NIS2: Wer ist betroffen und wie gelingt die Umsetzung?
Die Anzahl an Cyberattacken im Bereich kritischer Infrastrukturen (KRITIS) hat mittlerweile ein erschreckendes Ausmaß erreicht: Allein im Jahr 2023 wurden weltweit 420 Millionen Cyberangriffe auf KRITIS wie Energie- und Wasserversorgung, medizinische Einrichtungen, oder Finanzinstitute verzeichnet. Doch der Ausfall solcher essenzieller Dienste kann ernsthafte Auswirkungen auf das Funktionieren der Gesellschaft, die Wirtschaft sowie die öffentliche Sicherheit haben. Daher heißt es, kritische Infrastrukturen dringend gegen Hacker, Malware & Co. abzusichern. Genau hier setzt die EU-Richtlinie NIS2 an, die diesbezüglich EU-weit Abhilfe schaffen soll. Wer von NIS2 betroffen ist und was zu tun ist, erfahren Sie im Folgenden.
Keyfacts
Die EU-Richtlinie NIS2 schafft ein einheitliches Schutzniveau zur Absicherung von KRITIS gegen Cyberattacken.
Betroffene Unternehmen müssen geeignete organisatorische und technische Maßnahmen zum Schutz ihrer IT-Systeme implementieren.
NIS2 gilt für Betreiber kritischer Infrastrukturen innerhalb der EU mit mindestens 50 Beschäftigten oder einem Jahresumsatz von 10 Millionen EUR.
Für erhebliche Sicherheitsvorfälle sieht NIS2 ein mehrstufiges Meldeverfahren vor.
Bei Verstößen gegen die NIS2-Auflagen drohen hohe Bußgelder.
In unserem Whitepaper„Datensicherheit“ zeigen wir ihnen, wie Sie sensible und geschäftskritische Daten schützen. Whitepaper herunterladen
Bei NIS2 (Network and Information Security 2) handelt es sich um eine europäische Richtlinie, die in den EU-Ländern ein vereinheitlichtes Schutzniveau gegen Hackerangriffe auf kritische Infrastrukturen (KRITIS) herstellen soll. Ihr Ziel ist es, der EU durch verbesserte Widerstandsfähigkeit einen starken Schutzschild gegen Cybercrimes zu bieten. Zudem soll sie sowohl Unternehmen als auch Bürgern eine störungsfreie und sichere Nutzung vernetzter Geräte und einen ebenso problemlosen Zugang zu den Dienstleistungen von KRITIS gewährleisten.
☝ Schon gewusst?
Der Grund für NIS2: Mit der Vorgänger-EU-Richtlinie NIS1 aus dem Jahr 2016 verpflichtete die EU ihre Mitgliedsstaaten dazu, als „kritisch“ einzustufende Dienste und Betreiber zu identifizieren und cybersicher aufzustellen sowie bei Sicherheitsvorfällen verpflichtend zu nutzende Meldesysteme zu etablieren. Doch die Mitgliedsstaaten hatten verschiedene Auffassungen, was unter „kritischen Diensten“ zu verstehen ist und setzten die Richtlinie daher unterschiedlich um. NIS2 soll diesen Flickenteppich beseitigen und durch Vereinheitlichung Klarheit schaffen.
Die EU-Richtlinie NIS2 ist bereits seit dem 16. Januar 2023 in Kraft. Die Mitgliedsstaaten sind nun verpflichtet, sich um die Umsetzung von NIS2 in nationales Recht zu bemühen. In Deutschland erfolgt dies im „NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz““ (NIS2-Umsetzungsgesetz, NIS2UmsuCG). Mit der Überführung der europäischen Richtlinie NIS2 in deutsches Recht etabliert das NIS2-Umsetzungsgesetz landesweite Cybersicherheitsstandards, die für mindestens 30.000 Unternehmen hierzulande gelten werden. Der aktuell vorliegende Gesetzesentwurf wurde bereits vom Bundeskabinett beschlossen und muss bis 17. Oktober in nationales Recht überführt werden. Ab dem 18. Oktober 2024 finden die im NIS2-Umsetzungsgesetz festgelegten Maßnahmen Anwendung. Wer also von NIS2 betroffen ist, sollte spätestens ab diesem Datum die neuen Vorgaben einhalten. KRITIS müssen sich daher schnellstmöglich mit der Umsetzung von NIS2 in ihrem Betrieb befassen und mit der Anpassung ihrer Prozesse und Sicherheitsmaßnahmen beginnen. Der Digitalverband Bitkom sieht die Umsetzungsfrist allerdings kritisch und rechnet mit Verzögerungen.
Die NIS2-Richtlinie betrifft sämtliche Betreiber kritischer Infrastrukturen (s. unten) innerhalb der EU mit:
mindestens 50 Beschäftigten oder
einem Jahresumsatz von 10 Millionen EUR.
Dabei ist es unerheblich, ob sie ihren Sitz auch innerhalb der EU haben oder lediglich dort ihre Leistungen erbringen.
Diese Sektoren definiert NIS2 als KRITIS:
Sektoren hoher Kritikalität
Sonstige kritische Sektoren
Energiesektor Verkehrswesen (Straße, Schiene, Luft, Wasserwege) Finanzwesen Finanzmarktinfrastrukturen Gesundheitssektor Wasserversorgung Abwassermanagement Digitale Infrastrukturen (zum Beispiel Rechenzentren oder Clouddienst-Anbieter) B2B-Dienstleister im Bereich Informations- und Kommunikationstechnologie (IKT) Staatliche Verwaltung Raumfahrt
Versandunternehmen (Post- und Kurierdienstleistungen) Entsorgungswesen Chemieindustrie (Produktion und Handel) Lebensmittelindustrie (Produktion und Vertrieb) Produzierendes Gewerbe Anbieter digitaler Services Einrichtungen im Forschungs- und Entwicklungsbereich
❗ Wichtig:
Wer von NIS2 betroffen ist, muss auch sicherstellen, dass seine Lieferkette keine Angriffspunkte liefert und entsprechende Risikomaßnahmen treffen. Die Richtlinie betrifft daher weitaus mehr Betriebe als die gängigen KRITIS-Einrichtungen – beispielsweise auch Windturbinenhersteller oder Dienstleister in der IT-Branche –, wenngleich oft erst einmal nur indirekt.
Wer von NIS2 betroffen ist, muss in zweierlei Hinsicht Vorkehrungen treffen: Zum einen sind die Unternehmen dazu angehalten, Betriebskontinuität zu gewährleisten, zum anderen müssen sie effizient auf Bedrohungen aus dem Cyberraum reagieren.
Für eine erfolgreiche Umsetzung der von NIS2 geforderten Maßnahmen sind vor allem diese 8 Schritte erforderlich:
Erstellung eines Konzepts zur Evaluierung von potenziellen Risiken für die Sicherheit der IT-Systeme
Überwachung und regelmäßige Bewertung der Sicherheit der informationstechnologischen Systeme
Implementierung eines Krisenreaktionsplans für die Erkennung, Unterbrechung und Handhabung cybersicherheitsrelevanter Vorfälle
Implementierung von Wiederherstellungsmaßnahmen
Einsatz fortschrittlicher Technologien für den sicheren Datenaustausch wie Kryptographie, Verschlüsselungsverfahren, mehrstufige Authentifizierung und Zugriffsmanagement
Kontinuierliches Aufrechterhalten der IT-Sicherheit durch Maßnahmen wie regelmäßiges Aktualisieren von Software sowie die Sicherung von Daten
Einführung eines Prozesses für die Meldung von die Cybersicherheit bedrohenden Ereignissen an das Bundesamt für Sicherheit in der Informationstechnik (BSI)
Fortbildung und Sensibilisierung des Personals in Bezug auf Cybersicherheitsrisiken
❗ Wichtig:
Unternehmen sind verpflichtet, eigenständig zu prüfen, ob die NIS2-Richtlinie auch auf sie anwendbar ist und ihre Systeme einen entsprechenden Schutzbedarf haben. Vonseiten der Behörden erfolgen keine automatischen Benachrichtigungen, wer von NIS2 betroffen ist und wer nicht!
idgard ist eine DSGVO-konforme Plattform aus Deutschland, die sicheren Datentransfer und virtuelle Datenräume mit effizienten Kollaborations-Tools vereint.
Sie möchten mehr erfahren? Dann laden Sie jetzt die kostenlose Broschüre „idgard – Die hochsichere Cloud-Lösung für Ihr Unternehmen“ herunter!
Laut NIS2-Umsetzungsgesetz sind betroffene Einrichtungen dazu verpflichtet, ihre Systeme sowohl auf organisatorischer als auch auf technologischer Seite gegen Störungen durch Cyberangriffe abzusichern. Die angewandten Maßnahmen müssen dabei geeignet, verhältnismäßig und wirksam sein und dem neuesten Stand der Technik entsprechen, um so die Vertraulichkeit, Integrität und Verfügbarkeit der übertragenen Informationen zu gewährleisten. Wer von NIS2 betroffen ist, sollte die zu treffenden Vorkehrungen am IT-Grundschutz des BSI ausrichten.
Insbesondere folgende Technologien können hier zum Einsatz kommen:
starke Authentifizierungsverfahren wie Multi-Faktor-Authentifizierung, digitale Zertifikate oder biometrische Verfahren
Konzepte für einen sicheren Datenaustausch wie Ende-zu-Ende- oder Transportverschlüsselung oder die Kombination der Sealed-Cloud-Technologie mit der kryptografischen Schlüsselverwaltung über Schlüsselbunde
Verwendung sicherer Kommunikationsprotokolle wie HTTPS (Hypertext Transfer Protocol Secure), TLS (Transport Layer Security) und VPNs (Virtual Private Networks) bei der Datenübertragung
strenge Zugriffskontrollen zu den unternehmenseigenen Systemen
Netzwerküberwachung zur Erkennung von ungewöhnlichen Aktivitäten (Anomalien), die auf mögliche Sicherheitsprobleme hinweisen
regelmäßige Sicherheitsaudits
Schulung der Mitarbeiter
Ziel dieser Maßnahmen sollte es sein, die Daten während der Übertragung, Speicherung und Bearbeitung (Data at Rest, Data in Transit und Data in Use) vor unbefugtem Zugriff, Manipulation oder Verlust zu schützen.
Expertentipp
Wer von NIS2 betroffen ist, sollte auch über eine Datenklassifizierung nachdenken.
☝ Schon gewusst?
Zu den erforderlichen Sicherheitsmaßnahmen gehört nicht nur die Absicherung der existierendenUnternehmenssysteme gegen unbefugte Zugriffe, Malware & Co. Im Rahmen der Umsetzung von NIS2 gilt es auch bei der Anschaffung, der Entwicklung sowie Instandhaltung, dafür zu sorgen, dass die IT-Systeme, -Komponenten und -Prozesse sicher sind.
In diesem Whitepaper erfahren Sie:
welche Angriffsszenarien es in der Cloud gibt und wie idgard diese abwehrt, was die Sealed-Cloud-Technologie so sicher macht, welche technischen und organisatorischen Maßnahmen hinter idgard stecken und was es mit der unabhängigen TCDP-Zertifizierung auf sich hat.
Kommt es trotz aller Vorkehrungen zu einem schwerwiegenden Sicherheitsvorfall, sind von NIS2 betroffene Unternehmen dazu verpflichtet, das BSI – und gegebenenfalls die Nutzer der Dienstleistung – darüber zu informieren. Hierfür sieht die Richtlinie ein mehrstufiges Meldeverfahren vor, das wie folgt aussieht:
Frühzeitige Warnung Innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls muss das Unternehmen angeben, wie wahrscheinlich es seiner Einschätzung nach ist, dass das Ereignis auf einer illegalen oder böswilligen Aktion beruht und dass es grenzüberschreitende Auswirkungen haben könnte.
Ausführliche Berichterstattung Innerhalb von 72 Stunden nach Bekanntwerden des Ereignisses ist dem BSI ein detaillierter Bericht vorzulegen, der eine erste Einschätzung des Sicherheitsvorfalls beinhaltet. Dies umfasst den Schweregrad, die Folgen und – falls zutreffend – die Anzeichen für eine Kompromittierung.
Fortschritts- beziehungsweise Abschlussbericht Einen Monat nach der ursprünglichen Meldung ist ein Fortschritts- oder Abschlussbericht zu erstatten. Dieser muss eine umfassende Darstellung des Vorfalls enthalten und auf die Natur der Bedrohung, deren Ursachen, ergriffene Gegenmaßnahmen und etwaige grenzüberschreitende Effekte eingehen.
❗ Wichtig:
Wer von NIS2 betroffen ist, muss sich beim BSI registrieren. Neben dem Namen, der Anschrift und Kontaktdaten der Einrichtung sind gegebenenfalls weitere Informationen anzugeben. Hierzu gehören beispielsweise der relevante (Teil-)Sektor sowie die EU-Länder, in denen die angebotenen Dienste geleistet werden.
Das NIS2-Umsetzungsgesetz sieht ein gestaffeltes Bußgeldsystem vor, das Strafzahlungen von bis zu 20 Millionen Euro ermöglicht. Unterschieden wird dabei zwischen fahrlässigem und vorsätzlichem Verschulden. Für Einrichtungen in Sektoren hoher Kritikalität liegt der Rahmen bei bis zu 10 Millionen Euro beziehungsweise 2 Prozent des weltweiten Jahresumsatzes. Einrichtungen anderer kritischer Sektoren müssen mit Bußgeldern von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes des Vorjahrs rechnen. Zudem haften Geschäftsleitung und Vorstand sogar mit ihrem Privatvermögen für durch Verletzung ihrer Überwachungspflichten entstandene Schäden. Eine vertragliche Vereinbarung für einen solchen Haftungsausschluss ist nicht möglich. Dies soll die Bedeutung der Cybersicherheit von KRITIS unterstreichen.
Auch der Digital Operations Resilience Act – kurz DORA – ist eine EU-Verordnung, die sich mit den Belangen der Cybersicherheit befasst. Der Fokus liegt hierbei jedoch ausschließlich auf dem Finanzsektor. Ziel von DORA ist es, für die Finanzmärkte der EU einen einheitlichen Rahmen für den Umgang mit Cyberattacken und Gefährdungen von IKT-Systemen zu schaffen. Umgesetzt werden soll dies durch die Harmonisierung existierender Verordnungen und -Richtlinien. Die Überführung in nationales Recht erfolgt in Deutschland durch das Finanzmarktdigitalisierungsgesetz (FinmadiG). Mehr zu den Unterschieden zwischen NIS2 und DORA sowie verbreiteten Missverständnissen im idgard-Blog.
Neben dem NIS2 sollten Unternehmen auch diese regulatorischen Verordnungen und Richtlinien im Blick behalten:
CER Directive (Critical Entities Resilience) NIS2 und CER ähneln sich von ihrer Idee her, haben aber nicht dieselbe Ausrichtung. So konzentriert sich die NIS2-Richtlinie rein auf die Cybersicherheit und die physische Widerstandsfähigkeit von KRITIS. Die CER-Richtlinie wiederum verpflichtet Mitgliedsländer der EU dazu, KRITIS gegen alle möglichen Gefährdungen abzusichern („All-Gefahren-Ansatz“) – nicht nur gegen Cyberattacken. Hierzu gehören etwa Naturkatastrophen, aber auch menschliches Versagen, Sabotageversuche und Terrorakte.
KRITIS-Dachgesetz Das KRITIS-Dachgesetz ist Deutschlands nationale Antwort auf die europäische CER-Richtlinie. Ziel dessen ist es, die Widerstandsfähigkeit essenzieller Infrastrukturen gegen Bedrohungen aller Art zu stärken. Hierzu definiert es erstmals auf Bundesebene, welche Einrichtungen als kritisch für die öffentliche Versorgung und damit als KRITIS zu klassifizieren sind. Um angemessen auf potenzielle Gefahren reagieren zu können, sind KRITIS mit einer Verantwortung für mehr als 500.000 Menschen dazu verpflichtet, Risikoanalysen durchzuführen und Resilienzpläne zu entwickeln.
Cyber Resilience Act (CRA) Zweck des Cyber Resilience Act (CRA) ist ein EU-weiter konsistenter rechtlicher Rahmen, der sowohl Käufer als auch Nutzer von Produkten mit digitalen Komponenten gegen Hackerangriffe und Schadsoftware absichert. Zu solchen Produkten zählen etwa Fitness-Tracker, Babyüberwachungsgeräte oder IoT-Devices. Der CRA richtet sich in erster Linie an Hersteller, Importeure und Händler von Hard- und Softwareprodukten mit digitalen Elementen, die damit nun dazu verpflichtet sind, ihre Produkte von Beginn an mit einem höheren Maß an Sicherheit zu entwickeln und diesen Schutz durchgehend zu gewährleisten.
EU Data Governance Act (DGA) Der EU Data Governance Act ist eine branchenübergreifende Verordnung, die darauf abzielt, die Datenübertragung und -nutzung quer durch die EU zu vereinfachen und so die Nutzung von Daten zum allgemeinen Wohl zu fördern. So soll ein vertrauenswürdiger rechtlicher Rahmen entstehen, der den freiwilligen Datenaustausch unterstützt. Mit dem daraus resultierenden Zugriff auf mehr Daten soll es möglich sein, effektivere Lösungen für gesellschaftliche Herausforderungen wie den Klimawandel, die Gesundheitsversorgung und die Mobilität zu finden. Der DGA betrifft insbesondere öffentliche Einrichtungen, Datenvermittler, gemeinnützige Organisationen und Firmen, die an der Nutzung öffentlicher Datensätze interessiert sind.
EU Data Act Der EU Data Act soll Herstellern von vernetzten Produkten die exklusive Kontrolle über die damit generierten Daten entziehen. Die Idee dahinter ist es, eine gerechtere Verteilung des Nutzens aus diesen Informationen zu fördern. Deshalb sollen nun auch andere Unternehmen und Privatpersonen Zugang zu den Daten über das Internet vernetzter Produkte wie Fitness-Tracker, smarter Haushaltsgeräte oder Industrieanlagen erhalten und diese weitergeben können.
US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) Der US CLOUD Actermöglicht es amerikanischen Behörden, weltweit den Zugriff auf Daten zu fordern, die von US-Unternehmen und deren Tochtergesellschaften gespeichert werden. Wer die Dienstleistungen dieser Unternehmen in Anspruch nimmt, muss also damit rechnen, dass US-Behörden Zugriff auf seine Daten erhalten.
Versäumnisse beim Datenschutz können schnell teuer werden. In diesem Whitepaper erfahren Sie,
– welche essenziellen Datenschutz-Maßnahmen für Unternehmen es gibt,
– welche davon für Ihr Unternehmen relevant sind und
– wie Sie bei der Umsetzung am besten vorgehen.
Was bedeutet „Cyberhygiene“ im Zusammenhang mit NIS2?
Unter „Cyberhygiene“ oder „IT-Hygiene“ versteht man Vorkehrungen, die ein Unternehmen trifft, um für die Sicherheit seiner Informationssysteme und Netzwerke zu sorgen. Insbesondere folgende Aspekte gehören zu einer guten Cyberhygiene:
– regelmäßige Software-Updates
– die Nutzung von Antiviren- und Antimalwareprogrammen
– die Nutzung starker Passwörter sowie effektiver Authentifizierungsverfahren
– die Sensibilisierung der Mitarbeiter für Bedrohungen aus dem Cyberraum
– die Schulung der Belegschaft im achtsamen Umgang mit E-Mails – vor allem mit potenziellen Phishing-Mails.
Was hat NIS2 mit dem Thema Lieferketten zu tun?
NIS2 betrifft weit mehr als nur die üblichen KRITIS wie Strom- und Wasserversorger oder das Gesundheitswesen. So gilt es nicht nur für Unternehmen, die direkter Anbieter der kritischen Dienste sind, sondern auch deren Zulieferer oder andere Dienstleister in der gesamten Lieferkette. Daher dürften nun beispielsweise Hersteller von Windturbinen oder Betreiber von Ladestationen für Elektrofahrzeuge ebenfalls von NIS2 betroffen sein.
Was hat NIS2 mit dem Thema Compliance zu tun?
NIS2 hat direkte Auswirkungen auf das Compliance-Management von Unternehmen. Wer von NIS2 betroffen ist, hat es insbesondere mit diesen Änderungen zu tun:
o Erweiterte Anwendungsbereiche: NIS2 erweitert den Anwendungsbereich auf mehr Sektoren und Unternehmenstypen. Somit müssen nun mehr Unternehmen ihre Cybersicherheitsmaßnahmen verstärken und Compliance-Anforderungen erfüllen.
o Hohe Sicherheitsanforderungen: Wer von NIS2 betroffen ist, muss geeignete, verhältnismäßige und wirksame Cybersicherheitsmaßnahmen implementieren.
o Meldepflichten: NIS2 erfordert die Umsetzung eines mehrstufigen Plans zur Meldung von Sicherheitsvorfällen innerhalb bestimmter Fristen.
o Hohe Bußgelder: Die Richtlinie sieht eine stärkere Aufsicht durch nationale Behörden und hohe Bußgelder für Non-Compliance vor. Unternehmen sollten sich daher unbedingt mit der Umsetzung von NIS2 befassen, um damit konform zu sein.
Erfahren Sie, wie es Ihnen mit idgard gelingt, Daten sicher auszutauschen: