Picture of Markus Möller

Markus Möller

Europäische Richtlinie für Cybersicherheit

Die europäische Network and Information Systems Directive 2 (NIS2)

Vor genau zwei Jahren, am 16. Januar 2023, ist auf europäischer Ebene die Network and Information Systems Directive 2 (NIS2), eine Richtlinie zur Stärkung der Sicherheit und Integrität von Netzwerken und Informationssystemen in der Europäischen Union (EU), in Kraft getreten. Ziel dieser Richtlinie ist es, das Cybersicherheitsniveau in der EU zu stärken und ein europaweites Schutzniveau zu etablieren. Hierfür werden verpflichtende Sicherheitsmaßnahmen sowie Meldepflichten für betroffene Unternehmen festgelegt. Ziel hierbei ist es potenzielle Risiken zu ermitteln, zu evaluieren und zu managen, sowie die Auswirkungen von sicherheitsrelevanten Vorfällen zu begrenzen. Ähnlich wie bereits in anderen europarechtlichen Regelungen wird innerhalb der NIS2-Richtlinie ein risikobasierter Ansatz verfolgt.

Die NIS2-Richtlinie stellt eine Weiterentwicklung der (ersten) NIS-Richtlinie aus dem Jahr 2016 dar und erweitert dabei den Kreis der betroffenen Unternehmen und deren Mindestanforderungen an die Informationssicherheit.

Anwendung der NIS2-Richtlinie in Deutschland

Die europäische NIS2-Richtlinie muss durch die Mitgliedsstaaten der EU in nationales Recht umsetzt werden. Dies sollte bis zum 17. Oktober 2024 umgesetzt werden. Bisher liegt für die nationale Umsetzung in Deutschland ein Referentenentwurf für das sogenannt NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vor. Das NIS2UmsuCG befindet sich aktuell noch im Gesetzgebungsverfahren. Dieses Gesetz ist nach seinem Inkrafttreten für deutsche Unternehmen bei der Umsetzung der Anforderungen einschlägig. Da es sich aktuell nur um einen Entwurf handelt, werden die Anforderungen im Nachgang auf Basis der NIS2-Richtlinie erläutert.

Welche Unternehmen sind betroffen?

Die NIS2-Richtlinie bzw. das NIS2UmsuCG sieht verschiedene Kriterien für die Identifizierung der betroffenen Unternehmen vor. Zum einen ist das der Wirtschaftssektor, in dem das Unternehmen tätig ist, zum anderen der Umsatz und Anzahl der Beschäftigten des Unternehmens. Zudem gibt es bei den betroffenen Unternehmen einige Sonderfälle, die unabhängig von der Größe des Unternehmens dafür sorgen, dass diese in den Geltungsbereich der genannten Regelungen fallen. Schätzungen gehen davon aus, dass zwischen 30.000 und 40.000 Unternehmen in Deutschland von der NIS2-Richtlinie bzw. dem NIS2UmsuCG betroffen sein werden.

Betroffenheit nach Sektor-Zugehörigkeit

Die NIS2-Richtlinie legt 18 Sektoren fest, die sich nach Sektoren mit hoher Kritikalität (Anhang 1 der NIS2-Richtlinie) und sonstige kritische Sektoren (Anhang 2 der NIS2-Richtlinie) aufteilen:

Sektoren mit hoher Kritikalität (Anhang 1)

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT- Diensten (Business- to-Business)
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren (Anhang 2)

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste

Zusätzlich wird noch nach Teilsektoren und Art der Einrichtung unterschieden.

Im Referentenentwurf des NIS2UmsuCG findet eine Anpassung der Sektoren sowie deren Bezeichnung statt (Anlage 1 und 2 des NIS2UmsuCG):

Sektoren besonders wichtiger und wichtiger Einrichtungen (Anlage 1)

  • Energie
  • Transport und Verkehr
  • Finanzwesen
  • Gesundheit
  • Wasser
  • Digitale Infrastruktur
  • Weltraum

Sektoren wichtiger Einrichtungen (Anlage 2)

  • Transport und Verkehr (Unterkategorie: Post- und Kurierdienste)
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
    Anbieter digitaler Dienste
    Forschung

Betroffenheit nach Unternehmensgröße

Die NIS2-Richtlinie unterscheidet zwischen den folgenden Unternehmensgrößen:

      • Mittlere Unternehmen ab 50 Mitarbeiter und einem Jahresumsatz bzw. einer Jahresbilanzsumme ab 10 Mio. EUR
      • Große Unternehmen ab 250 Mitarbeiter und einem Jahresumsatz ab 50 Mio. EUR oder einer Jahresbilanzsumme ab 43 Mio. EUR

Ergänzend wird in der NIS2-Richtlinie noch eine Einstufung in wesentliche und wichtige Einrichtungen durchgeführt. Dabei wird anhand der Unternehmensgröße unterschieden, was z.B. Einfluss auf die Bußgeldhöhe bei Verstößen hat. Einige Unternehmen können auch unabhängig von Ihrer Größe betroffen sein. Das können z.B. DNS-Diensteanbieter, Betreiber öffentlicher Telekommunikationsnetze, KRITIS-Betreiber oder vom Staat als wesentlich oder wichtig eingestufte Organisationen sein.

Im Referentenentwurf des NIS2UmsuCG findet eine Anpassung der Bewertung der Unternehmensgröße statt:

      • Wichtige Einrichtungen gemäß Sektoren der Anlage 1 und 2 mit mindestens 50 Mitarbeiter oder Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Mio. Euro.
      • Besonders wichtige Einrichtungen gemäß Sektoren der Anlage 1 mit mindestens 250 Mitarbeiter oder Jahresumsatz von über 50 Mio. Euro und zudem eine Jahresbilanzsumme von über 43 Mio. Euro.

Zu berücksichtigen ist ebenfalls, dass auch eine indirekte Betroffenheit für kleinere Unternehmen, die z.B. als Dienstleister oder Lieferanten für direkt betroffene Unternehmen tätig sind, bestehen kann (Sicherheit der Lieferkette).

Welche Anforderungen kommen auf Unternehmen zu?

Die Mindestanforderungen der NIS2-Richtlinie lassen sich in drei Hauptthemenbereichen darstellen:

I. Maßnahmen zum Risikomanagement für Cybersicherheit (Art. 21)

  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
  • Bewältigung von Sicherheitsvorfällen (BCM, Notfallmanagement);
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehun-gen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen (Einkauf), einschließlich Management und Offenlegung von Schwach-stellen;
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaß-nahmen im Bereich der Cybersicherheit;
  • grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
  • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Ver-schlüsselung;
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen (Assets);
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Au-thentifizierung, 
  • gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

II. Verantwortung der Geschäftsführung (Art. 20)

  • Die oberste Leitung muss die Maßnahmen zum Risikomanagement für Cybersicherheit nach Art. 21 billigen, die Umsetzung überwachen und haftet bei Verstößen
  • Sie muss an Schulungen teilnehmen und diese auch allen Mitarbeitern regelmäßig an-bieten. Es geht dabei um Erkennung und Bewertung von Risiken sowie Management-praktiken im Bereich der Cybersicherheit.

III. Meldepflicht von Sicherheitsvorfällen (Art. 23)

  • Meldung erheblicher Sicherheitsvorfälle an die zuständige Behörde und gegebenenfalls Unterrichtung der Empfänger der Dienste. Die Meldung an die Behörde ist dabei an Fristen gebunden:
      • unverzüglich, innerhalb von 24 Stunden nach Kenntnis, als Frühwarnung bei Verdacht auf rechtswidrige oder böswillige Handlungen oder grenzüberschreitende Auswirkungen.
      • unverzüglich, innerhalb von 72 Stunden nach Kenntnis, einen aktualisierten Bericht mit Bewertung des erheblichen Sicherheitsvorfalls einschließlich Schweregrad, Auswirkung und ggf. mit Kompromittierungsindikatoren.
      • Spätestens nach einem Monat ein Abschluss- oder Fortschrittsbericht mit ausführlicher Beschreibung des Vorfalls, Schweregrad, Auswirkungen, Bedrohung und Ursache, getroffene und laufende Abhilfemaßnahmen sowie ggf. grenzüberschreitende Auswirkungen.

Wie können sich Unternehmen vorbereiten?

Zunächst sollte eine Einschätzung durchgeführt werden, ob das Unternehmen dem Geltungsbereich des NIS2UmsuCG (bzw. der NIS2-Richtlinie) unterliegt. Daraus lassen sich dann die weiteren Schritte für Ihr Unternehmen ableiten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt dazu eine NIS-2-Betroffenheitsprüfung kostenfrei auf seiner Internetseite zur Verfügung. Diese soll Organisationen helfen, das eigene Unternehmen einzuordnen.

Weitere Informationen finden Sie direkt in der NIS2-Richtlinie und im Referentenentwurf zum NIS2UmsuCG. Darüber hinaus stellt das BSI verschiedene Informationen und Unterstützungsangebote zur Verfügung. Diese finden Sie auf der Internetseite des BSI.

Dieser Beitrag wurde nach bestem Gewissen und aktuellem Kenntnisstand bei der Veröffentlichung erstellt. Für die Richtigkeit und Vollständigkeit des Beitrags übernehmen wir keine Gewähr. Wir weisen darauf hin, dass dieser Beitrag nicht alle Besonderheiten des Einzelfalls berücksichtigt und daher keine individuelle Beratung zu einem konkreten Sachverhalt ersetzt.

Bildquelle: Foto von Mikhail Pavstyuk auf Unsplash

KONTAKT

Wir freuen uns auf Ihre Kontaktaufnahme.

E-Mail info@berisda.de
Telefon +49 661 29 69 80 90

Unverbindlich anfragen