NIS-2
Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Sie muss bis Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt sein.
Mit NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG gibt es in Deutschland mittlerweile einen Referentenentwurf. Dieser soll bereits Herbst 2023 verabschiedet werden.
Jetzt vorbereiten:
- 1. Bin ich von NIS2 betroffen?
- 2. Verantwortungen klären
- 3. To-Do’s abstimmen und Aufgaben mit Deadlines festlegen
- 4. Implementierung von Monitoring und Reporting
- 5. Erstellen von Notfall-Plänen
- 6. Behördliche Meldeverfahren definieren
Sind Sie betroffen:
Mit NIS2 wird es eine Unterscheidung geben zwischen wichtigen und essentiellen Unternehmen. Wichtige Unternehmen unterliegen einer geringeren Kontrolle durch die Behörden und der Strafrahmen fällt geringer aus (siehe Haftung und Strafen).
Damit die Regeln gleich auf alle Unternehmen in der EU angewendet werden können, wird die EU-Klassifizierung für KMU angewendet.
Betroffene Unternehmensgröße
| Mitarbeiter | Umsatz | Bilanzsumme | Betroffen | |
Kleinstunternehmen | Weniger 50 | Weniger 10. Mio € | Weniger 10 Mio. € | Nein |
K (Small) | 50 bis 250 | 10 bis 50 Mio € | Bis 43 Mio € | Ja |
M (Middle) | Mehr als 250 | Mehr als 50 Mio € | Mehr als 43 Mio € | Ja |
Betroffene Branchen
Wichtige Unternehmen | Essentielle Unternehmen | KRITIS |
| Post und Kurier | Energie | Energie |
| Abfall | Transport | Transport |
| Chemikalien | Bankwesen | Bankwesen |
| Lebensmittel (Produktion, Verarbeitung, Handel) | Finanzmärkte | Finanzmärkte |
| Hersteller von Medizinprodukten | Gesundheit | Gesundheit |
| Hersteller von Computer, Elektronik, Optik | Trinkwasser | Trinkwasser |
| Hersteller von Elektrische Ausrüstung | Abwasser | Abwasser |
| Machinenbau | Digitale Infrastruktur | Digitale Infrastruktur |
| Kraftwagen und Teile | ICT Service Management nur B2B | ICT Service Management nur B2B |
| Fahrzeugbau | Öffentliche Verwaltung | Öffentliche Verwaltung |
| Digitale Dienste | Weltraum | Lebensmittel** |
| Forschung |
** Lebensmittel ist in der NIS-2 Richtlinie auf EU-Ebene als wichtige Branche eingestuft. Die Einstufung als KRITIS wird in Deutschland bestehen bleiben.
Haftung:
Mit NIS-2 wird die Haftung auf die Geschäftsführung eines Unternehmens erweitert. Diese haften zukünftig bis zu einer Obergrenze von 2% des weltweiten Umsatzes mit Ihrem Privatvermögen.
| Allgemeine Bußgeldtatbestände nach §60 (5) | Wichtige Einrichtungen | Essentielle und KRITIS |
| bis zu 2 Mio € | bis zu 7 Mio. EUR oder Es wird immer der höchstmögliche Faktor gewählt | bis zu 10 Mio. EUR oder Es wird immer der höchstmögliche Faktor gewählt |
Geforderte Mindeststandards:
Gleichzeitig ist genau spezifiziert, was technisch notwendig ist. So müssen Unternehmen künftig mindestens die folgenden Cybersecurity-Maßnahmen umsetzen, um IT-Infrastruktur und Netzwerke ihrer kritischen Dienstleistungen zu schützen:
- Policies: Richtlinien für Risiken und Informationssicherheit
- Incident Management: Prävention, Detektion und Bewältigung von Sicherheitsvorfällen
- Business Continuity: Backup-Management, Disaster Recovery, Krisenmanagement
- Supply Chain: Sicherheit in der Lieferkette (inkl. externer Dienstleister wie z.B. Rechenzentren, Hoster, Webshops, .....)
- Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
- Monitoring: von Cyberrisiken und deren Behebung innerhalb der ganzen IT-Infrastruktur
- Kryptographie: Verschlüsselung, wo immer möglich
- Zugangskontrolle: Einsatz von Multi-Faktor-Authentifizierung und Single Sign-on
- Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
Meldeprozess:
- Nach Kenntnisnahme eines Sicherheitsvorfall erste Meldung an die Behörden binnen 24 Stunden.
- Aushändigung eines ersten Berichtes an die Behörden binnen 72 Stunden nach Kenntnisnahme des Vorfalles.
- Spätestens nach einem Monat nach Kenntnisnahme ist ein Abschlussbericht einzureichen.
Monitoring:
Die IT-Infrastruktur eines Unternehmens ist deutlich größer als nur die eigene On-Prem Situation oder der ggf. genutzten privaten Cloud. Heute hat jedes Unternehmen eine Webseite oder nutzt E-Mail zur Kommunikation. NIS2 verlangt nach einem ZERO-Trust Ansatz. Wurde mit NIS-1 noch auf Schwachstellen in Software verwiesen, wird dies nun auf Software und alle Dienste, die ein Unternehmen bezieht und einsetzt, erweitert.
Ebenfalls stellen Lost Identities ein hohes Risiko für ein Unternehmen dar und sollten ebenfalls in ein Monitoring-Konzept aufgenommen werden.
Quellen: