+49 911 225060 info@novartum.com

Die EU-NIS2-Richtlinie und ihre Auswirkungen auf die Cybersicherheit kritischer Sektoren

Die Zukunft der Cybersicherheit in Europa: Alles, was Sie über die NIS2-Richtlinie wissen müssen

Die digitale Landschaft unterliegt einem stetigen Wandel, der nicht nur Chancen, sondern auch Risiken mit sich bringt. Die Gefahr von Cyberangriffen wächst seit Jahren stetig an. Vor allem KI-Technologien sorgen in diesem Umfeld für immer raffiniertere und damit effektivere Angriffe. Angesichts der zunehmenden Bedrohungen hat die Europäische Union reagiert und die NIS2-Richtlinie verabschiedet, die seit 16.01.2023 Cybersicherheitsstandards für kritische Sektoren vorschreibt. Bis 17.10.2024 soll sie in nationales Recht umgesetzt sein. Unternehmen, die unter die Voraussetzungen der NIS2-Richtlinie fallen, müssen bis zu diesem Zeitpunkt nachweisen, dass ihre Einrichtung vor Cyberangriffen geschützt ist. Der Nachweis ist gegenüber dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) zu erbringen. Erstmalig wird der Nachweis – etwa durch Audits und Zertifizierungen – voraussichtlich 2027 fällig und muss danach erwartungsgemäß alle zwei Jahre regelmäßig erbracht werden.

In diesem Beitrag werfen wir einen genaueren Blick auf die Inhalte und Auswirkungen dieser Richtlinie und was sie für Unternehmen bedeutet.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine Initiative der Europäischen Union, die darauf abzielt, die Cybersicherheit in kritischen, das heißt systemrelevanten Sektoren, zu stärken. Sie baut auf der vorherigen NIS-Richtlinie auf, erweitert jedoch den Anwendungsbereich und legt strengere Vorschriften fest. NIS2 unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen. Die Richtlinie fordert geeignete technische, operative und organisatorische Sicherheitsmaßnahmen nach dem neuesten Stand der Technik zu implementieren, um sich angemessen gegen Cyberattacken zu schützen.

Was sind die Ziele?

Die Ziele von NIS2 sind es, die OT Sicherheit (Betriebstechnologie) zu erhöhen, die Berichterstattung zu vereinfachen und EU-weit einheitliche Regeln und Sanktionen zu schaffen. Durch die Ausweitung seines Geltungsbereichs verlangt NIS2 von mehr Unternehmen und Sektoren, Cybersicherheitsmaßnahmen zu ergreifen, mit dem Ziel, die Cybersicherheit in Europa langfristig zu verbessern und zu harmonisieren. Kurz gesagt: Das Cybersicherheitsniveau von Netz- und Informationssystemen in der Europäischen Union soll erhöht werden. Jüngste Cyberangriffe in kritischen Sektoren haben gezeigt, wie wesentlich das Thema Cyberschutz ist. Sie muss in jedem Mitgliedstaat in nationales Recht umgesetzt werden. In Deutschland erfolgt dies im Rahmen des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), auch IT-Sicherheitsgesetzes – IT-SiG 3.0 – genannt. Man geht davon aus, dass in dem nationalen Gesetz weitere Konkretisierungen und unter Umständen sogar Verschärfungen beinhaltet sind.

Bis wann ist die Richtlinie umzusetzen?

Die Mitgliedstaaten der EU müssen bis zum 17. Oktober 2024 die Vorgaben der EU Richtlinie in nationales Recht überführen – und die jeweiligen KRITIS-Betriebe, diese umsetzen. Die Richtlinie tritt am 18.10.2024 in Kraft.
Aktuell kursiert die Information, dass Deutschland nicht bis zum genannten Zeitpunkt die Richtlinie in ein Gesetz transformiert haben wird und damit keine Verabschiedung in 2024 erfolgen wird. Konkretisierungen hierzu sind noch nicht öffentlich bestätigt.

Unabhängig davon empfehlen wir den betroffenen Unternehmen alle erforderlichen Maßnahmen bis zum offiziellen Termin zu ergreifen, da sich die Bedrohungslage durch Cyberangriffe nicht verbessern wird.

Welche Unternehmen fallen unter den Anwendungsbereich der NIS2 ?

Unter den Anwendungsbereich der NIS2 fallen Einrichtungen, die ihre Dienste in der EU erbringen oder ihre Tätigkeiten dort ausüben. Neu ist, dass der Anwendungsbereich nicht mehr über den Schwellenwert „Anlagekategorie“ definiert ist, sondern über die Größe der Einrichtung.

Die NIS2-Richtlinie setzt die sog. „Size-Cap-Regel“ um, die besagt, dass große und mittlere Unternehmen unter den Anwendungsbereich fallen:

👉 Mittlere Unternehmen:

  • 50 – 249 Beschäftigte und
  • < 50 Mio. EUR Jahresumsatz oder
  • < 43 Mio. EUR Jahresbilanzsumme

oder

  • < 50 Beschäftigte und
  • 10 – 50 Mio. EUR Jahresumsatz und
  • 10 – 43 Mio. EUR Jahresbilanzsumme

👉 Große Unternehmen:

mindestens 250 Beschäftigte

    oder

    • ≥ 50 Mio. EUR Jahresumsatz und
    • ≥ 43 Mio. EUR Jahresbilanzsumme

    Wie sind wesentliche und wichtige Einrichtungen definiert?

    Die Richtlinie unterscheidet zwischen wesentlichen (essential) Einrichtungen und wichtigen (important) Einrichtungen. Wesentliche Einrichtungen unterliegen höheren Sanktionen bei Verstößen gegen die Anforderungen sowie einem Ex-ante- und Ex-post-Aufsichtssystem, während wichtige Einrichtungen geringeren Sanktionen und einem ausschließlich reaktiven Ex-post-Aufsichtssystem unterliegen.

    ➡️ Wesentliche Einrichtungen sind Großunternehmen im „Essential Sector“

      ➡️ Wichtige Einrichtungen sind mittlere Unternehmen im „Essential Sector“ sowie große und mittlere Unternehmen im „Important Sector“

      Welche Branchen sind betroffen?

      Die NIS2-Richtlinie gilt für Organisationen sowohl im öffentlichen als auch im privaten Sektor, die kritische Dienste erbringen. Insgesamt sind 18 Sektoren betroffen, die in wesentliche und wichtige Sektoren unterteilt sind. Dazu gehören:

      ➡️ Wesentliche Sektoren (Essential Sector):
      Alle Sektoren, die essentielle Leistungen für das Funktionieren der Gesellschaft und der Wirtschaft erbringen. Störungen könnten erhebliche Folgen haben. Große Einrichtungen in diesen Sektoren unterliegen den strengeren Auflagen.

        1. Energie  (Elektrizität, Fernwärme/-kälte, Erdöl, Erdgas, Wasserstoff)
        2. Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
        3. Bankwesen (Kreditinstitute)
        4. Öffentliche Verwaltung  (Zentralregierungen, Verwaltungen auf regionaler Ebene)
        5. Trinkwasserversorgung und -verteilung  (Wasserversorgung)
        6. Abwasser (Abwasserentsorgung)
        7. Digitale Infrastruktur (Internet-Knoten (IXP), DNS, TLD Registries, Cloud Provider, Rechenzentren, Inhaltszustellnetze, Vertrauensdiensteanbieter, Öffentliche und öffentlich zugängliche elektronische Kommunikationsnetze)
        8. Finanzmärkte (Handelsplätze, zentrale Gegenparteien)
        9. Gesundheit (Gesundheitsdienstleister, EU-Labore, F&E, Pharma, Medizingeräte)
        10. Weltraum (Bodeninfrastrukturen)
        11. Verwaltung von IKT-Diensten (Managed Service Provider, Sicherheitsdienste)

        Die Sektoren Öffentliche Verwaltung, Weltraum und Verwaltung von IKT-Diensten sind neu hinzugekommen.

        ➡️ Wichtige Sektoren (important Sector)

        1. Abfall (Abfallbewirtschaftung)
        2. Lebensmittel (Produktion, Verarbeitung und Vertrieb)
        3. Forschung (Forschungseinrichtungen)
        4. Chemikalien (Produktion, Herstellung und Handel)
        5. Industrie (Medizinprodukte und In-vitro, DV, Elektronik, Optik, elektrische Ausrüstungen, Maschinenbau, Fahrzeugbau und Teile)
        6. Post- und Kurierdienste
        7. Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)

        Die Sektoren 3 bis 7 sind neu hinzugekommen.

        Zu beachten ist, dass auch Zulieferer dieser Sektoren unter die NIS Regeln fallen, auch wenn sie die Größenordnung nicht erreichen. So z.B. müssen auch Caterer, die bei einer Veranstaltung eines neuen Produktes der Industrie beauftragt sind, NIS einhalten, wenn das entsprechende Unternehmen zu den kritischen Infrastrukturen zählt.

        Welche Auswirkungen hat NIS2 für betroffene Unternehmen?

        Die NIS2-Richtlinie legt eine Reihe von Regeln fest, die Unternehmen einhalten müssen. Wir haben fünf wesentliche Auswirkungen im Folgenden zusammengefasst:

        1. Implementierung Risikomanagement und Sicherheitsmaßnahmen:
          Unternehmen müssen regelmäßige Risikobewertungen durchführen und angemessene Sicherheitsmaßnahmen implementieren, um Cyberangriffe zu verhindern. Es sind klar definierte technische und organisatorische Maßnahmen festzulegen, die Integrität, Verfügbarkeit und Vertraulichkeit von Unternehmensdaten gewährleisten. Die Maßnahmen müssen nicht nur angemessen sein, sondern sollen auch den Stand der Technik berücksichtigen. Hierzu ist ein Konzept zu erstellen, wie sichergestellt wird, dass entsprechende Risikoanalysen durchgeführt werden, wie im Fall eines Sicherheitsvorfalls der Betrieb aufrecht erhalten wird und welche Maßnahmen in diesem Fall zu ergreifen sind. Weitere Inhalte sollten ein Schulungskonzept für Mitarbeiter sein, eine Information wie die Sicherheit der Lieferkette gewährleistet wird, wie die Zugriffskontrollen geregelt sind.
        2. Strengere Vorfallberichterstattung:
          Mit NIS2 werden strengere Meldepflichten für Sicherheitsvorfälle eingeführt. Im Falle eines Cyberangriffs müssen Unternehmen den Vorfall innerhalb festgelegter Fristen den nationalen Behörden melden. Die Erstmeldung eines bedeutenden Vorfalls muss bereits innerhalb der ersten 24 Stunden nach Entdeckung erfolgen und eine Erstbewertung innerhalb von 72 Stunden abgegeben werden. Nach einem Monat ist ein umfassender Bericht zu erstellen.
        3. Sicherheitsanforderungen an die Lieferkette:
          Unternehmen müssen sicherstellen, dass ihre Lieferkette angemessene Cybersicherheitsstandards erfüllt, um Risiken zu minimieren.
        4. Kooperation und Informationsaustausch:
          Unternehmen müssen mit anderen Organisationen und Behörden zusammenarbeiten und Informationen über Cyberbedrohungen austauschen, um eine effektive Reaktion auf potenzielle Angriffe zu ermöglichen.
        5. Überwachung und Berichterstattung:
          Es werden Mechanismen zur Überwachung der Einhaltung der Cybersicherheitsvorschriften eingeführt und Unternehmen müssen regelmäßige Berichte über ihre Sicherheitsmaßnahmen vorlegen.

        Welche Maßnahmen sollten Unternehmen ergreifen?

        Die Umsetzung der NIS2 Richtlinie ist weder eine einmalige noch eine aufschiebbare oder eine gering priorisierte Managementaufgabe. Folgende Schritte unterstützen bei der Umsetzung der Richtlinie:

        1. Definieren Sie Ihr NIS2-Projektteam:
          Der Teilnehmerkreis der Projektgruppe setzt sich im besten Fall aus der Geschäftsleitung, den IT-Verantwortlichen, den IT-Sicherheitsverantwortlichen und wesentlichen Personen aus den anderen Organisationseinheiten, wie z.B. Einkauf, zusammen.
        2. Analysieren und bewerten Sie Ihre eigene Cybersicherheit:
          Eine intensive Risikoanalyse ist die Grundlage für alle weiteren Schritte. Darauf aufbauend ist ein adäquates Informationssicherheits-Managementsystem zu erarbeiten.
        3. Führen Sie ein Informationssicherheits-Managementsystem ein (ISMS):
          Ein Informationssicherheits-Managementsystem (ISMS) ist ein systematischer Ansatz zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in einer Organisation. Der Inhalt eines ISMS kann je nach den spezifischen Anforderungen und Bedürfnissen der Organisation variieren.

          Im Allgemeinen umfasst es folgende Elemente: 

          a) Risikobewertung und Risikomanagement:
          Eine umfassende Bewertung der Informationssicherheitsrisiken, die die Organisation betrifft, einschließlich Identifizierung potenzieller Bedrohungen, Schwachstellen und Auswirkungen von Sicherheitsvorfällen. Auf Basis dieser Bewertung werden Maßnahmen entwickelt, um Risiken zu behandeln und zu reduzieren.

          b) Sicherheitsrichtlinien und -verfahren:
          Die Festlegung von Sicherheitsrichtlinien, -verfahren und -standards, die die Sicherheitsziele und -anforderungen der Organisation definieren. Dies umfasst Richtlinien für den Zugriff auf Informationen, die Verwaltung von Benutzerkonten, die Verwendung von Verschlüsselung, die Durchführung von Back-Ups und andere Sicherheitsaspekte.

          c) Organisatorische Struktur:
          Die Festlegung der Rollen, Verantwortlichkeiten und Zuständigkeiten im Zusammenhang mit der Informationssicherheit in der Organisation. Dies kann die Ernennung eines Informationssicherheitsbeauftragten (ISB) oder eines Sicherheitsteams umfassen, welches für die Umsetzung und Überwachung des ISMS verantwortlich ist.

          d) Sicherheitsbewusstsein und Schulungen:
          Die Durchführung von Schulungen für Mitarbeiter, um das Bewusstsein für Informationssicherheit zu schärfen und sicherzustellen, dass sie die Sicherheitsrichtlinien und -verfahren der Organisation verstehen und einhalten.

          e) Sicherheitskontrollen und -maßnahmen:
          Die Implementierung technischer, physischer und administrativer Sicherheitskontrollen und – maßnahmen zum Schutz von Informationen und Systemen vor unerlaubtem Zugriff, Missbrauch, Verlust oder Beschädigung.

          f) Incident Management und Reaktion:
          Die Entwicklung von Prozessen und Verfahren zur Erkennung, Meldung, Untersuchung und Reaktion auf Sicherheitsvorfälle und Sicherheitsverletzungen, um Schäden zu begrenzen und den normalen Geschäftsbetrieb wiederherzustellen.

          g) Überwachung und Überprüfung:
          Die kontinuierliche Überwachung und Überprüfung der Wirksamkeit des ISMS, einschließlich der Durchführung interner Audits, Sicherheitsprüfungen und regelmäßiger Bewertungen, um sicherzustellen, dass die Sicherheitsziele erreicht werden und das ISMS den aktuellen Bedrohungen und Anforderungen gerecht wird.

        4. Überprüfen Sie Ihre Lieferketten:
          Ein zeitintensives Thema ist die Sicherheit in der Lieferkette. Denn NIS2 sieht die Absicherung der gesamten Lieferkette hinsichtlich der Netz- und Informationssysteme vor. Unternehmen müssen sicherstellen, dass ihre Lieferkette angemessene Cybersicherheitsstandards erfüllt. Der Einkauf kann dabei unterstützen, da er die Struktur am besten kennt. Lieferanten-Zertifikate sind eine von mehreren Optionen, um sich abzusichern, dass die NIS2 Richtlinien berücksichtigt sind. Wichtig ist, dass Verantwortliche diesen Status regelmäßig prüfen.
        5. Definieren Sie den Meldeprozess:
          Gemäß der NIS2-Verordnung ist ein Unternehmen verpflichtet, die Meldebehörde innerhalb von 24 Stunden zumindest per E-Mail über einen möglichen Cybersicherheitsvorfall zu informieren und innerhalb von 72 Stunden eine Bewertung des Vorfalls abzugeben. Diese Meldefristen sind sehr knapp bemessen. Daher müssen die Verantwortlichen sicherstellen, dass schnell fundierte Informationen vorliegen.
        6. Registrierung beim BSI
          Betroffene Unternehmen müssen sich als wichtiger oder wesentlicher Betrieb beim BSI registrieren. Bis Oktober 2024 muss das BSI die personellen und organisatorischen Voraussetzungen für die Meldestelle noch schaffen.

        Sanktionen, Haftung, Befugnisse der Aufsichtsbehörde

        Bei Verstößen gegen die Anforderungen drohen folgende finanzielle Sanktionen:

        • Wesentliche Einrichtungen: Maximal 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist
        • Wichtige Einrichtungen: Maximal 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist

        Der deutsche Gesetzesentwurf sieht zudem vor, dass Geschäftsführer und Leitungsorgane (Vorstand) für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften. Eine Delegation innerhalb des Vorstands ist nicht möglich, weil alle Mitglieder der „Chefetage“ gleichermaßen in der Pflicht sind. Ein Tipp von uns: Prüfen Sie Ihre D&O Versicherung (Directors-and-Officers-Versicherung), ob dieser Tatbestand abgedeckt ist.

        Die deutsche Aufsichtsbehörde, das BSI, soll erweiterte Befugnisse erhalten:

        • Vor-Ort-Kontrollen und gezielte Sicherheitsprüfungen und Sicherheitsscans
        • Anfordern gezielter Nachweise und Informationen
        • Erlass von verbindlichen Anweisungen oder Anordnungen
        • Herausgabe von Warnungen über Verstöße
        • Einsatz eines Beauftragten zur Überwachung
        • Vorübergehende Untersagung der Leitungsaufgaben

        Fazit und Handlungsempfehlung

        Die NIS2-Richtlinie stellt deutsche Unternehmen vor erhebliche Herausforderungen. Der deutsche Gesetzesentwurf verdeutlicht die strikten Vorgaben der Richtlinie noch einmal. Betroffene Unternehmen müssen sich auf eine zeitnahe Umsetzung vorbereiten.

        Die NIS2-Richtlinie der Europäischen Union markiert einen wichtigen Schritt zur Stärkung der Cybersicherheit in kritischen Sektoren. NIS2-pflichtige Unternehmen sind daher gut beraten, spätestens jetzt mit der Umsetzung der erforderlichen Maßnahmen zu beginnen. Cybersicherheit ist keine lästige gesetzliche Auflage, sondern liegt im ureigensten Interesse der betroffenen Unternehmen und Organisationen. Die frühzeitige Umsetzung bietet die Möglichkeit, Risiken zu identifizieren und proaktiv zu handeln, was entscheidend für den langfristigen Erfolg des Unternehmens ist. Diese Aufgaben sind sehr ressourcenintensiv und erfordern eine sorgfältige Abwägung der notwendigen Maßnahmen. Daher sollten Unternehmen frühzeitig auf eine externe Unterstützung bauen, um sich bei der Umsetzung von Experten unterstützen zu lassen und die genannte Deadline einzuhalten.

        Wir erwarten, dass in Zukunft nahezu alle Unternehmen und Organisationen von den Anforderungen in NIS2 betroffen sind. Es ist bereits jetzt so, dass im Grunde genommen alle Unternehmen mit mehr als 50 Mitarbeitern und 10 Millionen Euro Umsatz in irgendeiner Art und Weise Teil einer Lieferkette sind, in der NIS2 relevant ist. Große Konzerne fordern in vielen Fälle ihre Lieferanten auf, nachzuweisen, wie die IT-Sicherheit umgesetzt wird und ob Richtlinien und Vorgaben aus NIS2 eingehalten werden. Ist das nicht der Fall, droht der Verlust von Kunden und Aufträgen. Kleinere und mittlere Zulieferer sollten daher keine Zeit verstreichen lassen und die Umsetzung vorantreiben – unabhängig davon ob es eine gesetzliche Verpflichtung gibt.

        Suchen Sie noch nach Ansätzen, wie Sie die NIS2-Richtlinie umsetzen? Wir unterstützen Sie gerne.

        Kontakt aufnhemen

        Wir freuen uns auf Ihre Kontaktaufnahme – das Novartum Projects Team!

        © Image by Pete Linforth from Pixabay

        Weitere Novartum-News

        Alle News anzeigen
        Image by Kohji Asakawa from Pixabay

        Die Verantwortung des Datenschutzbeauftragten im Umgang mit KI im Unternehmen

        Die Integration künstlicher Intelligenz (KI, engl. AI) in Unternehmen verspricht Innovation und Effizienzsteigerung, wirft jedoch …

        Zum Artikel

        Der Schlüssel zur effizienten Softwareverwaltung

        In der heutigen digitalen Geschäftswelt ist die effiziente Verwaltung von Software-Ressourcen von entscheidender Bedeutung.

        Zum Artikel

        Freelancerkompass 2023 | Politik bremst Freelancer aus

        Das Berufsprofil des Freelancers wird in Deutschland immer beliebter und befindet sich nach wie vor in einem Aufwärtstrend.

        Zum Artikel

        Green Coding in Unternehmen einsetzen

        Software kann nachhaltig entwickelt werden, um für einen langen & sicheren Einsatz zu sorgen. Das spart Ressourcen, Zeit und Geld. Mehr erfahren!

        Zum Artikel

        Cybersecurity: Die Trends für 2023

        Die Gefahren durch Cyberattacken sind 2023 so hoch wie nie. Gründe sind u.a. Technologien, die mit künstlicher Intelligenz und Metaverse einhergehen. Was tun?

        Zum Artikel

        Freelancer-Umfrage | Stimmung bei Selbständigen positiv

        Die Pandemie hat gezeigt, dass Freelancer selbst in den zwei Jahren kräftezehrender Pandemie nicht den Kopf in den Sand stecken.

        Zum Artikel

        Trends im M&A-Markt in 2023

        Nach dem Rekordjahr 2021 nach und während der Corona-Pandemie ist das Geschäft mit Mergers und Acquisitions (M&A) im Jahr 2022 drastisch eingebrochen.

        Zum Artikel

        Spezialisten für IT-Personalvermittlung

        Sie suchen bereits seit einiger Zeit vergeblich nach einer qualifizierten Fach- oder Führungskraft für Ihre Vakanz im Unternehmen? Bei Novartum sind Sie genau...
        Zum Artikel

        Fachberatung für Mergers & Acquisitions

        Sie interessieren sich für das Thema Unternehmensnachfolge, -kauf bzw. -verkauf? Dann sind Sie bei Novartum richtig! Die Experten von Novartum unterstützen

        Zum Artikel

        IT-Security Experten finden

        IT-Sicherheit wird in Unternehmen in jüngster Zeit großgeschrieben – zu Recht! Betrachtet man die Ereignisse, die sich aktuell in der Weltpolitik abspielen, tritt...
        Zum Artikel