Die NIS-2-Richtlinie1 ist eine neue EU-Richtlinie im Bereich Cybersicherheit, welche Anfang 2023 in Kraft getreten ist. Ziel der Richtlinie ist es, auf europäischer Ebene ein hohes gemeinsames Cybersicherheitsniveau sicherzustellen. Bis zum Oktober 2024 muss die Richtlinie in nationales, d.h. auch in deutsches Recht überführt werden. Die Arbeiten an einem nationalen Gesetz, bekannt als „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsucG), laufen. Da keine Übergangsfrist zur Umsetzung vorgesehen ist, müssen betroffene Betriebe ab Einführung des Gesetzes die geforderten Sicherheitsanforderungen sicherstellen, Vorfälle anzeigen und sich ggf. bei zuständigen Behörden melden.
In Ihrem Gastbeitrag haben Ihnen Pirmin Puhl von der WIK Consult GmbH und Matthias Henschke vom DLR Projektträger die wichtigsten Informationen zu NIS-2 zusammengestellt.
Kurz und knapp: was bedeutet die Richtlinie?
Die NIS-2-Richtlinie erweitert den Kreis der Unternehmen und Verantwortlichen, die rechtlich zu umfassenden Sicherheitsmaßnahmen verpflichtet werden, deutlich – insbesondere auch über den KRITIS-Sektor hinaus. Mit ihr werden eine Vielzahl von Einrichtungen zur Umsetzung von umfassenden technischen und organisatorischen Maßnahmen (sog. TOM) im Bereich der Informations- und Cybersicherheit verpflichtet. Darüber hinaus müssen diese Unternehmen im Falle eines Cyberangriffs Melde- und Berichtspflichten erfüllen. Auch die Haftungsregelungen, gerade für die Geschäftsleitungen der betroffenen Organisationen, werden verschärft. Sollten die von der Gesetzgebung erfassten Unternehmen die entsprechenden Verpflichtungen nicht, nicht rechtzeitig oder nicht vollständig erfüllen, drohen hohe Bußgelder.
Wer ist betroffen?
NIS-2 richtet sich an Unternehmen in gesellschaftlich relevanten Sektoren. Anhand der Sektoren, aber auch der Unternehmensgröße, werden die Unternehmen nochmals in sogenannte wichtige und besonders wichtige Einrichtungen unterteilt. Unternehmen, die in einem der u.g. Sektoren tätig sind und die mindestens 50 Mitarbeitende haben oder einen Jahresumsatz von über 10 Millionen Euro aufweisen, können in den Anwendungsbereich der NIS-2-Richtlinie fallen. Allerdings können auch kleinere Betriebe von der Richtlinie betroffen sein (s. Abschnitt „Bin ich bzw. ist mein Unternehmen betroffen“)!
Besonders wichtige Einrichtungen
Unternehmen ab 250 Mitarbeitenden oder Unternehmen ab 50 Mio. € Umsatz und Bilanz ab 43 Mio. €
- Energie
- Verkehr
- Finanzwesen
- Gesundheitswesen
- Wasser
- Digitale Infrastruktur
- IKT-Dienste
- Öffentliche Verwaltung
- Weltraum
Wichtige Einrichtungen
Unternehmen ab 50 Mitarbeitenden oder Unternehmen ab 10 Mio. € Umsatz und Bilanz ab 10 Mio. €
- Energie
- Verkehr
- Finanzwesen
- Gesundheitswesen
- Wasser
- Digitale Infrastruktur
- IKT-Dienste
- Öffentliche Verwaltung
- Weltraum
- Sowie:
- Post- und Kurierdienste
- Abfall-
bewirtschaftung - Chemie
- Lebensmittel
- Produktion
- Digitale Dienste
- Forschung
Sowohl besonders wichtige als auch wichtige Einrichtungen müssen gemäß NIS-2 umfangreiche Sicherheitsanforderungen umsetzen. Die Richtlinie fordert dabei jedoch, dass diese sog. Risikomanagementmaßnahmen hinsichtlich der Größe einer Einrichtung, der Wahrscheinlichkeit eines Vorfalls und dessen potenziellen Auswirkungen, z.B. für Wirtschaft und Gesellschaft, verhältnismäßig sind. Ein weiterer Unterschied besteht in der behördlichen Aufsicht: für wichtige Einrichtungen ist eine reaktive Aufsicht nach einem Sicherheitsvorfall vorgesehen, für besonders wichtige Einrichtungen erfolgen Kontrollen regelmäßig und proaktiv.
Zudem soll im Rahmen der Umsetzung der NIS-2-Richtlinie in DEU Recht weiterhin auch die Kategorie der kritischen Infrastrukturen erhalten bleiben. KRITIS-Betreiber mit identifizierten kritischen Anlagen bleiben entsprechend reguliert und erhalten aus der NIS-2-Richtlinie weitere Anforderungen.
Bin ich bzw. ist mein Unternehmen betroffen?
Es ist vorgesehen, dass Unternehmen eigenständig überprüfen müssen, ob sie in den Anwendungsbereich der Richtlinie fallen. Die o.g. Sektoren und Mitarbeitenden- bzw. Umsatzgrenzen dienen als Einstufungshilfen um festzustellen, ob ein Unternehmen direkt betroffen ist.
Allerdings gibt es weitere Voraussetzungen, unter denen auch Unternehmen direkt oder indirekt betroffen sein können. So können auch Betriebe mit weniger als 50 Mitarbeitenden unter die NIS-2-Richtlinie fallen, beispielsweise falls:
- ihr Ausfall erhebliche Konsequenzen für die Wirtschaft oder öffentliche Verwaltung hätte.
- es sich um Unternehmen in der Lieferkette handelt, welche Dienstleistungen oder Produkte im Zusammenhang mit bzw. für kritische Sektoren erbringt,
- es sich um Partnerunternehmen und Dienstleister von durch NIS-2 regulierte Unternehmen handelt. Denn diese sind angehalten, neben der Sicherung der eigenen Informationssysteme auch die Zusammenarbeit mit weiteren Unternehmen angemessen abzusichern, sodass ein gewisser Kaskadeneffekt zu erwarten ist.
Es ist daher wichtig, sorgfältig und unternehmensspezifisch zu prüfen, ob die NIS-2-Richtlinie für das jeweilige Unternehmen gilt. Hierzu können online verfügbare Clicktools eine erste Einschätzung geben, sind jedoch nicht als rechtsverbindliche Analyse zu betrachten. Zu einer selbstständig vorgenommenen Prüfung, ggf. gemeinsam mit Experten, wird dringend geraten.
Zudem gilt der Grundsatz: Auch wenn Ihr Unternehmen nicht zum direkten Adressatenkreis der NIS-2-Richtlinie zählt, kann es von deren Umsetzung und einem erhöhten Cybersicherheitsniveau profitieren – denn auch die Täter unterscheiden nicht, ob ein Unternehmen von NIS-2 erfasst ist oder nicht.
Quelle: (© Mohamed Hassan - Pixabay)Welche Anforderungen gibt es? Welche Maßnahmen müssen umgesetzt werden?
Grundsätzlich schreibt die Richtlinie vor, „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ zu ergreifen, um Risiken zu beherrschen und Auswirkungen von Sicherheitsvorfällen zu minimieren. Relevante Bereiche werden in Artikel 21 der NIS-2-Richtlinie weiter konkretisiert:
- Risikoanalyse und Sicherheitskonzepte für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs (Backup-Management, Notfallwiederherstellung, Krisenmanagement)
- Sicherheit der Lieferkette (Beziehungen zwischen Einrichtungen und Anbietern)
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Bewertung der Wirksamkeit von Risikomanagementmaßnahmen in der Cybersicherheit
- Grundlegende Verfahren der Cyberhygiene und Cybersicherheitsschulungen
- Einsatz von Kryptografie und Verschlüsselung
- Sicherheit des Personals, Zugriffskontrolle und Anlagenmanagement
- Verwendung von Multi-Faktor-Authentifizierung, sichere Kommunikation und Notfallkommunikationssysteme
Dabei müssen die umgesetzten Maßnahmen an das jeweilige Unternehmen sowie an den Stand der Technik angepasst werden. Auch hier gilt es somit, unternehmensindividuell zu analysieren, welche konkreten Maßnahmen es umzusetzen gilt. Des Weiteren sollten Unternehmen insbesondere auch die umfangreichen Berichtspflichten und Haftung der Geschäftsleitung prüfen.
Fußnoten
1 Offizieller Titel: „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148“.
2 Weitere Informationen zu den einzelnen Sektoren finden sich in Anlage 1 (besonders wichtige Einrichtungen) und Anlage 2 (wichtige Einrichtungen) der NIS2-Richtlinie.
Bildquellen
- Elemente der IT-Sicherheit: (© Mohamed Hassan - Pixabay)
- IT-Sicherheit: IconsX – MotionArray
