Die Anforderungen von NIS2 im Detail

Oft werden wir als Experten der Datiq GmbH gefragt, was denn NIS2 nun genau ist, was man tun muss – und vor allem, wer überhaupt betroffen ist. Wir haben im Folgenden die wichtigsten Grundlagen zusammengefasst und bieten Hinweise zu den notwendigen Onlinequellen bei EU-Kommission und Bundesamt für Sicherheit in der Informationstechnik (BSI). 

NIS 2 – was ist das, wer ist betroffen und was ist zu tun? 

Oft werden wir als Experten der Datiq GmbH gefragt, was denn NIS2 nun genau ist, was man tun muss – und vor allem, wer überhaupt betroffen ist. Wir haben im Folgenden die wichtigsten Grundlagen zusammengefasst. Wir stehen gerne für weitere Informationen zur Verfügung. 

Was ist NIS2?

NIS2 ist eine EU-Richtlinie zur Verbesserung des gemeinsamen Sicherheitsniveaus von Netzwerk- und Informationssystemen in der Europäischen Union. Sie wurde Ende 2022 veröffentlicht. Sie ist Nachfolger der NIS-Richtlinie von 2016 soll die Cybersicherheit in der EU weiter stärken. 

Als EU-Richtlinie hat sie, im Gegensatz zu einer EU-Verordnung, keine unmittelbare Rechtswirkung auf Unternehmen in den Mitgliedsländern. Die Mitgliedsstaaten der EU sind jedoch verpflichtet, die EU-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Dafür hat der Bundesregierung im Juli 2024 den Regierungsentwurf für das NIS2-Umsetzungsgesetz (NIS2UmsuCG) verabschiedet. Ob das Gesetz wirklich bis Oktober durch alle Instanzen gegangen sein wird und verabschiedet wird, ist offen (und fraglich). 

Was sind Ziele und Inhalte von NIS2?

Erweiterter Anwendungsbereich: Während die ursprüngliche NIS-Richtlinie von 2016 hauptsächlich auf bestimmte kritische Sektoren (wie Energie, Transport, Wasser, Banken und Gesundheit) ausgerichtet war, erweitert NIS2 den Anwendungsbereich auf mehr Branchen und Organisationen, einschließlich digitaler Dienste und Unternehmen, die als Essential Entities (besonders wichtige Einrichtungen) und Important Entities (wichtige Einrichtungen) eingestuft werden. 

Stärkere Sicherheitsanforderungen: NIS2 fordert von den betroffenen Organisationen, strenge Sicherheitsmaßnahmen zu ergreifen, um ihre Netz- und Informationssysteme zu schützen. Dazu gehören unter anderem Risikomanagementmaßnahmen, Sicherheitsvorkehrungen, Vorfallsreaktionspläne und die Meldung von Sicherheitsvorfällen. 

Strengere Durchsetzung und Sanktionen: Die NIS2-Richtlinie sieht strengere Durchsetzungsmechanismen und härtere Sanktionen für Unternehmen vor, die die Anforderungen nicht erfüllen. Die Mitgliedstaaten sind verpflichtet, nationale Behörden zu schaffen, die für die Überwachung und Durchsetzung der Richtlinie verantwortlich sind. 

Verbesserte Zusammenarbeit zwischen den EU-Mitgliedstaaten: NIS2 legt großen Wert auf die verstärkte Zusammenarbeit und den Informationsaustausch zwischen den EU-Mitgliedstaaten, um grenzüberschreitende Cyberbedrohungen besser zu bewältigen. 

Schutz der Lieferkette: Es wird besonderer Wert darauf gelegt, dass auch die Lieferketten von Organisationen sicher sind, da Schwachstellen in der Lieferkette ein bedeutendes Risiko darstellen können. 

NIS2 zielt darauf ab, das allgemeine Cyber-Sicherheitsniveau in der EU zu erhöhen, indem sie sicherstellt, dass mehr Organisationen angemessene Sicherheitsmaßnahmen umsetzen und dass die EU-Mitgliedstaaten enger zusammenarbeiten, um Cyber-Bedrohungen zu begegnen. 

Wer ist betroffen? 

Die von NIS2 betroffenen Unternehmen unterscheiden sich grob in 4 Gruppen:

• Die bereits bekannten Betreiber kritischer Anlagen (KRITIS)
• Die besonders wichtigen Einrichtungen
• Die wichtigen Einrichtungen
• Einige Bundeseinrichtungen 

Um festzustellen, ob ein Unternehmen von der NIS2-Richtlinie betroffen ist, sollten die folgenden Schritte durchgeführt werden: 

• Sektorüberprüfung: Unternehmen müssen prüfen, ob sie in einem der Sektoren tätig sind, die unter die NIS2-Richtlinie fallen. Dazu gehören unter anderem Energie, Transport, Gesundheitswesen, digitale Infrastruktur und andere kritische Sektoren​. 

• Größe und Bedeutung des Unternehmens: Die Richtlinie unterscheidet zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“. Unternehmen sollten daher ihre Größe, ihre Marktposition und ihre Bedeutung für die Aufrechterhaltung kritischer gesellschaftlicher Funktionen bewerten. 

• Überprüfung spezifischer Kriterien: Unternehmen sollten die detaillierten Kriterien der NIS2-Richtlinie prüfen, wie z. B. die Anzahl der Beschäftigten, den Jahresumsatz und ihre Rolle in der Lieferkette. Diese Kriterien bestimmen, ob das Unternehmen als eine wesentliche oder wichtige Einrichtung eingestuft wird​. 

• Externe Beratung und Tools: Es kann sinnvoll sein, externe Berater hinzuzuziehen oder spezielle Tools (wie die zahlreichen „NIS2-Checker“) zu nutzen, um eine genaue Einschätzung der eigenen Betroffenheit zu erhalten​. 

Was ist zu tun, wenn die Betroffenheit festgestellt wurde? 

Betroffene Unternehmen sollten sich auf die Anforderungen der NIS2-Richtlinie vorbereiten, indem sie folgende Schritte unternehmen: 

Benennung von Verantwortlichen: Unternehmen sollten mindestens zwei Personen benennen, die für die Koordination der Informationssicherheit verantwortlich sind. Diese Personen sollten befähigt sein, die notwendigen Maßnahmen zu leiten und zu überwachen​.

Übernahme der Verantwortung durch die Unternehmensleitung: Die Geschäftsführung muss aktiv Verantwortung für das Risikomanagement übernehmen und sich über Schulungsangebote informieren, um die Anforderungen der NIS2 umzusetzen​. 

Durchführung einer Bestandsaufnahme: Unternehmen müssen eine gründliche Analyse ihrer aktuellen Informationssicherheitsmaßnahmen durchführen. Dies kann durch Selbstbewertungen oder externe Audits geschehen, um Schwachstellen zu identifizieren und zu beheben​.

Dazu empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Durchführung eines Cyber Risiko Checks (CRC) nach DIN 27076.  Im Anschluss ein strukturiertes Informationssicherheitsmanagementsystem (ISMS) eingeführt werden. 

Kontinuierliche Verbesserung der Informationssicherheit: Es wird empfohlen, die bestehenden Sicherheitsmaßnahmen fortlaufend zu überprüfen und zu verbessern. Dies umfasst unter anderem das Risikomanagement, die Vorbereitung auf Sicherheitsvorfälle, die Sicherstellung der Betriebskontinuität und das Management der Lieferkette​. 

Schulung und Sensibilisierung: Die regelmäßige Schulung von Mitarbeitenden, insbesondere der Leitungsebene, ist essenziell, um sicherzustellen, dass alle auf dem neuesten Stand bezüglich der Anforderungen und der besten Praktiken in der Cybersicherheit sind​. 

Bei allen Maßnahmen sind aus Sicht der Datiq GmbH folgende Punkte zu adressieren: 

• Risikomanagement,
• Bewältigung von Sicherheitsvorfällen,
• Aufrechterhaltung des Betriebs, Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement,
• Sicherheit der Lieferkette,
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung,
• Systematische Bewertung der Wirksamkeit von Risikomanagementmaßnahmen der IT-Sicherheit,
• grundlegende Cyberhygiene,
• Schulungen zur Informationssicherheit,
• Systematischer Einsatz von Kryptografie und Verschlüsselung,
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
• Verwendung von Lösungen zur Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation. 

Diese Schritte helfen Unternehmen, sich rechtzeitig auf die strengen Anforderungen der NIS2-Richtlinie vorzubereiten und somit potenziellen Sanktionen vorzubeugen. Wir empfehlen, sich rechtzeitig mit der Umsetzung zu befassen. Auch wenn das Gesetz noch nicht verabschiedet wurde, wird es keine Übergangsfrist mehr geben. 

Wann müssen Unternehmen Maßnahmen umsetzen? 

Das Gesetz gilt ab Inkrafttreten, alle darin enthaltenen Pflichten müssen ab diesem Zeitpunkt erfüllt werden. ES gibt, anders als z.B. bei der DSGVO 2016/2018, keine Übergangsfristen. Das Gesetz verlangt von den Unternehmen, sich selbst auf Betroffenheit zu prüfen und sich spätestens 3 Monate nach der Identifizierung als betroffenes Unternehmen beim BSI zu registrieren. Ein aktiver Nachweis über die Umsetzung muss lediglich von KRITIS-Betreibern alle 3 Jahre erbracht werden, alle anderen wichtigen und besonders wichtigen Unternehmen werden vom BSI stichprobenartig geprüft. Ob eine solche Prüfung z.B. im Zusammenhang mit der verpflichtenden Meldung nach einem Sicherheitsvorfall stattfindet, kann vorerst nur vermutet werden. 

 Weiterführende Informationen: 

Um die Betroffenheit eines Unternehmens zu prüfen, empfehlen wir folgendes Vorgehen: 

• Betroffenheitsprüfung NIS2 des BSI als Onlinefragebogen
  
  alternativ Entscheidungsbaum des BSI als Übersicht

• Zur Prüfung wird benötigt Anlage 1 und Anlage 2 der NIS2-Richtlinie
  
  
• Außerdem oft die NACE Rev. 2 (Statistische Systematik der Wirtschaftszweige) für die Inhalte der Beschreibung zu Geschäftsfeldern, z.B. bei produzierendem Gewerbe. 

• Die deutsche Umsetzung übernimmt weite Teile der NIS2-RL, aber es lohnt sich trotzdem der Blick in den Regierungsentwurf vom 24.07.2024.

Für weiterführende Fragen und Dienstleistungen zu NIS2 und ISMS nehmen Sie gerne direkt Kontakt (inkl. direkter Terminvereinbarung) mit uns auf unter www.datiq.de/kontakt 

Ihre Experten der Datiq GmbH