|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

Was ändert sich mit NIS-2?

25. April 2024

Es wird geschätzt, dass allein in Deutschland von NIS-2 nun etwa 25.000 bis 40.000 Organisationen betroffen sind, was grob einer Verzehnfachung gegenüber der Vorgängerrichtlinie entspricht. Diese Steigerung ergibt sich aus einer Erweiterung der betroffenen Sektoren von ursprünglich sieben auf nunmehr achtzehn. Grund genug, sich die neu hinzugekommenen Sektoren, Branchen und die inhaltlichen Verschärfungen genau anzusehen.

Erweiterter Anwendungsbereich

Die NIS-2-Richtlinie erweitert den Anwendungsbereich deutlich, indem zusätzliche Sektoren und Arten von Einrichtungen einbezogen werden. Dazu gehören nun auch wichtige und wesentliche Einrichtungen in den Sektoren Post- und Kurierdienste, Abfallwirtschaft, Herstellung kritischer Produkte, Lebensmittel, digitale Dienste (z. B. soziale Netzwerke, Datenverarbeitung und Cloud-Dienste sowie öffentliche Verwaltung). Zudem wurde mit NIS-2 eine Unterscheidung in Sektoren mit hoher Kritikalität und sonstige kritische Sektoren eingeführt.

Sektoren mit hoher Kritikalität:

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser (in NIS-1 Trinkwasserlieferung und -versorgung)
  • Abwasser (neu in NIS-2)
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten (B2B) (neu in NIS-2)
  • Öffentliche Verwaltung (neu in NIS-2)
  • Weltraum (neu in NIS-2)

Sonstige kritische Sektoren (allesamt neu in NIS-2):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschung

Unterscheidung nach Unternehmensgröße und Kritikalität

Ob Organisationen von der NIS-2-Richtlinie betroffen sind, hängt vom Tätigkeitsbereich und von der Unternehmensgröße ab. Durch die Unterscheidung in wesentliche und wichtige Einrichtungen, ergeben sich wiederum Unterschiede hinsichtlich staatlicher Aufsichts- und Sanktionsmöglichkeiten.

Bemessungskriterien

Einerseits werden Unternehmen nun, abhängig von ihrer Sektorenzugehörigkeit und ihrer Größe, als wesentliche oder wichtige Einrichtung eingestuft. Andererseits werden unabhängig von den Bemessungskriterien zusätzlich einige Sonderfälle im NIS-2-Umsetzungsgesetz sowohl als wesentliche als auch wichtige Einrichtungen definiert.

Generell von NIS-2 betroffene Organisationen (unabhängig von ihrer Größe):

  • Vertrauensdiensteanbieter
  • Domänennamenregister der Domäne oberster Stufe
  • DNS-Diensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze mit mittlerer Unternehmensgröße
  • Öffentliche Verwaltung
  • Unternehmen, die als einziger Anbieter eines Dienstes in einem EU-Mitgliedsstaat gesehen werden, der kritisch für das öffentliche Leben ist
  • Unternehmen, deren Störung einen wesentlichen Effekt auf die öffentliche Ordnung, Sicherheit oder Gesundheit haben
  • Unternehmen, die laut der Resilienz-Richtlinie der EU als kritisch einzustufen sind
  • Unternehmen, die vor dem 16. Januar 2023 schon als kritisch eingestuft wurden

Unternehmen mit weniger als 50 Beschäftigen und weniger als 10 Millionen Euro Jahresumsatz fallen hingegen nicht unter NIS-2, sofern sie nicht generell als betroffene Organisation eingestuft sind.

Verstärkung der Sicherheitsanforderungen

Explizit fordert NIS-2 die Erstellung von Konzepten zur Risikoanalyse und der Sicherheit für Informationssysteme, umfassende Maßnahmen zur Aufrechterhaltung der Business Continuity im Ernstfall und erstmals auch die Berücksichtigung der gesamten Supply Chain. Auch Schulungen im Bereich der Cybersicherheit werden nun explizit gefordert.

Konkret fordert NIS-2 von betroffenen Organisationen die Umsetzung folgender Maßnahmen:

Verschärfte Meldepflichten

Für besonders wichtige Einrichtungen und wichtige Einrichtungen sollen zudem konkretisierte Meldepflichten für Sicherheitsvorfälle gelten. Demnach sollen bei erheblichen Sicherheitsvorfällen „unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung“ Frühwarnungen erfolgen (NIS2UmsuCG, Stand 03.07.2023).

„Unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung“ sollen künftig Meldungen, einschließlich Bewertung, erfolgen.

Und ein Abschlussbericht muss spätestens nach einem Monat vorliegen.

Mögliche Strafzahlungen

NIS-2 fordert nun auch, dass durch die EU-Mitgliedstaaten für Verstöße wesentlicher und wichtiger Einrichtungen gegen die Richtlinie Geldbußen verhängt werden und definiert gegenüber NIS-1 in Artikel 34 bereits den entsprechenden Rahmen.

Verantwortung für organisatorische Maßnahmen

NIS-2 macht Vorstände und Geschäftsführungen explizit für die Umsetzung der Maßnahmen verantwortlich und für mögliche Verstöße persönlich haftbar.

Umsetzung der NIS-2-Anforderungen

Eine Projektgruppe der betroffenen Organisationen, zusammengesetzt aus Geschäftsleitung, IT-Sicherheitsverantwortlichen und allen relevanten Personen, sollte zügig damit beginnen, eine dedizierte Organisationsstruktur zu erstellen. Dabei sollte viel Zeit und Budget kalkuliert werden, insbesondere bei den Einrichtungen, die von der Vorgängerrichtlinie noch nicht betroffen und dem Thema Netzwerk- und Informationssicherheit bislang nur wenig Beachtung geschenkt haben.

Einführung eines Informationssicherheits-Managementsystems (ISMS)

Wenn nicht längst geschehen, sollten betroffene Organisationen die internen IT-Infrastrukturen dokumentieren und den Bedarf an zusätzlich erforderlichen Anschaffungen und Dienstleistungen ermitteln. Prinzipiell ist zu sagen, dass die Anforderungen zur Erfüllung von ISO 27001 umgesetzt werden sollten.

Lieferketten überprüfen

Da NIS-2 die Absicherung der gesamten Lieferkette hinsichtlich der Netz- und Informationssysteme samt der gesamten physischen Umgebung dieser Systeme verlangt, muss ein umfassender Überblick über die gesamte Infrastruktur hergestellt werden. Hilfreich ist hier die Berücksichtigung entsprechender Zertifikate schon beim Erwerb eingesetzter Lösungen und Services.  

Meldeprozesse definieren

Um den verschärften Fristen zur Meldung erheblicher Sicherheitsvorfälle im Ernstfall gerecht zu werden, müssen klar definierte Meldeprozesse und Verantwortliche definiert werden. In Zusammenarbeit mit dem Datenschutzbeauftragten sollten die Projektverantwortlichen ein entsprechendes Meldekonzept ausarbeiten, umfassend dokumentieren und implementieren.

Registrierung beim BSI

Im Gegensatz zu Österreich, wo Einrichtungen vom Innenministerium angeschrieben und darüber informiert werden, wenn sie von NIS-2 betroffen sind, müssen sich betroffene Unternehmen hierzulande selbstständig beim BSI als wichtiger oder wesentlicher Betrieb registrieren. Eine entsprechende Meldestelle sowie die personellen und organisatorischen Voraussetzungen muss das BSI allerdings erst noch schaffen. Bereit sein sollten Betroffene dennoch!

Bild (c) NoName 13 / Pixabay

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Karriere
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen