2006 verabschiedete die EU mit der NIS-Richtlinie erstmals eine EU-weite Richtlinie zum Schutz von Netzwerk- und Informationssystemen. Sie enthält verbindliche Vorgaben, wie KRITIS-Unternehmen ihre Systeme schützen müssen. Dazu gehören u. a. die Implementierung eines Sicherheitsmanagementsystems, die Einhaltung von Sicherheitsrichtlinien sowie die regelmäßige Überprüfung des Netzwerks – um nur ein paar der geforderten Maßnahmen zu nennen. Die Richtlinie schuf somit eine verpflichtende Rechtsgrundlage zur Einhaltung bestimmter Sicherheitsstandards zum Schutz vor Cyberangriffen.
Als Reaktion auf die weiter steigenden Bedrohungen durch Cyberkriminalität hat die Europäische Union in diesem Jahr die erneuerte Richtlinie NIS 2 eingeführt, die am 16.01.2023 in Kraft getreten ist. Ab diesem Zeitpunkt haben die EU-Mitgliedsstaaten nun 21 Monate Zeit, die enthaltenen Vorgaben in nationales Recht zu überführen.
Die gravierendsten Neuerungen in NIS 2
Die erneuerte Richtlinie enthält nun zahlreiche Konkretisierungen. So sollen Unternehmen gemäß NIS 2 regelmäßig Penetrationstests durchführen, um den Schutz von Systemen und Netzwerken sicherzustellen. Außerdem sollen betroffene Unternehmen dazu verpflichtet werden, Systeme zur Meldung von Sicherheitsvorfällen einzurichten und regelmäßig zu überprüfen.
Die wohl am weitesten greifende Veränderung von NIS 1 zu NIS 2 ist eine gravierende Erweiterung der betroffenen Unternehmen um zahlreiche Sektoren und Branchen. Ebenfalls neu ist die Unterscheidung der Unternehmen und Organisationen in Kategorien, die Unterteilung in „wesentliche Sektoren“ (hohe Kritikalität) und „wichtige Sektoren“ (sonstige kritische Sektoren). Die Kategorie der „wichtigen Sektoren“ wurde dazu in NIS 2 erstmals definiert. Letztlich dient die Unterscheidung der Bemessung des Strafumfangs bei Richtlinienverstößen.
Welche Unternehmen müssen NIS 2 beachten?
Mit den hinzugekommenen Sektoren „Abwasser“, „öffentliche Verwaltung“ und „Raumfahrt“ gibt es nun elf „wesentliche Einrichtungen“ (Essential Entities). Beim Sektor „Energie“ ist der Teilsektor „Wasserstoff“ neu hinzugekommen und auch die Sektoren „Gesundheit“ und „Digitale Infrastruktur“ wurden im Vergleich zu NIS 1 um mehrere Einrichtungen ergänzt.
Die wichtigsten Betreiber gemäß NIS 2 sind die „wesentlichen Einrichtungen“. Zu diesen Einrichtungen gehören Unternehmen mit über 250 Mitarbeitenden und mehr als 50 Millionen Euro Umsatz oder 43 Millionen Euro Bilanz, bestimmte IT-Branchen und Regierungen unabhängig ihrer Größe sowie eine Liste an Sonderfällen. Zusammengefasst werden die Einrichtungen in den Subsektoren „Elektrizität“, „Fernwärme“, „Erdöl“, „Erdgas“, „Wasserstoff“, „Luftverkehr“, „Schienenverkehr“, „Schifffahrt“ und „Straßenverkehr“.
Zu den „wesentlichen Sektoren“ zählen nun:
„Wichtige Sektoren“ sind:
Klare Vorgaben zur Einstufung
Es gibt zwei Hauptgruppen von Unternehmen, die von der NIS-2-Umstzung betroffen sind. Dabei handelt es sich um Betreiber kritischer Infrastrukturen und um besonders wichtige und wichtige Einrichtungen, die gemäß ihrer Organisationsgröße identifiziert werden.
Waren gemäß NIS 1 die Mitgliedstaaten noch selbst für die Einstufung von Organisationen als „wesentliche Betreiber“ verantwortlich, macht NIS 2 erstmals klare Vorgaben, wie die Einstufung zu erfolgen hat.
Mittlere Unternehmen:
oder
Großunternehmen:
oder
Inhaltliche Veränderungen
Die NIS-2-Richtlinie verlangt nicht nur mehr Maßnahmen als NIS 1, sondern übersteigt in ihren Anforderungen nun auch die Vorgaben des aktuellen IT-Sicherheitsgesetztes 2.0. So verlangt die EU-Richtlinie nun explizit, dass die IT-Sicherheit in die gesamte Unternehmenssteuerung einzubeziehen ist.
Ein umfassendes Risikomanagement, die Sensibilisierung und Schulung von Mitarbeitenden, Regelungen zum Melden von Vorfällen und die Ausarbeitung von Notfallplänen für den Ernstfall werden für die betroffenen Unternehmen nun verbindlich.
Verpflichtende technische Schutzmaßnahmen sind unter anderem systematische Datensicherung, eine konzeptionierte Zugangskontrolle, ein zuverlässiges Management zur Behandlung von Schwachstellen und die Verschlüsselung sensibler Informationen.
Ganz neu in NIS 2 ist die Forderung, die Sicherheit in der gesamten Lieferkette zu beachten, was hierzulande allerdings bereits im IT-Sicherheitsgesetz 2.0 festgeschrieben ist.
Die Anforderungen der NIS-2-Richtlinie werden aktuell im „Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG)“ umgesetzt. Der entsprechende Referentenentwurf wurde zuletzt im Juli 2023 aktualisiert und soll voraussichtlich noch dieses Jahr verabschiedet werden.
Deutliche Erhöhung der Strafen
Auffallend ist die Erhöhung drohender Strafen bei Verstößen gegen Cybersecurity-Maßnahmen oder Meldepflichten. Die bisherige Obergrenze von 50.000 Euro (100.000 Euro im Wiederholungsfall) steigt nun merklich. Unternehmen der Kategorie „wesentliche Einrichtungen“ drohen nun Zahlungen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes. Unternehmen der Kategorie „wichtige Einrichtungen“ müssen mit Höchststrafen von bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes rechnen.
Mehr Kontrolle
NIS 2 fordert auch umfangreiche Überwachungsmaßnahmen. Zum Beispiel sind anlasslose Security Audits und Security Scans durch Behörden oder unabhängige Dritte vorgesehen. Außerdem verlangt NIS 2 Zugangs- und Auskunftsrechte für die Kontrollorgane zu allen notwendigen Informationen und Dokumenten. Die Geschäftsführung ist außerdem explizit in der Pflicht, die Umsetzung der NIS-2-Richtlinie zu überwachen und wir bei Verstößen persönlich zur Haftung gezogen.
Fazit
Grundsätzlich müssen sich die Betroffenen auf schärfere Kontrollen und mehr Nachweispflichten einstellen, gleichzeitig muss bei Verstößen mit deutlich härteren Sanktionen gerechnet werden.
Allerdings sind Organisationen, die bereits die Anforderungen von NIS 1 bzw. die Regelungen vom IT-Sicherheitsgesetz 2.0 umgesetzt haben, nicht vollkommen unvorbereitet. Dennoch gilt: Um der neuen Richtlinie gerecht zu werden, führt kein Weg daran vorbei, sich mit den verschiedenen Anforderungen auseinanderzusetzen, vorhandene Sicherheitsmaßnahmen zu überprüfen und entsprechend zu verbessern. Dazu muss eingangs eine umfassende Ist-Analyse samt Risikobewertung durchgeführt und – wenn nicht längst geschehen – ein Sicherheitsmanagementsystem implementiert werden.
Jetzt beraten lassen
Sie möchten Ihre Cyber Security nach NIS 2 aufstellen und benötigen Hilfe bei der Umsetzung? Wir unterstützen Sie gerne! Kontaktieren Sie uns jetzt für ein unverbindliches Gespräch.
---
Grafik (c) Gorodenkoff / Adobe Stock