Powered by All for one group
Digital Business
CIO-Agenda
Technologie
Use Cases
Powered by All for one group
Zwei Frauen sitzen an einem Schreibtisch und schauen auf einen Bildschirm

Einige Neuerungen gegenüber NIS-1!... Was ist NIS-2 und wie setzen Unternehmen die Richtlinie um?

Seit 2023 gilt die neue Richtlinie für Cybersicherheit NIS-2. Was sie bedeutet und wie KRITIS-Unternehmen NIS-2 umsetzen, erfahren Sie hier.

Am 16.01.2023 ist EU-weit die neue Richtlinie für Cybersicherheit "NIS-2" in Kraft getreten. NIS-2 löst die erste NIS-Richtlinie ab und definiert neue Mindestanforderungen für die Cybersicherheit von Unternehmen mit besonderer Wichtigkeit. Dazu gehören zum einen bereits als kritische Infrastrukturen (KRITIS) eingestufte Organisationen, zum anderen aber auch zahlreiche neue Branchen und Unternehmen. Sie alle müssen NIS-2 bis September 2024 umsetzen. Ob Ihre Organisation dazu gehört und was das für die betroffenen Unternehmen bedeutet, klärt Mittelstand Heute in einem kurzen FAQ-Beitrag.

In Kürze: Was ist NIS-2?

NIS-2 steht für Network and Information Security 2 und beschreibt eine neue Direktive für Cybersicherheit der EU. Sie gilt für Unternehmen in wesentlichen und wichtigen Sektoren mit mindestens 50 Mitarbeitenden und einem Jahresumsatz größer zehn Millionen Euro.

Was sind kritische Sektoren?

Zu solchen kritischen Sektoren (KRITIS) gehören in Deutschland traditionell laut BSI:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Medien und Kultur
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen
  • Siedlungsabfallentsorgung
  • Staat und Verwaltung

NIS-2 geht in der Europäischen Union noch einen Schritt weiter und definiert elf betroffene wesentliche (Essential) und sieben wichtige (Important) Sektoren: Diese sind den deutschen KRITIS-Sektoren ähnlich:

Wesentlich/Essential:

  • Energie
  • Transport
  • Bankwesen
  • Finanzmärkte
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • ICT Service Management im B2B
  • Öffentliche Verwaltung
  • Weltraum

Wichtig/Important:

  • Post und Kurier
  • Abfall
  • Chemikalien
  • Lebensmittel
  • Industrie (Herstellung) aus den folgenden Kategorien: Datenverarbeitungsgeräte, Maschinenbau, Herstellung von Kraftwagen, sonstiger Fahrzeugbau)
  • Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, Anbieter von Plattformen für Dienste sozialer Netzwerke)
  • Forschung
Im Video kurz erklärt: NIS-2 umsetzen (Quelle: All for One Group/YouTube)

Von NIS-1 zu NIS-2: Was hat sich verändert?

Für betroffene Unternehmen war NIS-1 recht abstrakt. Dies hing auch damit zusammen, dass NIS-1 in der EU nicht einheitlich umgesetzt wurde. Kritische Infrastrukturen beispielsweise wurden in den einzelnen Ländern unterschiedlich eingestuft. Auch mangelte es an der Fähigkeit, gemeinsam auf Cybersicherheits-Krisen reagieren zu können.

NIS-2 erweitert die Anzahl der Sektoren von NIS-1. Die kritischen Essential Entities erhöhen sich auf elf Sektoren, die Important Entities wachsen auf sieben Sektoren. Die Richtlinie betrifft damit mehr Unternehmen und sieht mehr Pflichten und strengere Sanktionen vor. Für Unternehmen ist nun klarer festgelegt, wie die Verfahren, Inhalte und Fristen zur Meldung von Sicherheitsvorfällen aussehen müssen. Die Regierungen erhalten klarere Vorgaben, wie die Umsetzung in nationales Recht und die Durchsetzung zu erfolgen haben. 

Verbessern soll sich auch die Reaktionsfähigkeit: So fordert NIS-2 nationale Computer-Emergency-Response-Teams, einen mit den Mitgliedstaaten koordinierten Incident-Response-Plan und Verbesserungen bei der Zusammenarbeit privater und öffentlicher Einrichtungen. 

Schon gelesen?
Eine nicht identifizierbare Person in Kapuzenpulli steht mit verschränkten Armen im Dunkeln
Microsoft Digital Defense Report Cybercrime 2022: Studie offenbart neue gefährliche Trends
jetzt artikel lesen

NIS-2: Was wird von Unternehmen gefordert?

In der Richtlinie wird gefordert, „unter Berücksichtigung des Stands der Technik geeignete und verhältnismäßige technische, organisatorische sowie operative Maßnahmen“ zu treffen, „um Cybersicherheitsrisiken zu beherrschen und Auswirkungen von Sicherheitsvorfällen zu vermeiden.“

Wer die Vorgaben nicht einhält, riskiert hohe Bußgelder (Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Konzernumsatzes). Außerdem erhalten die nationalen Sicherheitsbehörden starke Audit- und Eingriffsrechte: Zum Beispiel Vor-Ort Kontrollen und Sicherheit-Scans oder Zugang zu Daten und Dokumenten. Im schlimmsten Fall können sie Unternehmen sogar die Betriebserlaubnis entziehen.

Unternehmen sollten NIS-2 deshalb zur Chefsache machen und schon jetzt folgende Punkte umsetzen:

  • Eine Risikoanalyse- und Sicherheitskonzepte für Informationssysteme implementieren

  • die Wirksamkeit der eigenen Risikomanagement-Maßnahmen bewerten

  • ein Konzept für die Bewältigung von Sicherheitsvorfällen erstellen

  • ein Backup- und Krisenmanagement installieren

  • die Meldepflicht sowie die Fristen für schwere Vorfälle berücksichtigen: So sollte die erste Meldung innerhalb von 24 Stunden bei der zuständigen Stelle eintreffen – das ist in der Regel die nationale Cyber-Security-Behörde. Die Analyse des Vorfalls sollte in den nächsten 72 Stunden an das Netzwerk nationaler Reaktionsteams für IT-Sicherheitsvorfälle versendet werden.

  • die Sicherheit in der Lieferkette gewährleisten

  • Cybersicherheits-Schulungen durchführen
experte-cyber-resilience-elmar-torok-de-190423
experte-cyber-resilience-elmar-torok-de-190423

Elmar Török, Architect Cloud Security, weiß, wie Unternehmen NIS-2 umsetzen sollten. All for One Group. Bild: All for One Group

Experten-Wissen

Starten mit NIS-2 – 5 Tipps zur Umsetzung:

Elmar Török ist Architect Cloud Security beim Business-IT-Spezialisten All for One Group und hat 5 Tipps parat: 

  1. Zum Start benötigen Sie eine zentrale Steuerung des Projekts. Das kann ein bestehendes ISMS (Information Security Management System) sein. Wenn es noch keines gibt – jetzt ist ein guter Anlass, damit anzufangen.
  2. Verschaffen Sie sich zunächst einen Überblick über alle bereits existierenden Initiativen zur IT-Sicherheit in Ihrem Unternehmen. Dann bringen Sie die relevanten Personen an einen Tisch und betrachten die konkreten Anforderungen von NIS-2.
  3. Wahrscheinlich haben Sie bereits einige der geforderten Maßnahmen umgesetzt. Stellen Sie sicher, dass es eine ausreichende und aktuelle Dokumentation dazu gibt.
  4. Ein großer Bereich des NIS-2 ist die Krisenkommunikation an Dritte. Überlegen Sie sich, wie Sie relevante Informationen sammeln, wer sie weitergeben darf und welche Stellen von Ihnen informiert werden müssen.
  5. Eine NIS-2-Einführung benötigt Zeit, Ressourcen und weit mehr Expertise, als ich in einer Minute vermitteln kann. Sprechen Sie mich direkt an, wenn Sie Fragen haben.

Quelle Aufmacherbild: Gorodenkoff/stock.adobe.com
Auch Interessant