Die Network and Information Security -Richtlinie (kurz: NIS) ist seit 2018 ein wichtiger Schritt für mehr Cybersicherheit in Europa. Die NIS 2 hebt zum 18. Oktober 2024 die NIS auf. 

Die NIS 2 Cybersicherheitsanforderungen gelten für

• Unternehmen, die unter die Bestimmungen des Bundesamts für Katastrophenschutz fallen und
• Subunternehmer und Dienstleister, die diese Unternehmen unterstützen.

Wir wollen uns heute damit befassen, für wen die NIS 2 Richtlinie konkret gilt und was umgesetzt werden muss.

Welche Unternehmen sind konkret betroffen?

Um die Frage beantworten zu können, kommt es auf grundsätzlich zwei Kriterien an: Unternehmensgröße und Unternehmenssektor.

1. Kriterium: Die Unternehmensgröße

Unternehmen mit

• mindestens 50 Mitarbeiterinnen und Mitarbeitern und
• einem Jahresumsatz/einer Jahresbilanz von über 10 Mio. Euro

‍können unter den Anwendungsbereich der NIS-2-Richtlinie fallen.

Unabhängig von der Unternehmensgröße und des Umsatzes greifen die Vorgaben von NIS 2, wenn eine kritische Tätigkeit ausgeübt wird, die Auswirkungen auf die öffentliche Ordnung nimmt oder Systemrisiken sowie grenzüberschreitende Auswirkungen bestehen. NIS 2 gilt damit auch für öffentliche Verwaltungen auf zentraler und regionaler Ebene.

Die NIS-2-Richtlinie gilt nicht für Einrichtungen, die Tätigkeiten in Bereichen wie Verteidigung oder nationale Sicherheit, öffentliche Sicherheit und Strafverfolgung ausüben.

• Kriterium: Der Unternehmenssektoren

NIS 2 identifiziert 18 kritische Sektoren, die in Sektoren mit hoher Kritikalität und in sonstige kritische Sektoren unterteilt werden:

Sektoren mit hoher Kritikalität:

• Energie (umfasst die gesamte Energieversorgung)
• Verkehr (beinhaltet Straßen-, Schienen-, Luft- und Seetransport; Lieferkette erstreckt sich von der Herstellung von Fahrzeugen über den Betrieb von Verkehrswegen bis zur Bereitstellung von Transportdienstleistungen)
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• Verwaltung von IKT-Diensten (B2B), d.h. das Bereitstellen von Informationstechnologie-Dienstleistungen und -Sicherheitslösungen für andere Unternehmen
• Öffentliche Verwaltung
• Weltraum

Sonstige kritische Sektoren

• Produktion, Herstellung und Handel mit chemischen Stoffen
• Lebensmittelproduzenten, -verarbeiter und -händler
• Herstellung kritischer Produkte, z.B.
  • Medizinprodukte, In-vitro-Diagnostika, Computer, Elektronik
  • Maschinenbau, Fahrzeugbau (Kraftwagen und -wagenteile, sonstiger Fahrzeugbau)
• Anbieter digitaler Dienste (Social Networking Plattformen, Suchmaschinen, Online-Marktplätze)
• Forschung
• Post- und Kurierdienste
• Abfallbewirtschaftung

Was muss umgesetzt werden?

Im Rahmen des Risikomanagements müssen einige Maßnahmen umgesetzt werden, dies gilt für alle betroffenen Unternehmen. Zu diesen Maßnahmen des Risikomanagements zählen:

• Konzepte zur Risikoanalyse
• Bewältigung von Sicherheitsvorfällen
• Maßnahmen des Business Continuity Managements
• Sicherheit in der Lieferkette in Bezug auf unmittelbare Anbieter oder Diensteanbieter
• Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
• Cyberhygiene und Awareness Schulungen im Bereich der Cybersicherheit
• Sicherheit des Personals
• Einsatz von Kryptographie und Verschlüsselung
• Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
• Sichere Sprach-, Video-, Text- und ggf. Notfallkommunikationssysteme

Außerdem kommen Melde- und Nachweispflichten hinzu. Kritische Sektoren müssen jetzt:

Erstmeldung eines bedeutenden Sicherheitsvorfalls innerhalb von 24 Stunden nach Entdeckung veranlassen.

Eine erste Bewertung des Vorfalls innerhalb von 72 Stunden nach der Entdeckung abgeben.

Einen detaillierten Abschlussbericht innerhalb eines Monats nach der Entdeckung einreichen. 

Betreiber kritischer Anlagen müssen außerdem Systeme zur Angriffserkennung implementieren.

Sanktionen?

Es können bei bestimmten Verstößen oder Zuwiderhandlungen Geldbußen von bis zu 10 Millionen Euro oder 2% des Jahresumsatzes verhängen. Darüber hinaus können kritische Leitungsorgane (d.h. Führungsteams) persönlich für Verstöße haftbar gemacht werden.

Wie können Sie sich vorbereiten

Bis 17.10.2024 müssen die Mitgliedsstaaten die NIS 2-Richtlinie in nationales Recht umgesetzt haben.

Aufgrund des komplexen Themas können Sie sich ab heute vorbereiten, nutzen Sie die Zeit, um z.B.

• festzustellen, ob Ihr Unternehmen nunmehr unter NIS 2 fällt
• Ihre Risiken festzustellen und zu bewerten
• Ihren Sicherheitsstatus zu bewerten
• Maßnahmen zur Stärkung gegen z.B. Ransomware-Angriffe zu ergreifen
• Ihre NIS 2-Dienstleister zu identifizieren und zu prüfen
• Ihren aktuellen Notfallplan zu überprüfen
• Ihre Mitarbeiterinnen und Mitarbeiter zu schulen.