NIS2-Compliance

Die NIS2-Richtlinie (Network-and-Information-Security-Directive bzw. Directive on measures for a high common level of cybersecurity across the Union) ist eine europäische Sicherheitsrichtlinie, die die ursprüngliche NIS-Richtlinie von 2016 ablöst.

Die NIS2-Richtlinie zielt darauf ab, die Resilienz gegenüber Cyberbedrohungen zu stärken und die Sicherheit kritischer Infrastrukturen zu verbessern.

Bis zum 17. Oktober 2024 müssen die EU-Mitgliedstaaten die NIS2-Richtlinie in nationales Recht umsetzen. Konkret bedeutet dies, dass spätestens ab dem 18. Oktober 2024 betroffene Organisationen in Deutschland durch das nationale Gesetz NIS2UmsuCG verpflichtet sind, die neuen gesetzlichen Bestimmungen zu befolgen.

Der Hauptunterschied zwischen der bisherigen NIS-Richtlinie von 2016 und der neuen NIS2-Richtlinie liegt in der Erweiterung des Anwendungsbereichs und der Verschärfung der Sicherheitsanforderungen an Unternehmen.

Die NIS2-Richtlinie erweitert den Geltungsbereich auf zusätzliche Branchen und Sektoren, was bedeutet, dass nun eine größere Bandbreite von Unternehmen von den neuen Vorschriften betroffen ist. Dies umfasst nicht nur Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste, sondern auch Organisationen, die als wichtig oder besonders wichtig für die Wirtschaft eingestuft werden.

Darüber hinaus werden in der NIS2-Richtlinie strengere Standards und Anforderungen an die Cybersicherheit festgelegt. Unternehmen müssen nun noch umfassendere Maßnahmen zur Gewährleistung der Sicherheit ihrer Systeme und Daten implementieren. Dies beinhaltet unter anderem die Entwicklung und Umsetzung eines effektiven Risikomanagementsystems sowie die Meldung von Sicherheitsvorfällen innerhalb vorgegebener Fristen.

Der Geltungsbereich der NIS2-Richtlinie unterscheidet sich erheblich von dem der ursprünglichen NIS-Richtlinie von 2016. Diese Neufassung richtet sich nicht nur an Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste, sondern auch an Organisationen, die als wichtig oder besonders wichtig eingestuft werden.

Wichtige Einrichtungen können beispielsweise Anbieter digitaler Dienste oder Unternehmen mit mindestens 50 Mitarbeitern in Branchen wie Transport, Abfallentsorgung oder Forschung sein.

Besonders wichtige Einrichtungen umfassen Betreiber kritischer Infrastrukturen sowie Unternehmen mit mindestens 250 Mitarbeitern in Sektoren wie Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Wasserwirtschaft, Informationstechnologie und Telekommunikation.

Darüber hinaus gibt es spezifische Vorschriften, die unabhängig von der Größe für bestimmte Einrichtungen gelten, wie beispielsweise Anbieter öffentlicher elektronischer Kommunikationsnetze.

Machen Sie jetzt unseren Test und erfahren, ob Ihr Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fällt!

Achtung: Indirekt sind auch kleinere Unternehmen von NIS2 betroffen, die als Dienstleister oder Lieferanten für direkt betroffene Unternehmen tätig sind.

Die NIS2-Richtlinie legt eine Reihe von Kernanforderungen fest, denen betroffene Unternehmen gerecht werden müssen. Dazu gehören Maßnahmen zur Stärkung des Risikomanagements für die Cybersicherheit, einschließlich der Entwicklung und Umsetzung von Sicherheitsmaßnahmen und -protokollen, die u.a. auf international anerkannten Standards wie ISO 27001 basieren.

Des Weiteren sind Registrierungs-, Melde- und Informationspflichten vorgesehen, die sicherstellen sollen, dass Vorfälle zeitnah und transparent gemeldet werden.

Zusätzlich sind Schulungen und Schulungsprogramme für Mitarbeitende erforderlich, um das Bewusstsein für Cybersicherheit zu schärfen und sicherzustellen, dass alle Mitarbeitenden die notwendigen Verfahren und Protokolle verstehen und einhalten können.

Letztendlich liegt die Verantwortung für die Einhaltung dieser Anforderungen bei der Geschäftsführung, die für die Überwachung, Umsetzung und fortlaufende Verbesserung der Cybersicherheitsmaßnahmen im Unternehmen verantwortlich ist.

Unternehmen und Organisationen, die bereits unter die Bestimmungen von NIS fallen und nun den Übergang zu NIS2 vollziehen, müssen hinsichtlich ihrer Cybersecurity-Maßnahmen nur geringfügige Änderungen erwarten. Gemäß Artikel 21 der NIS2-Richtlinie bleiben die Anforderungen an Maßnahmen wie Cyber-Risikomanagement, Business Continuity Management, Penetrationstests, Kryptografie, sichere Kommunikation sowie Zugangskontrolle und Authentisierung im Wesentlichen unverändert.

Neu ist jedoch die Forderung, die Sicherheit in der gesamten Lieferkette zu berücksichtigen, eine Bestimmung, die in Deutschland bereits im IT-Sicherheitsgesetz 2.0 verankert ist.

Die Hauptänderungen in NIS2 betreffen jedoch die Sanktionen und Kontrollmaßnahmen:

• Bei Verstößen gegen die Cybersecurity-Maßnahmen oder Meldepflichten drohen nun wesentlich höhere Strafen.
• Zudem sind umfangreiche Überwachungsmaßnahmen vorgesehen, einschließlich nicht anlassbezogener Security Audits und Security Scans durch Behörden oder unabhängige Dritte.
• Bei fortgesetzten Verstößen können Behörden Anweisungen erteilen oder sogar Betriebserlaubnisse entziehen.
• Die Geschäftsleitung kann persönlich haftbar gemacht werden und für Verstöße gegen die Richtlinie zur Rechenschaft gezogen werden.

Nach NIS2 können Unternehmen keine direkte Zertifizierung erhalten, da NIS2 keine explizite Zertifizierungspflicht vorsieht. Dennoch kann eine anerkannte Zertifizierung wie die ISO 27001 Unternehmen dabei unterstützen, die Anforderungen von NIS2 zu erfüllen, da die beiden Standards viele Ziele teilen.

Die ISO 27001 umfasst einen systematischen Ansatz zur Verwaltung von vertraulichen Informationen, einschließlich der Identifizierung von Risiken, der Implementierung von Kontrollen zur Risikominderung und der regelmäßigen Überprüfung und Verbesserung des ISMS. Die ISO-27001-Zertifizierung kann somit als wertvolles Instrument dienen, um die Anforderungen von NIS2 zu erfüllen und das Sicherheitsniveau eines Unternehmens zu verbessern.

Unternehmen, die bereits eine ISO-27001-Zertifizierung oder ein erfolgreiches TISAX-Assessment aufweisen, erfüllen bereits einen erheblichen Teil der Anforderungen der NIS2-Richtlinie. Es ist jedoch zu beachten, dass je nach Umfang der Zertifizierung nach ISO 27001 oder des TISAX-Labels zusätzliche Anforderungen durch NIS2 entstehen können.

Deshalb müssen Unternehmen, die bereits nach ISO 27001 zertifiziert sind, einen zusätzlichen Aufwand betreiben, um sicherzustellen, dass sie den Anforderungen der NIS2-Richtlinie vollständig gerecht werden. Dies erfordert eine gründliche Überprüfung, um sicherzustellen, dass das bestehende Informationssicherheits-Managementsystem (ISMS) den spezifischen Anforderungen der NIS2-Richtlinie entspricht. Potenzielle Diskrepanzen oder Abweichungen sollten sorgfältig identifiziert werden, um eine angemessene Anpassung des ISMS vorzunehmen und die Konformität sicherzustellen. Dies könnte zusätzliche Kontrollen, Richtlinien oder Verfahren umfassen, um sicherzustellen, dass alle relevanten Aspekte der NIS2-Richtlinie berücksichtigt werden.

Das NIS2-Umsetzungsgesetz wird voraussichtlich am 18. Oktober 2024 in Deutschland in Kraft treten. Bis dahin müssen die EU-Mitgliedstaaten die NIS2-Richtlinie in nationales Recht umsetzen. Es liegt derzeit ein Diskussionspapier des Bundesministeriums des Innern und für Heimat vor, das die wirtschaftsbezogenen Regelungen zur Umsetzung der NIS2-Richtlinie in Deutschland behandelt.

Die Nichteinhaltung der NIS2-Richtlinie kann schwerwiegende Konsequenzen haben, darunter persönliche Haftung für Geschäftsführer und Führungskräfte, erhebliche Geldstrafen sowie die Aussetzung des Geschäftsbetriebs durch die Aufsichtsbehörde.

Bußgelder können bis zu 10 Millionen Euro oder 2% des Gesamtumsatzes (für wesentliche Unternehmen) bzw. bis zu 7 Millionen Euro oder 1,4% des Gesamtumsatzes (für wichtige Unternehmen) betragen.