Was Sie jetzt beachten sollten
Bereits seit 2016 schreibt die EU-Kommission, in Form der NIS-1-Richtlinie, bestimmten Unternehmen und Einrichtungen einige Anforderungen bzgl. Netzwerk- und Informationssicherheit vor. Diese werden nun mit der NIS-2 aktualisiert und teilweise verschärft. Die Richtlinie muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Die deutsche Umsetzung (NIS2UmsuCG) ist derzeit jedoch noch in Bearbeitung. Ein erster Referentenentwurf wurde im September 2023 veröffentlicht und wird im März 2024 noch einmal überarbeitet. Die folgenden Informationen beziehen sich also auf die NIS-2-Richtlinie der EU-Kommission und den Referentenentwurf NIS2UmsuCG aus September 2023.
Ziel der NIS-2 ist, EU-weit ein höheres Maß an IT-Sicherheit von kritischen Infrastrukturen (KRITIS) zu gewährleisten und dadurch das Vertrauen der Bürger:innen in digitale Dienste zu stärken.
Betroffene der Richtlinie
In der Richtlinie wird unter „wichtigen“ und „wesentlichen“ Einrichtungen sowie Betreiber kritischer Infrastruktur (KRITIS) unterschieden. Als KRITIS bezeichnet man essentielle Dienste für Gesellschaft und Wirtschaft – also systemrelevante Dienste. Ein Unternehmen ist verpflichtet die Anforderungen der NIS-2 zu erfüllen, wenn dieses einem der folgenden Sektoren zugehörig ist und mind. eines der weiteren Kriterien erfüllt. Das NIS2UmsuCG wird die KRITIS-Zuordnung jedoch noch deutlich präzisieren.
KRITIS-Sektoren aus NIS-1:
- Energie
- Verkehr
- Bankwesen
- Finzanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- digitale Infrastruktur
- Anbieter digitaler Dienste
KRITIS-Sektoren aus NIS-2:
- Produktion und Verarbeitung
- Anbieter öffentlicher elektrischer Netze und Kommunikationsdienste
- Verwalter von Informations- und Kommunikationstechnologie-Diensten (IKT-Dienste)
- öffentliche Verwaltung
- Weltraum
- Post- und Kurierdienste
- Abfall- und Abwasserwirtschaft
- Forschung
Weitere zu erfüllende Kriterien:
- mind. 50 Mitarbeiter
- über 10 Millionen Euro Jahresumsatz
- unabhängig von Größe, wenn man alleiniger Anbieter eines kritischen Dienstes ist
Anforderungen an Unternehmen
Betroffene Unternehmen müssen sich beim Bundesamt mit definierten Informationen registrieren. Die Meldung muss innerhalb von drei Monaten erfolgen, nachdem sie unter die Vorgaben fallen. Welche Informationen beim Registrierungsprozess genau gefragt sein werden, steht zum aktuellen Zeitpunkt noch nicht fest.
Unternehmen sind dazu verpflichtet, Risikoanalysen durchzuführen und entsprechende Maßnahmen zur Risikominimierung umzusetzen. Ziel dabei ist es, verhältnismäßige technische und organisatorische Maßnahmen auszuwählen, damit Störungen vermieden und Auswirkungen von Sicherheitsvorfällen möglichst gering gehalten oder gar verhindert werden.
Drei Jahre nach Inkrafttreten der NIS-2 müssen die betroffenen Einrichtungen ihre Erfüllung der Anforderungen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen. Danach muss der Nachweis alle zwei Jahre erneut erbracht werden.
Die Geschäftsleitung muss die zu erfüllenden Maßnahmen freigeben. Außerdem sind regelmäßige Schulungen und Trainings zur Risikoidentifizierung sowie zur allgemeinen Sensibilisierung im Umgang mit IT-Sicherheit Aufgabe der Leitung.
Ernsthafte Sicherheitsvorfälle müssen unverzüglich dem BSI gemeldet werden. Das NIS2UmsuCG sieht zusätzlich einen dreistufigen Meldeprozess vor, in dem Unternehmen einen vorläufigen Bericht innerhalb von 24 Stunden, einen vollständigen Bericht innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats vorlegen müssen.
Bei erheblichen Sicherheitsvorfällen kann der Bund das Unternehmen anweisen, die Nutzer des Dienstes über den Vorfall zu informieren und vor möglichen Gefahren zu warnen.
Weitere Inhalte von NIS-2
Die NIS-2 betrifft jedoch nicht nur Unternehmen. Auch die Behörden sind nun verpflichtet einige neue Vorschriften umzusetzen. Zum Beispiel müssen sie eine nationale Cybersicherheitsstrategie entwickeln und ihre Rolle bei IT-Sicherheitsvorfällen ist klar definiert. So darf die Aufsichtsbehörde, in Deutschland das BSI, Vor-Ort-Kontrollen und gezielte Sicherheitsprüfungen und -scans durchführen. Zudem kann das BSI sogar einen Beauftragten zur Überwachung einsetzen und dem Management vorübergehend die Wahrnehmung der Leitungsaufgaben untersagen. Weiterhin soll eine europäische Schwachstellendatenbank und ein Cybersecurity Incident Response Team (CSIRT) errichtet werden.
Wenn Unternehmen die Anforderungen nicht erfüllen, können die Behörden Sanktionen und Bußgelder verhängen. Je nach Einordnung in wesentliche oder wichtige Einrichtung, drohen dieser 7-10 Millionen Euro bzw. 1,4-2 Prozent des weltweiten Jahresumsatzes Strafe – je nachdem welcher Betrag höher ist.
Mit OctoGate zu NIS-2-konformer IT-Sicherheit
Die Umsetzung der NIS-2-Richtlinie stellt deutsche Unternehmen vor erhebliche Herausforderungen. Der aktuelle deutsche Gesetzesentwurf – NIS2UmsuCG – verdeutlicht die strengen Vorgaben dieser Richtlinie. Betroffene Unternehmen sollten sich daher auf eine zeitnahe Umsetzung vorbereiten. Eine frühzeitige Umsetzung bietet die Gelegenheit, potenzielle Risiken zu erkennen und proaktiv zu handeln. Eine vollständige Implementierung erfordert beträchtliche Ressourcen sowie eine sorgfältige Abwägung der erforderlichen Maßnahmen.
Warten Sie nicht, sondern rüsten Sie sich schon jetzt für die Anforderungen der NIS-2-Richtlinie. Sie benötigen Unterstützung bei der Umsetzung? Unser kompetentes Vertriebsteam berät Sie gerne. Kontaktieren Sie uns per E-Mail vertrieb@octogate.de oder telefonisch unter 05251 180 40 70.
Quellen:
https://regina-stoiber.com/2023/10/23/eu-nis-2-richtlinie-zusammenfassung/
https://regina-stoiber.com/2023/12/07/nis2umsucg-umsetzungsgesetz/
https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html
https://www.wbs.legal/it-und-internet-recht/die-nis-2-richtlinie-und-ihre-umsetzung-2024-ein-ueberblick-ueber-die-auswirkungen-auf-deutsche-unternehmen-71199/