NIS-2: Das steckt dahinter und so handeln Sie konform

Unternehmen unterliegen in der Europäischen Union (EU) nicht nur strengen Regeln hinsichtlich des Datenschutzes. Seit Januar 2023 gibt es auch die sogenannte NIS-2-Richtline der EU, die für eine bessere Cyberresilienz von Unternehmen sorgen soll. Das Ziel: Die novellierte Richtlinie soll vor allem Unternehmen der sogenannten kritischen Infrastruktur (KRITIS) im europäischen Binnenmarkt besser vor Cyberangriffen schützen. Allerdings geht sie weit über den bislang bekannten Anwendungsbereich hinaus. NIS-2 tritt spätestens im Oktober 2024 in Deutschland in Kraft.

Die Europäische Union veröffentlichte die „zweite Richtlinie zur Netzwerk- und Informationssicherheit“ (NIS-2) bereits am 27.12.2022. Bis zur Umsetzung in nationales Recht haben die Mitgliedsstaaten 21 Monate Zeit. NIS-2 ist eine Weiterentwicklung der bisherigen „EU-Richtline über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ (NIS-1) aus dem Jahr 2016.

Was bedeutet NIS-2 konkret für Ihr Unternehmen? Sind Sie davon betroffen und falls ja, wie können Sie Ihr Unternehmen fit für die Bestimmungen der Richtlinie machen? Hier erfahren Sie es.

Grundlagen von NIS-2: Das müssen Sie wissen

Bislang existiert zwar nur ein Grundlagenentwurf des Bundesinnenministeriums, um NIS-2 in ein nationales Gesetz zu überführen. Doch bis Oktober 2024 muss die Richtlinie nach EU-Vorgaben auch in Deutschland rechtskräftig sein. Eine wichtige Prämisse dabei: Bisher fielen vor allem größere Institutionen unter die KRITIS-Gesetzgebung – NIS-2 nimmt dagegen künftig auch kleinere Unternehmen in Haftung. Aus diesem Grund sollten Sie sich baldmöglichst mit den Grundlagen und Anforderungen von NIS-2 befassen.
Von der NIS-2-Richtline betroffene Unternehmen sind dazu verpflichtet, angemessene Maßnahmen in folgenden Bereichen zu ergreifen und in sämtlichen Betriebsprozessen durchzusetzen:
  • Cyber-Risikomanagement
  • Lieferkettensicherheit
  • Business-Continuity-Management
  • Datenverschlüsselung
  • Zutrittsbeschränkungen
  • Berichterstattung an Behörden
  • Abhilfemaßnamen
Der Anwendungsbereich von NIS-2 geht über die klassischen Unternehmen und Institutionen der kritischen Infrastruktur hinaus. Generell soll die Richtlinie dafür sorgen, dass Geschäftsprozesse und die dazu notwendigen IT-Systeme unterbrechungsfrei und sicher laufen. Mit den verschärften Schutzmaßnahmen reagiert die EU auf die enorm gestiegene Zahl von Cyberangriffen in den Jahren seit Inkrafttreten von NIS-1.
Die NIS-2-Richtlinie unterscheidet in ihrem Geltungsbereich zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Der Unterschied liegt in den Sanktionen bei Verstößen sowie der Aufsicht durch die Behörden: Während „besonders wichtige“ Einrichtungen unter eine aktive Aufsicht fallen, gilt für die „wichtigen“ Einrichtungen lediglich die eine reaktive Aufsicht. Das bedeutet, dass die Aufsichtsbehörden die betroffenen Unternehmen nicht benachrichtigen. Sie müssen selbst entscheiden, ob sie in den Geltungsbereich von NIS-2 fallen.
Generell müssen sich betroffene Institutionen bei der Agentur der Europäischen Union für Cybersicherheit registrieren und die nationalen Sicherheitsbehörden künftig über „signifikante Störungen, Vorfälle und Cyber Threats ihrer Dienstleistungen“ unterrichten. Daneben müssen die Security-Maßnahmen der Unternehmen dem aktuellen Stand der Technik in der IT entsprechen. Außerdem müssen betroffene Firmen ein Risikomanagement einrichten.
Was ist KRITIS?

Kritische Infrastrukturen (KRITIS) sind Einrichtungen und Organisationen, die besonders wichtig für das Gemeinwesen sind oder bei deren Beeinträchtigung erhebliche Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen eintreten können. Dazu gehören die Sektoren Energie, Informationstechnik/Telekommunikation, Transport/Verkehr, Gesundheit, Medien/Kultur, Wasser, Ernährung, Staat/Verwaltung, Finanzwesen und Abfallentsorgung. Weitere Informationen dazu sowie zur KRITIS-Verordnung finden Sie auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Unterliegt Ihr Unternehmen den NIS-2-Vorschriften?

Verglichen mit der aktuellen Gesetzgebung erhöht sich die Zahl der Unternehmen und Organisationen in Deutschland, die unter die NIS-2-Richtlinie fallen – und zwar massiv. Gleichzeitig steigen die Anforderungen an Cybersicherheit und der Druck zur Durchsetzung der Richtlinie durch die Behörden. Auch die möglichen Sanktionen und die Haftung bei Verstößen verschärfen sich. Beispielsweise fallen künftig nicht mehr nur Produzenten im Energiesektor unter die neuen Vorschriften, sondern auch sämtliche Beteiligten an den jeweiligen Lieferketten.
Ihr Unternehmen ist von den neuen NIS-2-Vorschriften betroffen, wenn Sie in den folgenden Bereichen tätig sind.

„Besonders wichtige“ Einrichtungen

  • Energiewirtschaft: Herstellung, Vertrieb und Verkauf von Energie (zum Beispiel Strom, Gas, Öl) sowie Betreiber von E-Ladestationen
  • Wasserwirtschaft: Herstellung und Bereitstellung von Trinkwasser, Entsorgung von Abwasser
  • Verkehrswesen: Straßen-, Schienen-, Schiffs- und Luftverkehr
  • Bank-, Finanz- und Versicherungswesen: Bereitstellung von Krediten, Handel, Märkten und der dazugehörigen Infrastruktur
  • Digitale Infrastruktur: sämtliche Großunternehmen im digitalen Sektor; mittlere Unternehmen im Telekommunikationssektor; größenunabhängig daneben Betreiber kritischer Anlagen wie Zugangsnetze, Rechenzentren, Seekabel sowie DNS-Dienstanbieter, Top-Level-Domain-Name-Register (TLD) und Vertrauensdiensteanbieter
  • Gesundheitswesen: Gesundheitsdienstleistungen (einschließlich Pharmazeutika), Forschungseinrichtungen, Hersteller medizinischer Geräte
  • Öffentliche Verwaltung: alle Einrichtungen der Bundesverwaltung, Einrichtungen des öffentlichen Rechts und dazugehörige Vereinigungen, öffentliche IT-Unternehmen, die mehrheitlich im Eigentum des Bundes stehen
  • Raumfahrt: Hersteller von Bauteilen, Betreiber bodengestützter Infrastrukturen

„Wichtige“ Einrichtungen

  • Postwesen: Post- und Kurierdienste
  • Abfallwirtschaft: Sammlung, Transport, Recycling, Entsorgung
  • Forschungseinrichtungen: Produktion und Vertrieb zu Forschungszwecken
  • Lebensmittel: Produktion, Verarbeitung, Vertrieb
  • Chemische Erzeugnisse: Produktion und Handel
  • Hersteller von: Elektronik/Computern, Medizin-/Diagnosegeräten, Optik, Maschinen, Kraftfahrzeugen, sonstigen Transportmitteln

NIS-1 vs. NIS-2

Mit Inkrafttreten von NIS-2 in allen EU-Mitgliedsstaaten zum 24. Oktober 2024 ist die bisherige NIS-1-Richtlinie aufgehoben. Die NIS-1-Richtlinie diente im Jahr 2016 der Verbesserung der IT-Sicherheit angesichts einer sich verschärfenden Bedrohungslage. Vor allem machte sie KRITIS-Unternehmen konkrete Vorgaben zum Schutz ihrer IT-Systeme.
Die neue Richtlinie führt nun strengere Aufsichtsmaßnahmen und Durchsetzungsmöglichkeiten für die nationalen Behörden sowie einheitliche Sanktionen ein. Gleichzeitig fallen unter die neuen Regelungen zur Cyberresilienz deutlich mehr Unternehmen und Institutionen als bislang. Nach Schätzungen des TÜV Nord betrifft dies etwa 30.000 Firmen in Deutschland und 400.000 in Europa.
Dabei unterscheidet NIS-2 nicht mehr nach Mindestschwellenwerten bei der Unternehmensgröße, sondern nach sogenannten uniformen Kriterien, die zwischen mittleren und großen Firmen differenzieren:
  • Mittel: 50-249 Beschäftigte oder 10-50 Millionen Euro Umsatz pro Jahr
  • Groß: ab 250 Beschäftigen oder 50 Millionen Euro Umsatz pro Jahr

Sanktionen bei Verstößen gegen die NIS-2-Richtlinie

Nicht nur der Anwendungsbereich von NIS-2 geht über die bisher definierten kritischen Infrastrukturen hinaus. Im gleichen Zuge steigen die Anforderungen an die Umsetzung sowie das Haftungsrisiko für Unternehmen und geschäftsführende Personen.

Bußgelder für Unternehmen

Unternehmen unterliegen einem Stufenkonzept für Bußgelder. Generell fällt unter den Bußgeldtatbestand ein „vorsätzliches oder fahrlässiges Verschulden“ hinsichtlich der NIS-2-Bestimmungen.
Die Bußgelder betragen für „besonders wichtige“ Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes. Bei „wichtigen“ Einrichtungen kann es Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes geben – in beiden Fällen ist der höhere Betrag maßgeblich.

Haftungsrisiko für die Geschäftsleitung

Das Haftungsrisiko umfasst nach dem Entwurf des Bundesinnenministeriums auch die Geschäftsleitung. Bei einem Schaden durch unzureichendes Risikomanagement haften Mitglieder mit ihrem Privatvermögen – bis zu 2 Prozent des Jahresumsatzes des Unternehmens gelten dafür als Obergrenze.
Ein Beispiel dafür wäre ein erfolgreicher Cyberangriff mit Auswirkungen auf den Geschäftsprozess. Grund kann zum Beispiel ein mangelhaftes Security-Konzept oder ein unzureichend überwachter Risikomanagementprozess sein. Kommt es aufgrund dessen etwa zu finanziellen Auswirkungen durch Erpressungen, Kosten für externe Dienstleistungen und Bußgelder, haften Geschäftsführer:innen persönlich.

Checkliste: Was tun, wenn Ihr Unternehmen betroffen ist?

Unterliegt Ihr Unternehmen den erweiterten Anwendungsbereichen der NIS-2-Richtlinie, sollten Sie zeitnah die folgenden Maßnahmen ergreifen. Sind Sie sich unsicher oder verfügen nicht über eine entsprechende IT-Sicherheitsexpertise in Ihrem Unternehmen, sollten Sie einen externen Dienstleister hinzuziehen.
  • Betroffenheitsanalyse vornehmen: Ermitteln Sie zunächst, ob Ihr Unternehmen betroffen ist. Gehören Sie zu den „besonders wichtigen“ Einrichtungen im Sinne der KRITIS, wendet sich die Behörde an Sie. Zählt Ihr Unternehmen zu den „wichtigen“ Einrichtungen, sind Sie verpflichtet, sich Ihrerseits bei den Behörden zu registrieren.
  • Verantwortlichkeiten klären: Bestimmen Sie innerhalb Ihres Unternehmens, wer für welche Teilbereiche verantwortlich ist, um die Kriterien von NIS-2 einzuhalten.
  • Zuständigkeitsbereiche definieren: Definieren Sie die Zuständigkeiten für die konkreten Maßnahmen der Cybersecurity, für das Reporting gegenüber der Geschäftsführung, hinsichtlich des Risikomanagements sowie gegenüber den Behörden.
  • Überwachung etablieren: Implementieren Sie Überwachungsmechanismen innerhalb der Firma, um die Einhaltung der NIS-2-Richtlinie zu gewährleisten.
  • Geschäftskontinuität sichern: Sorgen Sie dafür, dass Ihre Geschäftsprozesse auch im Falle eines Cyberangriffs weiterlaufen können. Unterbrechungen oder komplette Ausfälle können schwere Sanktionen der Behörden nach sich ziehen.
  • Meldeverfahren einrichten: Entwickeln Sie ein standardisiertes Meldeverfahren bei Vorfällen, die unter die NIS-2-Bestimmungen fallen. Unterschiedliche Personen in Ihrem Betrieb müssen das Meldeverfahren durchführen können.

Das Wichtigste zu NIS-2 in Kürze

  • Die NIS-2-Richtlinie der EU soll dafür sorgen, dass Geschäftsprozesse und die dazu notwendigen IT-Systeme von Einrichtungen der sogenannten kritischen Infrastruktur (KRITIS) und damit zusammenhängenden Institutionen unterbrechungsfrei und sicher laufen.
  • Mit den verschärften Schutzmaßnahmen reagiert die EU auf die enorm gestiegene Zahl von Cyberangriffen in den vergangenen Jahren.
  • Verglichen mit der aktuellen Gesetzgebung erhöht sich die Zahl der Unternehmen und Organisationen in Deutschland, die unter die NIS-2-Richtlinie fallen – und zwar massiv.
  • Man unterscheidet künftig zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Mit ersteren treten die Behörden direkt in Kontakt, zweitere müssen sich aus eigener Initiative bei den Behörden registrieren.
  • Es gibt strenge Sanktionen bei Verstößen gegen die NIS-2-Richtlinie, zum Beispiel in Form von hohen Bußgeldern für Unternehmen und einem persönlichen Haftungsrisiko der Geschäftsführung.
  • Ist Ihr Unternehmen von den erweiterten Bestimmungen von NIS-2 betroffen, sollten Sie zeitnah Maßnahmen einleiten. Dazu gehört es, Verantwortlichkeiten und Zuständigkeitsbereiche festzulegen, eine Überwachung der Maßnahmen zu etablieren und standardisierte Meldeverfahren bei Vorfällen einzurichten.

Quelle:

https://www.vodafone.de/business/blog/nis-2-das-steckt-dahinter-und-so-handeln-sie-konform-20531/