IT, NIS2, 3. Juni 2024
Alles was zu beachten ist.

Die wichtigsten Fakten zur neuen EU-Sicherheitsrichtlinie NIS 2

Vorrausichtliche Lesezeit: 10 Minuten

Eine Bestandsaufnahme und Zukunftsaussicht zur Cybersicherheit in der EU: NIS 1 und darüber hinaus

Die Einführung der Netzwerk- und Informationssicherheitsrichtlinie (NIS 1) im Jahr 2016 markierte einen bedeutenden Meilenstein in den Bestrebungen der Europäischen Union, die Cybersicherheit zu stärken. Die Richtlinie zielte darauf ab, eine einheitliche Vorgehensweise bei der Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen zu etablieren. Dies sollte durch die Identifizierung und Regulierung von Betreibern kritischer Dienste in den EU-Mitgliedsstaaten erreicht werden. In Frankreich als „Operateurs de Services Essentiels“ (OSE) und in Deutschland als KRITIS-Betreiber bezeichnet, mussten diese Unternehmen fortan strenge Sicherheitsanforderungen erfüllen.

Die Umsetzung der NIS 1-Richtlinie gestaltete sich jedoch als komplex und herausfordernd. Die europäische Gesetzgebung gibt oft einen Rahmen vor, der den Mitgliedsstaaten erheblichen Spielraum bei der Auslegung und Umsetzung lässt. Dies führte zu einer uneinheitlichen Anwendung und erheblichen Diskrepanzen zwischen den Ländern. Während einige Staaten nur eine Handvoll kritischer Dienste identifizierten, listeten andere bis zu 87 auf. Bei den Betreibern variierten die Zahlen noch stärker, von 20 bis über 10.000.

Diese Unterschiede führten zu einer Fragmentierung der Cybersicherheitslandschaft in Europa. Die mangelnde Einheitlichkeit und die unzureichende Überwachung der Richtlinieneinhaltung waren erhebliche Hindernisse für das ursprüngliche Ziel der NIS 1, ein sicheres und robustes digitales Umfeld in der gesamten EU zu schaffen. Ohne einheitliche Standards und strengere Kontrollmechanismen bleiben Sicherheitslücken und Ineffizienzen im Umgang mit Cyberbedrohungen bestehen. Diese Probleme sind weiterhin drängend und müssen von der EU in zukünftigen Initiativen adressiert werden, um die Cybersicherheit nachhaltig zu verbessern.

NIS 2: Klare Vorgaben für die Cybersicherheit

Seit Anfang 2023 markiert die NIS 2-Richtlinie einen neuen Meilenstein in der europäischen Cybersicherheitspolitik. Die EU-Mitgliedsstaaten stehen nun vor der Aufgabe, diese bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Deutschland zeigt sich hierbei bereits proaktiv mit einem Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG), der die Weichen für eine umfassende Implementierung stellt.

Die überarbeitete NIS-Richtlinie zielt darauf ab, Unklarheiten der Vergangenheit zu beseitigen, indem sie präzise definiert, welche Akteure als kritische Dienste gelten und welche Sicherheitsanforderungen diese zu erfüllen haben. Unter NIS 2 müssen Unternehmen strengere Regularien einhalten: Sie sind verpflichtet, ihre Verteidigungsmaßnahmen gegen Cyberangriffe zu verstärken, höhere Sicherheitsstandards anzuwenden und ihre IT-Systeme kontinuierlich zu aktualisieren.

Die Ausweitung der Richtlinie wird die Landschaft der betroffenen Unternehmen deutlich verändern. Während zuvor rund 1.800 Behörden und Unternehmen den Vorgaben der NIS-Richtlinie unterlagen, könnte diese Zahl je nach Auslegung der nationalen Gesetze auf bis zu 30.000, vielleicht sogar 50.000 ansteigen. Diese signifikante Erhöhung zeigt, wie ernst die Bedrohung durch Cyberangriffe genommen wird und wie umfassend die EU darauf reagiert.

In diesem Artikel möchten wir Ihnen einen klaren und präzisen Überblick über die NIS 2-Richtlinie geben. Wir beleuchten die Ziele, die erweiterten Anforderungen sowie die Fristen, die es zu beachten gilt. Ein Verständnis dieser Aspekte ist entscheidend, um die Tragweite und die Auswirkungen der Richtlinie für Unternehmen und Behörden in ganz Europa einschätzen zu können.

Ziele und Maßnahmen der NIS 2-Richtlinie

Die NIS 2-Richtlinie hat ambitionierte Ziele: Sie soll die Cybersicherheit und Widerstandsfähigkeit kritischer Sektoren in der gesamten Europäischen Union nachhaltig stärken. Wesentliche Bestandteile der Richtlinie sind die Förderung einer effektiveren nationalen Aufsicht, die Verschärfung der Sicherheitsanforderungen und die Vertiefung der Zusammenarbeit zwischen den Mitgliedstaaten im Bereich der Cybersicherheit.

Diese Maßnahmen zielen darauf ab, ein einheitlicheres und robusteres Sicherheitsnetz über die Grenzen der Mitgliedsländer hinweg zu schaffen. Dies stärkt nicht nur die Resilienz einzelner Staaten, sondern etabliert auch einen sicheren Rahmen für den digitalen Binnenmarkt der EU.

Erhöhte Sicherheitsanforderungen für kritische Infrastrukturen

Ein zentrales Element der NIS 2-Richtlinie ist die Einführung strengerer Cybersicherheitsmaßnahmen für Organisationen, die kritische Infrastrukturen betreiben. Diese Organisationen müssen fortgeschrittene Risikomanagementpraktiken implementieren und systematisch auf die Meldung von Sicherheitsvorfällen vorbereitet sein. Die Richtlinie sieht auch regelmäßige Sicherheitsaudits und Tests vor, um die Resilienz gegen Cyberangriffe zu erhöhen. Für über 30.000 betroffene Unternehmen in Deutschland bedeutet dies eine erhebliche Zunahme der Sicherheitsverpflichtungen.

Ausweitung des Einflussbereichs der NIS 2-Richtlinie auf zusätzliche Sektoren

Die NIS 2-Richtlinie erweitert ihren Geltungsbereich erheblich und umfasst nun eine größere Zahl an Sektoren, die als kritische Infrastrukturen eingestuft werden. Diese Expansion zielt darauf ab, ein breiteres Spektrum essenzieller Dienste gegen Cyberbedrohungen abzusichern.

Erweiterung der NIS 2-Richtlinie auf zusätzliche Sektoren

Die NIS 2-Richtlinie dehnt ihren Geltungsbereich erheblich aus und umfasst nun eine breitere Palette an Sektoren, die als kritische Infrastrukturen gelten. Diese Erweiterung soll ein größeres Spektrum essenzieller Dienste vor Cyberbedrohungen schützen.

Kategorisierung von Einrichtungen

Die neue Fassung der Richtlinie unterscheidet zwischen „wesentlichen Einrichtungen“ (Essential Entities) und „wichtigen Einrichtungen“ (Important Entities).

Wesentliche Einrichtungen umfassen:

  • Energie: Lieferung und Verteilung von Strom, Gas, Öl und Wasserstoff, Bereitstellung von Heizung sowie Betrieb von Ladestationen für Elektrofahrzeuge.
  • Verkehr: Alle Transportmodi wie Straßen-, Schienen-, Luft- und Schiffsverkehr, inklusive Reedereien, Hafenanlagen und Flughäfen.
  • Wasser: Versorgung mit Trinkwasser und Abwasserentsorgung.
  • Digitale Infrastruktur und IT-Dienste: Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknotenpunkte, Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste.
  • Bank- und Finanzwesen: Dienstleistungen im Kreditwesen, Handel, Marktinstrumente, Infrastruktur und Versicherungen.
  • Gesundheitswesen: Gesundheitsdienstleister, pharmazeutische Unternehmen, Hersteller medizinischer Geräte und Forschungseinrichtungen.
  • Öffentliche Verwaltung: Behörden und Einrichtungen, die öffentliche Dienstleistungen erbringen.
  • Raumfahrt: Organisationen und Unternehmen in der Raumfahrtindustrie.

Wichtige Einrichtungen beinhalten:

  • Abfallwirtschaft: Sammlung, Verarbeitung und Entsorgung von Abfällen.
  • Post- und Kurierdienste: Versand und Zustellung von Post und Paketen.
  • Chemische Industrie: Produktion und Vertrieb chemischer Produkte.
  • Lebensmittelindustrie: Produktion und Vertrieb von Lebensmitteln.
  • Herstellung: Produktion von Computern, Elektronik, optischen Produkten, Maschinen, Kraftfahrzeugen und Transportmitteln.
  • Digitale Diensteanbieter: Unternehmen, die Suchmaschinen, soziale Netzwerke und Online-Marktplätze betreiben.
  • Forschungseinrichtungen: Institutionen, die wissenschaftliche Forschung betreiben.

In Deutschland erfolgt die nationale Umsetzung in drei Klassen:

  1. Betreiber kritischer Anlagen
  2. Besonders wichtige Einrichtungen
  3. Wichtige Einrichtungen

Für eine detaillierte Übersicht der Einrichtungen unter NIS2 empfehlen wir unseren Blogartikel „Ein Überblick über die NIS-2-Kategorien: Kritische Einrichtungen, besonders wichtige Einrichtungen und wichtige Einrichtungen“.

Unternehmensgröße und Umsatz als Schwellenwert

Die NIS 2-Richtlinie definiert klare Kriterien dafür, welche Unternehmen ihren Vorgaben unterliegen, basierend auf Unternehmensgröße und Umsatz. Dabei wird zwischen mittleren und großen Unternehmen unterschieden:

Mittlere Unternehmen:

  • 50 bis 250 Mitarbeiter
  • Jahresumsatz zwischen 10 und 50 Millionen Euro
  • Bilanzsumme kleiner als 43 Millionen Euro

Große Unternehmen:

  • Mehr als 250 Mitarbeiter
  • Jahresumsatz über 50 Millionen Euro
  • Bilanzsumme größer als 43 Millionen Euro

Diese Unterscheidung stellt sicher, dass die Cybersicherheitsanforderungen gezielt auf Unternehmen mit entsprechender Größe und wirtschaftlicher Bedeutung angewendet werden, um die Resilienz und Sicherheit kritischer Infrastrukturen in der EU zu stärken.

Neue Cybersecurity-Regulierung ab 2024 im Überblick

Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS) und Einrichtungen nach Unternehmensgröße sowie Bundeseinrichtungen und einige Sonderfälle.

Sektoren: Die KRITIS-Sektoren der kritischen Anlagen bleiben bestehen, die Einrichtungen umfassen wie in der EU in NIS2 neben Infrastruktur nun große Teile der Wirtschaft.

Cybersecurity: Umfassende Sicherheits­maßnahmen und großer Geltungsbereich im ganzen Unternehmen: Risikomanagement, Vorfallsmeldungen, technische Maßnahmen, Governance.

Prüfungen: Nachweispflicht für Betreiber kritischer Anlagen alle drei Jahre, für Einrichtung Dokumentationspflicht und Stichproben durch Behörden.

Aufsicht: Mehr staatliche Befugnisse durch Registrierungen, Nachweise, Meldepflichten. Die geteilte Regulierung über verschiedene Behörden wie BSI, BBK, BNetzA etc. nimmt zu.

Sektorgesetze: Ebenso geändert werden das TKG und EnWG, um Anforderungen von NIS2 für dortige Betreiber abzubilden. Für Finanzunternehmen wird DORA einschlägig.

Sanktionen: Erweiterte Sanktionsvorschriften mit neuen Bußgeldtatbeständen und erhöhten Bußgeldern zwischen 100 Tsd. und 20 Mio. EUR, teils gekoppelt an den weltweiten Umsatz.

Unternehmen müssen NIS 2-Betroffenheit selbst ermitteln

Unternehmen, die der NIS 2-Richtlinie unterliegen, müssen umfassendes Risikomanagement und sowohl technische als auch organisatorische Sicherheitsmaßnahmen für ihre Anlagen, Netzwerke und IT-Systeme implementieren. Entscheidend ist, dass sie eigenständig prüfen müssen, ob sie den Vorgaben der Richtlinie entsprechen, da von behördlicher Seite keine direkte Mitteilung erfolgt. Diese Selbstbewertung ist entscheidend, um potentielle regulatorische Sanktionen zu vermeiden und die Sicherheit ihrer Betriebsabläufe zu gewährleisten.

Der NIS 2 Quick-Check: Vereinfachen Sie Ihre Compliance

Viele Unternehmen stehen vor Unsicherheiten, wenn es darum geht zu bestimmen, ob die NIS 2-Richtlinie auf sie zutrifft und welche Maßnahmen sie ergreifen müssen. Unser NIS 2 Quick-Check bietet eine klare und einfache Lösung zur Bewertung Ihrer Situation. Mit diesem Tool können Sie schnell feststellen, ob Sie betroffen sind, und erhalten im Anschluss eine detaillierte Roadmap für die erfolgreiche Umsetzung der NIS 2-Richtlinie. Nutzen Sie jetzt den Quick-Check, um Ihre Compliance sicherzustellen. Hier geht es zum Quick-Check.

Fristen und Umsetzung

Das Gesetz zur Umsetzung der NIS 2-Richtlinie (NIS2UmsuCG) soll nach dem aktuellen Entwurf im Oktober 2024 in Kraft treten. Ab diesem Zeitpunkt gelten die NIS2-Pflichten für Unternehmen ohne Übergangsfristen.

Besonders wichtige Einrichtungen:

  • Registrierung: Innerhalb von drei Monaten nach Identifizierung (§33 (1))
  • NIS2-Pflichten: Gelten ab der Registrierung

Wichtige Einrichtungen:

  • Registrierung: Innerhalb von drei Monaten nach Identifizierung (§33 (1))
  • NIS2-Pflichten: Gelten ab der Registrierung

Betreiber kritischer Anlagen:

  • Registrierung: Innerhalb von drei Monaten nach Identifizierung (§33 (1) und §33 (2))
  • NIS2- und KRITIS-Pflichten: Gelten ab der Registrierung
  • Nachweis über Maßnahmenumsetzung:
    • Erstmaliger Nachweis spätestens drei Jahre nach Inkrafttreten des Gesetzes, d.h., ab 2027 (§39 (1))
    • Fortlaufende Nachweise alle drei Jahre (§39 (1))

Diese Fristen stellen sicher, dass Unternehmen zügig ihre Registrierung und die Implementierung der erforderlichen Sicherheitsmaßnahmen vornehmen, um die Cybersicherheit und Resilienz ihrer Infrastrukturen zu gewährleisten.

Verschärfte Meldepflicht und Sanktionen

Unternehmen müssen bedeutende Störungen, Vorfälle und Cyberangriffe unverzüglich an die zuständige Cybersicherheitsbehörde melden. In Deutschland übernimmt diese Aufgabe das Bundesamt für Sicherheit in der Informationstechnik (BSI). Der Meldeprozess ist dreistufig aufgebaut:

  • Erster Bericht innerhalb von 24 Stunden: Sofort nach Bekanntwerden eines Vorfalls muss ein vorläufiger Bericht eingereicht werden.
  • Detaillierter Bericht innerhalb von 72 Stunden: Innerhalb von drei Tagen folgt ein ausführlicher Bericht mit einer ersten Einschätzung des Vorfalls.
  • Abschlussbericht innerhalb eines Monats: Innerhalb eines Monats muss ein umfassender Abschlussbericht vorgelegt werden, der detaillierte Informationen zum Vorfall, zur Art der Bedrohung und zu möglichen grenzüberschreitenden Auswirkungen enthält.

Neben der Meldepflicht verschärft NIS 2 auch die Sanktionen für die Nichteinhaltung der Vorgaben. Wesentliche Einrichtungen müssen mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes rechnen, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt das maximale Bußgeld bei 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Der Entwurf des Bundesinnenministeriums sieht zudem vor, dass Geschäftsführer und andere Leitungsorgane persönlich für die Einhaltung der Risikomanagementmaßnahmen haften. Das Bußgeld kann hierbei bis zu 2 Prozent des weltweiten Jahresumsatzes betragen.

Fazit: Die Bedeutung der NIS 2-Richtlinie für die Cybersicherheit in der EU

Die NIS 2-Richtlinie markiert einen bedeutenden Fortschritt in der europäischen Cybersicherheitspolitik. Durch die Erweiterung des Geltungsbereichs und die Verschärfung der Sicherheitsanforderungen setzt sie neue Maßstäbe, die dazu beitragen, die Widerstandsfähigkeit der EU gegen Cyberbedrohungen erheblich zu erhöhen.

Die verbesserte Cybersicherheit wird nicht nur die Resilienz kritischer Infrastrukturen stärken, sondern auch das Vertrauen der Bürger und Unternehmen in digitale Dienste festigen. Dies könnte zu einer robusteren digitalen Wirtschaft und einer sichereren Gesellschaft führen.

Ein Blick auf den globalen Trend und ein abschließender Gedanke

Die EU ist nicht allein in ihrem Bestreben, die Cybersicherheit zu verstärken. Weltweit werden ähnliche Gesetzgebungen verabschiedet, da die Notwendigkeit sicherer und widerstandsfähiger Netzwerke und Informationssysteme immer mehr Anerkennung findet. Dies zeigt, dass der Schutz kritischer Infrastrukturen eine globale Priorität ist.

Die NIS 2-Richtlinie stellt einen wichtigen Wendepunkt in der europäischen Cybersicherheitslandschaft dar. Ihre erfolgreiche Umsetzung könnte als Modell für andere Regionen dienen und einen globalen Standard für die Sicherheit kritischer Infrastrukturen setzen. Der Weg dorthin ist jedoch anspruchsvoll und erfordert kontinuierliche Anstrengungen und Kooperationen auf allen Ebenen.

Was denken Sie über die neuen Herausforderungen und Chancen, die die NIS 2-Richtlinie mit sich bringt? Welchen Herausforderungen stehen Sie bei der Umsetzung gegenüber? Teilen Sie Ihre Gedanken und diskutieren Sie mit uns!

Hinterlassen Sie uns Feedback zum
Beitrag. Wir würden uns freuen!

Eigenen Kommentar schreiben

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Unser Newsletter informiert Sie wöchentlich.
Bleiben Sie Up-to-date
und schreiben Sie sich ein!1
Thema wählen
/
Your subscription could not be saved. Please try again.
Your subscription has been successful.

Rayzr.tech verpflichtet sich, Ihre Privatsphäre zu schützen und zu respektieren. Um Ihnen die gewünschten Inhalte bereitzustellen, müssen wir Ihre persönlichen Daten speichern und verarbeiten. Wenn Sie damit einverstanden sind, dass wir Ihre persönlichen Daten für diesen Zweck speichern, aktivieren Sie bitte das folgende Kontrollkästchen. Mit der Bestätigung stimmen Sie auch zu andere Benachrichtigungen von rayzr.tech zu erhalten. Sie können diese Benachrichtigungen jederzeit abbestellen. Weitere Informationen zum Abbestellen, zu unseren Datenschutzverfahren und dazu, wie wir Ihre Privatsphäre schützen und respektieren, finden Sie in unserer Datenschutzrichtlinie.