‌Die NIS-2 Richtlinie – für eine EU-weite Stärkung der Cyberresilienz

1. MOTIVATION

Die Motivation der NIS2 Richtlinie fußt auf einer Professionalisierung der Cyberkriminalität. Mit zusätzlich zunehmender Technologisierung und Komplexität von IT-Infrastrukturen, ergeben sich vermehrt hohe IT-Sicherheitsrisiken, die in der Vergangenheit von Cyberkriminellen teilweise massiv ausgenutzt wurden. Die betroffenen Branchen sind dabei sehr unterschiedlich.

2. ZIELSTELLUNG

Ziel der NIS2-Richtlinie ist die EU-weite Stärkung der Cyberresilienz. NIS2 bedeutet “Network and Information Security“. Sie definiert einen neuen Mindeststandard für IT-Sicherheit. Dieser Mindeststandard soll durch die Umsetzung von Anforderungen in vorgegebenen Anforderungsgruppen der IT-Sicherheit erreicht werden.

Dadurch soll die Wirksamkeit des IT-Sicherheitsschutzes erhöht und das Risiko – von einem solchen Cyberangriff betroffen zu sein – reduziert werden.

3. ALLGEMEINES

Die NIS-2-Richtlinie wurde am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht. Sie trat am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft. Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen. Das bedeutet für Deutschland, dass bis zum 17. Oktober 2024 die Inhalte der NIS2-Richtlinie in nationales Recht umgesetzt werden müssen.

4. BETROFFENE UNTERNEHMEN

Von dieser Richtlinie sind mindestens 30.000 Unternehmen in Deutschland betroffen, abhängig von verschiedenen Faktoren:

  • Hochkritische Sektoren: Energie, Gesundheit, Trink-/Abwasser, Bankwesen, Weltraum, Verkehr, Finanz, Digitale Infrastruktur, Öffentliche Verwaltung, IKT
  • Sonstige kritische Sektoren: Digitale Dienste, Forschung, Industrie, Abfallbewirtschaftung, Post- und Kurierdienste, Lebensmittel, Chemikalien
  • Mittlere Unternehmen ab 50 Mitarbeiter und einem Jahresumsatz von 10 bis 50 Mio. EUR oder einer Jahresbilanz bis 43 Mio. EUR
  • Große Unternehmen ab 250 Mitarbeiter und einem Jahresumsatz ab 50 Mio. EUR oder einer Jahresbilanz ab 43 Mio. EUR
  • Wesentliche Einrichtungen
  • Wichtige Einrichtungen

Die Definition, was ein Sektor mit hoher oder sonstiger Kritikalität ist bzw. was eine wesentliche und wichtige Einrichtung ist, wird im Anhang der NIS2-Richtlinie näher definiert.

Hierbei gibt es aktuell einen Dialog mit diversen Branchenverbänden, was die Definition in einigen Teilen noch schärfen oder lockern kann.

Sind Sie unsicher, ob Ihr Unternehmen vom Gesetzentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) betroffen ist? Die NIS-2-Betroffenheitsprüfung des BSI bietet Ihnen in wenigen Schritten dafür eine erste Orientierung.

5. AKTUELLER STAND

Der aktuelle Referentenentwurf vom 22.07.2024 wurde bereits verabschiedet, und wird als nächstes in ein Gesetz überführt. Das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird voraussichtlich im ersten Quartal 2025 in Kraft treten.

6. AKTUELLE ANFORDERUNGEN

  • Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisenmanagement
  • Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
  • Sicherheit in der Entwicklung, Beschaffung und Wartung; Management von Schwachstellen
  • Bewertung der Effektivität von Cybersicherheit und Risikomanagement
  • Schulungen Cybersicherheit und Cyberhygiene
  • Kryptografie und Verschlüsselung
  • Personalsicherheit, Zugriffskontrolle und Anlagenmanagement
  • Multi-Faktor Authentisierung und kontinuierliche Authentisierung
  • Sichere Kommunikation (Sprach, Video- und Text)

Genaue Maßnahmen zur Umsetzung der Anforderungen sind nicht klar definiert, da Unternehmen zu individuell in Ihrer Komplexität und Struktur sind. Daher können unterschiedliche Maßnahmen zum gleichen Ergebnis führen.

Es gibt keine Zertifizierungsmöglichkeit für eine offizielle NIS2 Konformität. Es gibt jedoch IT-Sicherheitsstandards, wie die VdS 10000, DIN ISO 27001, TISAX usw., welche die Erfüllung von NIS2 Anforderungen bestätigen können.

7. VORBEREITENDE MASSNAHMEN FÜR UNTERNEHMEN

Zwar liegt noch kein ausgearbeitetes Gesetz vor, jedoch können bereits vorab Maßnahmen umgesetzt werden, welche die Erfüllung der Anforderungen in Zukunft vereinfachen oder sogar vorgreifen.

Dazu zählen beispielsweise:

  1. Durchführung einer IT-Sicherheitsanalyse zur Feststellung des aktuellen IT-Sicherheitsniveaus
  2. Durchführung einer Risikoanalyse zur Ermittlung und Bewertung von relevanten IT-Sicherheitsrisiken
  3. Durchführung einer Geschäftsprozessanalyse zur Identifizierung von Ressourcen (Informationen, IT-Assets, Personen, Prozessen) mit hoher Kritikalität

Aus diesen Analysen lassen sich bereits vorab Anforderungen, die in der NIS2-Richtlinie – und teilweise auch bereits in der EU DSGVO – festgelegt sind, umsetzen und eine entsprechende Konformität ermöglichen. Als Ergebnis erhalten Sie nicht nur die einzelnen Ergebnisse der Analyse und Bewertung, sondern ebenfalls einen empfohlenen Maßnahmenplan, aus dem sich ein Umsetzungskonzept ableiten lässt.

8. WEITERFÜHRENDE LINKS

VdS – 

OpenKRITIS

BSIBSI – NIS-2-Betroffenheitsprüfung (bund.de)

Auch wenn noch kein ausgearbeitetes Gesetz vorliegt, können Unternehmen bereits vorab Maßnahmen umsetzen, welche die Erfüllung der Anforderungen in Zukunft vereinfachen.

Gerne unterstützen wir Sie auf diesem Weg und freuen uns über Ihre Kontaktaufnahme für ein unverbindliches Erstgespräch.

  • Thorsten Fleischer

    Ihr Ansprechpartner:

    Thorsten Fleischer
    Berater für Cyber-Security (VdS)
    Tel: 030-34 789-400
    Mail: anfrage@ehrig.de

Hier können Sie überprüfen,

ob das Thema NIS-2 für Sie relevant ist.