2022/2555) definiert 18 Sektoren, die entweder als „wesentlich“ oder „wichtig“ eingestuft werden. Diese Einstufung beeinflusst die regulatorischen Anforderungen, denen die jeweiligen Unternehmen unterliegen.
Wesentliche Sektoren gemäß NIS2
Diese Sektoren sind von zentraler Bedeutung für das Funktionieren der Gesellschaft und Wirtschaft und unterliegen strengeren Regulierungen:
- Energie
- Elektrizität (Erzeugung, Übertragung, Verteilung)
- Gas (Produktion, Transport, Lieferung, Speicherung)
- Öl (Produktion, Transport, Lieferung)
- Fernwärme (Erzeugung, Verteilung)
- Transport
- Luftverkehr (Flughäfen, Fluggesellschaften, Luftverkehrsmanagement)
- Schienenverkehr (Infrastruktur, Betreiber)
- Schifffahrt (Häfen, Schiffsbetreiber)
- Straßenverkehr (Autobahnbetreiber, Straßenverkehrsmanagement)
- Bankwesen
- Kreditinstitute (z.B. Banken)
- Finanzmarktinfrastrukturen
- Zentralverwahrer
- Abwicklungssysteme (z.B. Börsen)
- Gesundheitswesen
- Gesundheitsdienstleister (Krankenhäuser, Kliniken)
- Hersteller von medizinischen Geräten und Arzneimitteln
- Labordienstleistungen
- Trinkwasserversorgung
- Wasserverteilungsunternehmen
- Trinkwasseraufbereitungsunternehmen
- Abwasser
- Abwasserentsorgungsunternehmen
- Digitale Infrastruktur
- Internet Exchange Points (IXPs)
- Domain Name System (DNS)-Dienstanbieter
- Cloud-Computing-Dienste
Wichtige Sektoren gemäß NIS2
Diese Sektoren sind ebenfalls kritisch für die Gesellschaft, unterliegen jedoch etwas weniger strengen Regulierungen im Vergleich zu den wesentlichen Sektoren:
- Post- und Kurierdienste
- Postdienstleister, die Briefe und Pakete transportieren
- Abfallmanagement
- Abfallentsorgungs- und Recyclingunternehmen
- Chemie
- Unternehmen der chemischen Industrie
- Lebensmittel
- Lebensmittelherstellung, -verarbeitung und -vertrieb
- Herstellung von pharmazeutischen Produkten
- Unternehmen, die Arzneimittel herstellen
- Herstellung von medizinischen Geräten
- Hersteller von Geräten und Ausrüstung für die Gesundheitsversorgung
- Raumfahrt
- Betreiber von Weltraumdiensten und -infrastrukturen
- Öffentliche Verwaltung
- Staatliche Behörden und öffentliche Einrichtungen auf nationaler oder regionaler Ebene
- Soziale Netze und Online-Plattformen
- Betreiber von sozialen Netzwerken und Online-Marktplätzen
Zusammenfassung
Unternehmen, die in einem dieser Sektoren tätig sind, müssen die in der NIS-2-Richtlinie festgelegten Cybersicherheitsanforderungen erfüllen. Wesentliche Sektoren sind strenger reguliert, während wichtige Sektoren geringere, aber dennoch bedeutende Anforderungen erfüllen müssen. Unternehmen sollten ihre Position in diesen Sektoren evaluieren und die entsprechenden Maßnahmen ergreifen, um den gesetzlichen Anforderungen gerecht zu werden.
Im Folgenden finden Sie einen Maßnahmenkatalog zur Umsetzung der NIS-2-Richtlinie, differenziert nach der Relevanz für Unternehmen in wesentlichen und wichtigen Sektoren:
Maßnahmenkatalog zur Umsetzung der NIS2- Richtlinie
- Risikomanagement und Sicherheitsmaßnahmen
- Wesentliche Sektoren:
- Einführung eines umfassenden Risikomanagementsystems für Cybersicherheit.
- Implementierung von Sicherheitsmaßnahmen auf höchstem Niveau (z.B. Firewalls, Verschlüsselung, Zugriffsmanagement).
- Regelmäßige Sicherheitsüberprüfungen und Audits zur Sicherstellung der Einhaltung der NIS-2-Richtlinie.
- Etablierung eines Sicherheitsinformations- und Ereignismanagementsystems (SIEM) zur Echtzeitüberwachung von Bedrohungen.
- Wichtige Sektoren:
- Einführung eines grundlegenden Risikomanagementsystems für Cybersicherheit.
- Implementierung grundlegender Sicherheitsmaßnahmen (z.B. Antivirus, Backup-Strategien).
- Regelmäßige Überprüfung der Sicherheitsmaßnahmen und Durchführung von Penetrationstests.
- Überwachung der IT-Systeme auf bekannte Bedrohungen.
- Meldepflichten
- Wesentliche Sektoren:
- Etablierung eines internen Prozesses zur sofortigen Meldung von Sicherheitsvorfällen an die zuständigen Behörden.
- Einführung eines dreistufigen Meldesystems: Früherkennung, formelle Meldung und abschließender Bericht.
- Dokumentation aller Vorfälle und regelmäßige Berichterstattung an das Management.
- Wichtige Sektoren:
- Einrichtung eines Prozesses zur Meldung von schwerwiegenden Sicherheitsvorfällen.
- Meldung von Vorfällen innerhalb der gesetzlichen Frist an die zuständigen Behörden.
- Regelmäßige Überprüfung und Aktualisierung der Meldeprozesse.
- Schulung und Sensibilisierung
- Wesentliche Sektoren:
- Verpflichtende Schulungen für alle Mitarbeiter, insbesondere Führungskräfte, zu Cybersicherheit und den Anforderungen der NIS-2-Richtlinie.
- Durchführung von regelmäßigen Phishing-Tests und anderen Sensibilisierungsmaßnahmen.
- Entwicklung eines kontinuierlichen Schulungsprogramms zur Auffrischung und Aktualisierung des Wissensstands.
- Wichtige Sektoren:
- Schulungen zu Cybersicherheit für alle relevanten Mitarbeiter.
- Sensibilisierung der Mitarbeiter für grundlegende Cybersicherheitsrisiken und -maßnahmen.
- Jährliche Auffrischung der Schulungen.
- Notfallpläne und Geschäftskontinuität
- Wesentliche Sektoren:
- Entwicklung und Implementierung umfassender Notfallpläne für IT-Sicherheitsvorfälle.
- Regelmäßige Tests und Übungen zur Krisenbewältigung und Wiederherstellung der Geschäftskontinuität.
- Sicherstellung redundanter Systeme und Prozesse zur Minimierung der Ausfallzeiten bei einem Sicherheitsvorfall.
- Wichtige Sektoren:
- Erstellung grundlegender Notfallpläne zur Reaktion auf Cybersicherheitsvorfälle.
- Durchführung von Notfallübungen und Tests der Wiederherstellungsprozesse.
- Implementierung von Backup-Strategien und alternativen Prozessen zur Sicherstellung der Geschäftskontinuität.
- Technische Sicherheitsmaßnahmen
- Wesentliche Sektoren:
- Implementierung fortschrittlicher Technologien zur Angriffserkennung (z.B. Intrusion Detection Systems, Anomalieerkennung).
- Anwendung strengerer Zugriffsrechte und Identitätsmanagement-Systeme.
- Nutzung von multifaktorieller Authentifizierung (MFA) und Verschlüsselung für alle sensiblen Daten.
- Wichtige Sektoren:
- Implementierung grundlegender Angriffserkennungsmaßnahmen.
- Anwendung von Passwortsicherheit und rollenbasierten Zugriffsrechten.
- Nutzung von grundlegender Verschlüsselungstechnologie für wichtige Daten.
- Verwaltung und Kontrolle der Lieferkette
- Wesentliche Sektoren:
- Durchführung einer umfassenden Risikoanalyse der Lieferkette.
- Implementierung von Sicherheitsstandards für alle Lieferanten und Partner.
- Regelmäßige Überprüfung der Cybersicherheit bei kritischen Lieferanten.
- Wichtige Sektoren:
- Durchführung grundlegender Sicherheitsprüfungen der Lieferkette.
- Sicherstellung, dass Lieferanten Mindestanforderungen an Cybersicherheit erfüllen.
- Ad-hoc-Überprüfungen der Sicherheit bei wichtigen Lieferanten.
- Dokumentation und Compliance
- Wesentliche Sektoren:
- Einrichtung einer umfassenden Dokumentation aller Sicherheitsmaßnahmen und -prozesse.
- Regelmäßige interne und externe Audits zur Sicherstellung der Compliance mit der NIS-2-Richtlinie.
- Führung von Aufzeichnungen über alle sicherheitsrelevanten Aktivitäten und Vorfälle.
- Wichtige Sektoren:
- Einrichtung einer grundlegenden Dokumentation der Sicherheitsprozesse.
- Durchführung interner Audits zur Einhaltung der gesetzlichen Anforderungen.
- Führung einfacher Aufzeichnungen über sicherheitsrelevante Aktivitäten.
Fazit
Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen je nach ihrer Einstufung als „wesentlich“ oder „wichtig“ unterschiedliche Maßnahmen ergreifen. Während wesentliche Sektoren umfangreichere und strengere Maßnahmen umsetzen müssen, sind die Anforderungen für wichtige Sektoren weniger komplex, aber dennoch signifikant. Es ist entscheidend, dass Unternehmen ihre Einhaltung der Richtlinie proaktiv planen und umsetzen, um gesetzliche Sanktionen zu vermeiden und ihre Geschäftstätigkeit abzusichern.