Artikel
Die NIS2-Richtlinie: Von NIS zu NIS2
Die NIS2-Richtlinie ist die zweite Version der NIS-Richtlinie, der ersten Cybersicherheitsrichtlinie der Europäischen Union. NIS2 soll Unklarheiten beseitigen und die Reichweite der Richtlinie vergrößern. Sie umfasst nun mehr Sektoren und enthält Leitlinien für eine einheitliche Umsetzung in den EU-Mitgliedstaaten.
Die NIS2-Richtlinie gilt für alle „wesentlichen“ oder „wichtigen“ Einrichtungen in allen EU-Mitgliedstaaten und soll sicherstellen, dass die Unternehmen und Bürger Europas geschützt sind.
NIS2 führt standardmäßige Cybersicherheitsanforderungen in allen EU-Mitgliedstaaten ein, zeigt Best Practices auf, schafft strenge Meldepflichten für Vorfälle und führt Durchsetzungsmaßnahmen und Sanktionen ein. Außerdem wird die Einrichtung eines EU-weiten Programms zur Zusammenarbeit und zur Meldung von Schwachstellen gefordert.
Die NIS2-Richtlinie nimmt das Management für Folgendes in die Pflicht:
- Sicherstellen, dass Bewertungen der Cybersicherheitsrisiken durchgeführt werden
- Implementierung von technischen und organisatorischen Sicherheitsmaßnahmen
- Angemessener Umgang mit Risiken
- Unterstützung der Cybersicherheit durch Schulungen und Risikomanagementprogramme
Es ist wichtig anzumerken, dass die NIS2-Richtlinie keine ausdrücklichen technischen Änderungen vorschreibt, die umgesetzt werden müssen. Die NIS2-Richtlinie umreißt stattdessen Konzepte und bewährte Praktiken zur Verbesserung der Sicherheitsvorkehrungen von Unternehmen.
Relevante Fristen
Bis 17. Oktober 2024 mussten die EU-Mitgliedsstaaten die für die Einhaltung der NIS2-Richtlinie erforderlichen gesetzlichen Bestimmungen erlassen und veröffentlichen. Die EU-Mitgliedsstaaten müssen die in der NIS2-Richtlinie beschriebenen wesentlichen und wichtigen Einrichtungen bis 17. April 2025 identifizieren.
Gemäß der NIS2-Richtlinie können sich Unternehmen in den EU-Mitgliedstaaten selbst registrieren, wenn sie feststellen, dass ihre Dienstleistungen in den Anwendungsbereich von NIS2 fallen. Unternehmen, die durch die NIS2-Richtlinie gebunden sind, müssen sich in jedem EU-Mitgliedstaat, in dem sie Dienstleistungen erbringen, vor Ablauf der jeweiligen Fristen registrieren. Vor den jeweiligen Registrierungsfristen müssen die Unternehmen Folgendes vorlegen:
- Ihren Namen, Ihre Adresse und Ihre Firmennummer
- Der Sektor oder Untersektor im Anwendungsbereich der NIS2-Richtlinie, in dem sie tätig sind
- Ihre Kontaktdaten
- Mitgliedsstaaten, in denen sie tätig sind
- Die Liste der ihnen zugewiesenen IP-Adressen
Geschichte der NIS2-Richtlinie
Die Richtlinie über die Sicherheit von Netz- und Informationssystemen, gemeinhin als NIS bezeichnet, wurde im Juli 2016 erlassen, um die Cybersicherheit und die Cyberresilienz in der gesamten Europäischen Union zu verbessern. Die festgelegten Regulierungsmaßnahmen konzentrierten sich auf:
- Verbesserung der Cybersicherheitsfähigkeiten auf nationaler Ebene
- Verstärkte Zusammenarbeit zwischen den EU-Mitgliedstaaten bei der Bekämpfung von Cyberbedrohungen
- Verbesserung der Cybersicherheit in wichtigen und bedeutenden Unternehmen
Der Rat der Europäischen Union verabschiedete die NIS2-Richtlinie am 28. November 2022. Die NIS2-Richtlinie dann wurde am 27. Dezember 2022 veröffentlicht und ersetzt offiziell die NIS-Richtlinie (Richtlinie 2016/1148/EU).
Die Europäische Union verabschiedete am 16. Januar 2023 eine neue Version der NIS-Richtlinie, die NIS2-Richtlinie. Ein Hauptziel der NIS2-Richtlinie ist es, Cybersicherheit und Cyberresilienz in wesentlichen und wichtigen Unternehmen der Europäischen Union schnell zu verbessern.
Die EU-Mitgliedsstaaten sind verpflichtet, die NIS2-Richtlinie bis zum 17. Oktober 2024 in ihre nationale Gesetzgebung aufzunehmen.
Welche Sektoren werden durch die NIS2-Richtlinie geregelt?
Die NIS2-Richtlinie gilt für Unternehmen, die nach EU-Standards als mittelgroß oder groß eingestuft werden (d. h. Unternehmen mit mehr als 50 Mitarbeitern und/oder mehr als 10 Millionen Euro Umsatz pro Jahr). Diese Parameter gelten jedoch nicht für Unternehmen in bestimmten Sektoren, z. B. für:
- Unternehmen, die als kritische Infrastruktur eingestuft werden
- Anbieter öffentlicher Dienste (z. B. elektronische Kommunikationsnetzwerke)
- Anbieter eines Dienstes, der die öffentliche Sicherheit, die Sicherheit oder die Gesundheit beeinträchtigen oder systemische Risiken verursachen könnte
- Alleinige Erbringer einer Dienstleistung für eine Regierung
Organisationen, Unternehmen und Lieferanten, die sich an die NIS2-Richtlinie halten müssen, werden in zwei Kategorien eingeteilt – wesentlich und wichtig. Dies ist ein wesentlicher Unterschied der NIS2-Richtlinie, da für jede Kategorie unterschiedliche Anforderungen gelten, welche davon abhängen, welche Produkte und Dienstleistungen für die EU-Mitgliedstaaten erbracht werden und wie sich ein Zwischenfall auf deren Lieferung auswirkt.
Wesentliche Organisationen
Beispiele für wesentliche Organisationen gemäß der NIS2-Richtlinie sind:
- Luft- und Raumfahrt
- Banken- und Finanzmarktinfrastruktur
- Digitale Infrastruktur
- Trinkwasserversorgung
- Energie
- Gesundheitswesen
- ICT (Informations- und Kommunikationstechnologie)-Service-Management
- Managed-Service-Provider
- Öffentliche Verwaltung (zentrale und regionale Ebene)
- Transport
- Abwasser
Wichtige Organisationen
Hier sind einige Beispiele für wichtige Organisationen gemäß der NIS2-Richtlinie:
- Digitale Anbieter (z. B. Suchmaschinen, Plattformen für soziale Netzwerke)
- Lebensmittelproduktion, -verarbeitung und -vertrieb
- Herstellung von medizinischen Geräten
- Post- und Kurierdienste
- Herstellung, Verarbeitung und Vertrieb von Chemikalien
- Recherche
- Abfallwirtschaft
Was hat sich mit NIS2 im Vergleich zu NIS geändert?
Im Folgenden finden Sie einen Vergleich von NIS und NIS2 der Europäische Kommission.
NIS | NIS2 |
|---|---|
Fähigkeiten |
|
Die EU-Mitgliedstaaten verbessern ihre Fähigkeiten im Bereich der Cybersicherheit. | Es werden strengere Überwachungsmaßnahmen der Durchsetzung eingeführt. |
Kooperation |
|
Die Zusammenarbeit auf EU-Ebene wird verstärkt. | Das European Cyber Crises Liaison Network (EU-CyCLONe) wird eingerichtet, um die koordinierte Bewältigung von Cybersicherheitsvorfällen auf EU-Ebene zu ermöglichen. |
Cybersecurity-Risikomanagement |
|
Betreiber grundlegender Dienste (OES) und Anbieter digitaler Dienste (DSP) müssen Risikomanagementverfahren anwenden und ihre nationalen Behörden über bedeutende Vorfälle informieren. | Die Sicherheitsanforderungen werden durch gezielte Maßnahmen gestärkt. Dazu gehören die Reaktion auf Vorfälle und das Krisenmanagement, der Umgang mit Schwachstellen und deren Offenlegung, Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Umgang mit Cybersicherheitsrisiken, grundlegende Praktiken der Cyberhygiene und Schulungen zur Cybersicherheit, der effektive Einsatz von Kryptographie, Personalsicherheit, Richtlinien zur Zugangskontrolle und die Verwaltung von Vermögenswerten. |
Weitere Änderungen in der NIS2-Richtlinie sind:
- Mehr Verpflichtungen für wesentliche und wichtige Einrichtungen zur Umsetzung technischer, betrieblicher und organisatorischer Maßnahmen zur Bewältigung der Risiken
- Erhebliche Ausweitung der Meldepflichten für Vorfälle
- Strengere Strafen bei Nichteinhaltung der NIS2
Die NIS2-Richtlinie und die Meldung von Vorfällen
Mit der NIS2-Richtlinie wurden die Sorgfaltspflicht und die Meldepflicht, die bereits unter der ursprünglichen NIS-Richtlinie bestanden, erweitert. Unter NIS2 wurden alle Opt-out-Möglichkeiten gestrichen. Jede Verletzung der Cybersicherheit muss ab sofort gemeldet werden, unabhängig davon, ob der Angriff den Geschäftsbetrieb des Unternehmens beeinträchtigt hat oder nicht. Das Ziel ist es, es den Behörden zu ermöglichen, die Überwachung und die Reaktion auf potenzielle Bedrohungen zu verbessern.
Wie schon unter der NIS1-Richtlinie muss auch unter der NIS2-Richtlinie jeder EU-Mitgliedstaat eine zentrale Kontaktstelle für Compliance die Einhaltung der Vorschriften und ein koordinierendes Computer Security Incident Response Team (CSIRT) für die Meldung von Vorfällen oder eine zuständige Behörde haben. In Belgien wird dies zum Beispiel die Rolle des Centre for Cyber Security Belgium (CCB) sein.
Die NIS2-Richtlinie beschreibt ein mehrstufiges Meldeverfahren, das bei einem Vorfall verpflichtend einzuhalten ist. Sie legt auch den Inhalt fest, der in diesen Berichten enthalten sein muss.
- Erstmeldung
Eine Erstmeldung muss innerhalb von 24 Stunden nach einem Cybersicherheitsvorfall bei der zuständigen Behörde oder dem national zuständigen CISRT eingereicht werden. Aus den ersten Meldungen sollte nach Möglichkeit hervorgehen, ob der Vorfall durch eine rechtswidrige oder böswillige Handlung verursacht wurde. Diese erste Meldung soll die potenzielle Ausbreitung einer Cyberbedrohung begrenzen. - Folgemeldung
Nach 72 Stunden muss ein detaillierterer Meldebericht übermittelt werden. Er sollte eine Bewertung des Vorfalls enthalten, einschließlich der Schwere, der Auswirkungen und der Indikatoren für eine Kompromittierung. Wenn der Vorfall krimineller Natur war, sollte das betroffene Unternehmen ihn auch den Strafverfolgungsbehörden melden. - Final report
Innerhalb eines Monats nach der ersten Meldung muss ein Abschlussbericht eingereicht werden. Dieser Abschlussbericht muss die folgenden Bestandteile beinhalten:- Eine detaillierte Beschreibung des Vorfalls
- Den Schweregrad und die Folgen
- Die Art der Bedrohung oder die Ursache, die wahrscheinlich zu dem Vorfall geführt hat
- Alle angewandten und laufenden Gegenmaßnahmen
Zusätzlich zur Meldung von Vorfällen müssen Unternehmen gemäß der NIS2-Richtlinie jede größere Cyberbedrohung melden, die zu einem bedeutenden Vorfall führen könnte. Eine Bedrohung gilt als erheblich, wenn sie zu Folgendem führt oder führen könnte:
- Wesentlichen Betriebsstörungen oder finanziellen Verlusten für das betroffene Unternehmen
- Es werden natürliche oder juristische Personen beeinträchtigt, da ein erheblicher materieller oder immaterieller Schaden entsteht.
Unternehmen, die nicht in den Anwendungsbereich der NIS2-Richtlinie fallen, können freiwillig größere Vorfälle, Cyberbedrohungen oder Beinahe-Vorfälle melden, ohne dass dies regulatorische Konsequenzen hat. Das bedeutet, dass ein Unternehmen, das freiwillig Berichte einreicht, keinen strengeren Verpflichtungen unterworfen werden darf, als wenn es sie nicht eingereicht hätte. So wird es Unternehmen, die nicht an die NIS2-Richtlinie gebunden sind, ermöglicht, ihre Bedrohungsdaten einfach und risikofrei weiterzugeben.
Was passiert bei Nichteinhaltung?
Die Nichteinhaltung der NIS2-Richtlinie wird mit strengeren Strafen geahndet als in der ersten Fassung. Nach NIS2 sind die Strafen für die Nichteinhaltung der Vorschriften für wesentliche und wichtige Einrichtungen unterschiedlich:
- Für wesentliche Unternehmen können die Bußgelder bis zu 10.000.000 € oder mindestens 2 % des weltweiten Jahresumsatzes des Unternehmens betragen (je nachdem, welcher Betrag höher ist).
- Für wichtige Unternehmen können die Bußgelder bis zu 7.000.000 € oder mindestens 1,4 % des gesamten weltweiten Jahresumsatzes des Unternehmens betragen (je nachdem, welcher Betrag höher ist).
Wie sich Unternehmen auf die NIS2-Richtlinie vorbereiten sollten
Im Folgenden finden Sie einige empfohlene Schritte für Unternehmen, die NIS2-Konformität erreichen wollen.
Verfolgen Sie einen proaktiven Sicherheitsansatz
Führen Sie fortlaufend Risikoanalysen durch, um potenzielle Bedrohungen proaktiv zu erkennen. So können Unternehmen alle Probleme angehen und sicherstellen, dass sie auf die Einhaltung der NIS2-Richtlinie vorbereitet sind.
Verschlüsseln Sie alle wichtigen Daten
Um die strengen Cybersicherheitsstandards der NIS2-Richtlinie zu erfüllen, sollten Verschlüsselungen genutzt werden, um kritische Daten, einschließlich Datenbanken, Kommunikation, Dokumente, Server und kritische Infrastruktur, zu schützen.
Fördern Sie eine sicherheitsorientierte Unternehmenskultur
Die Bedeutung der Cybersicherheit sollte von der obersten Führungebene eines Unternehmens kommuniziert werden. Der Cybersicherheit sollte in jeder Abteilung oberste Priorität eingeräumt werden. Eine cyberorientierte Kultur beginnt auf der Führungsebene und wird im Unternehmen verankert, indem von den Mitarbeitern ein Mindestmaß an Sicherheitsbewusstsein verlangt wird. Sicherheitsschulungen sollten so gestaltet sein, dass die Mitarbeiter verstehen, wie sich ihre Aufgaben und Verantwortlichkeiten auf die Sicherheit auswirken.
Identifizieren Sie kritische Dienste, Abläufe und Vermögenswerte
Um festzustellen, welche Systeme besonders geschützt werden müssen, um die NIS2-Konformität zu gewährleisten, können Sie eine Folgenabschätzung durchführen. So lässt sich feststellen, welche Systeme und Prozesse in den Anwendungsbereich der NIS2-Richtlinie fallen.
Implementieren Sie konforme Risiko- und Informationssicherheitsmanagementsysteme
Viele Unternehmen stellen fest, dass sie ihre Informationssicherheits-Managementsysteme aktualisieren oder ändern müssen, um die NIS2-Richtlinie zu erfüllen. Das Unternehmen muss zu Folgendem in der Lage sein:
- Verantwortlichkeiten müssen genau definiert sein.
- Elementare Prozesse müssen funktionieren, z.B.
- Sicherheitsrichtlinien für Informationssysteme
- Bearbeitung und Verwaltung von Vorfällen
- Geschäftskontinuität (z. B. Backup-Systeme, Notfallpläne)
- Risikomanagement für Dritte (z.B. Lieferanten)
- Umgang mit Schwachstellen
- Schulungen zum Sicherheitsbewusstsein für Mitarbeiter
- Identifikation, Behebung und Überwachung von Sicherheitsrisiken
Verpflichtende Multi-Faktor-Authentifizierung
Die Implementierung der Multi-Faktor-Authentifizierung (MFA) zur Sicherung aller Konten anstelle von Passwörtern alleine ist ein wesentlicher Bestandteil des Schutzes von Vermögenswerten und der Erfüllung der Anforderungen der NIS2-Richtlinie.
Verstehen Sie die Anforderungen der NIS2-Richtlinie und bereiten Sie sich darauf vor, sie zu erfüllen
Nehmen Sie sich Zeit, um die Anforderungen zu studieren und die Bereitschaft Ihres Unternehmens zur Einhaltung der Vorschriften zu beurteilen. Dazu gehört auch die Identifikation von Lücken und die Umsetzung von Plänen, um diese noch vor Ablauf der Frist zu schließen.
Eine entscheidende Komponente der NIS2-Vorbereitung ist die Unterstützung durch die Führungetage, die Zustimmung der Interessengruppen und die Bereitstellung des erforderlichen Budgets und der Ressourcen.
Fangen Sie unbedingt frühzeitig damit an, da Verzögerungen fast unvermeidlich sind und die Fristen keine Verzögerungen zulassen.
Die NIS2-Richtlinie – Teil eines wachsenden Trends
Die NIS2-Richtlinie entspricht dem zunehmenden Trend, Cybersicherheit und Cyberresilienz in der Gesetzgebung zu verankern. Jeder EU-Mitgliedstaat ist verpflichtet, die NIS2-Richtlinie als Gesetz zu verabschieden.
Die NIS2-Richtlinie beeinflusst Unternehmen aller Art und zielt darauf ab, die Abwehr gegen eskalierende Cyberbedrohungen zu stärken. Das Gute an NIS2-Richtlinien und ähnlichen Initiativen ist, dass sie Unternehmen dabei hilft, ihre allgemeine Cybersicherheit zu verbessern, was sich positiv auf alle Aspekte der Geschäftstätigkeit auswirkt.
