Was ist NIS-2 und wie setzen Unternehmen die Richtlinie um?

Seit 2023 gilt die neue Richtlinie für Cybersicherheit NIS-2. Was sie bedeutet und wie KRITIS-Unternehmen NIS-2 umsetzen, erfahren Sie hier.

Am 16.01.2023 ist EU-weit die neue Richtlinie für Cybersicherheit "NIS-2" in Kraft getreten. NIS-2 löst die erste NIS-Richtlinie ab und definiert neue Mindestanforderungen für die Cybersicherheit von Unternehmen mit besonderer Wichtigkeit. Dazu gehören zum einen bereits als kritische Infrastrukturen (KRITIS) eingestufte Organisationen, zum anderen aber auch zahlreiche neue Branchen und Unternehmen. Sie alle müssen NIS-2 bis September 2024 umsetzen. Ob Ihre Organisation dazu gehört und was das für die betroffenen Unternehmen bedeutet, klärt Mittelstand Heute in einem kurzen FAQ-Beitrag.

In Kürze: Was ist NIS-2?

NIS-2 steht für Network and Information Security 2 und beschreibt eine neue Direktive für Cybersicherheit der EU. Sie gilt für Unternehmen in wesentlichen und wichtigen Sektoren mit mindestens 50 Mitarbeitenden und einem Jahresumsatz größer zehn Millionen Euro.

Was sind kritische Sektoren?

Zu solchen kritischen Sektoren (KRITIS) gehören in Deutschland traditionell laut BSI:

• Energie
• Informationstechnik und Telekommunikation
• Transport und Verkehr
• Gesundheit
• Medien und Kultur
• Wasser
• Ernährung
• Finanz- und Versicherungswesen
• Siedlungsabfallentsorgung
• Staat und Verwaltung

NIS-2 geht in der Europäischen Union noch einen Schritt weiter und definiert elf betroffene wesentliche (Essential) und sieben wichtige (Important) Sektoren: Diese sind den deutschen KRITIS-Sektoren ähnlich:

Wesentlich/Essential:

• Energie
• Transport
• Bankwesen
• Finanzmärkte
• Gesundheit
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• ICT Service Management im B2B
• Öffentliche Verwaltung
• Weltraum

Wichtig/Important:

• Post und Kurier
• Abfall
• Chemikalien
• Lebensmittel
• Industrie (Herstellung) aus den folgenden Kategorien: Datenverarbeitungsgeräte, Maschinenbau, Herstellung von Kraftwagen, sonstiger Fahrzeugbau)
• Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, Anbieter von Plattformen für Dienste sozialer Netzwerke)
• Forschung

Im Video kurz erklärt: NIS-2 umsetzen

Von NIS-1 zu NIS-2: Was hat sich verändert?

Für betroffene Unternehmen war NIS-1 recht abstrakt. Dies hing auch damit zusammen, dass NIS-1 in der EU nicht einheitlich umgesetzt wurde. Kritische Infrastrukturen beispielsweise wurden in den einzelnen Ländern unterschiedlich eingestuft. Auch mangelte es an der Fähigkeit, gemeinsam auf Cybersicherheits-Krisen reagieren zu können.

NIS-2 erweitert die Anzahl der Sektoren von NIS-1. Die kritischen Essential Entities erhöhen sich auf elf Sektoren, die Important Entities wachsen auf sieben Sektoren. Die Richtlinie betrifft damit mehr Unternehmen und sieht mehr Pflichten und strengere Sanktionen vor. Für Unternehmen ist nun klarer festgelegt, wie die Verfahren, Inhalte und Fristen zur Meldung von Sicherheitsvorfällen aussehen müssen. Die Regierungen erhalten klarere Vorgaben, wie die Umsetzung in nationales Recht und die Durchsetzung zu erfolgen haben. 

Verbessern soll sich auch die Reaktionsfähigkeit: So fordert NIS-2 nationale Computer-Emergency-Response-Teams, einen mit den Mitgliedstaaten koordinierten Incident-Response-Plan und Verbesserungen bei der Zusammenarbeit privater und öffentlicher Einrichtungen. 

NIS-2: Was wird von Unternehmen gefordert?

In der Richtlinie wird gefordert, „unter Berücksichtigung des Stands der Technik geeignete und verhältnismäßige technische, organisatorische sowie operative Maßnahmen“ zu treffen, „um Cybersicherheitsrisiken zu beherrschen und Auswirkungen von Sicherheitsvorfällen zu vermeiden.“

Wer die Vorgaben nicht einhält, riskiert hohe Bußgelder (Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Konzernumsatzes). Außerdem erhalten die nationalen Sicherheitsbehörden starke Audit- und Eingriffsrechte: Zum Beispiel Vor-Ort Kontrollen und Sicherheit-Scans oder Zugang zu Daten und Dokumenten. Im schlimmsten Fall können sie Unternehmen sogar die Betriebserlaubnis entziehen.

Unternehmen sollten NIS-2 deshalb zur Chefsache machen und schon jetzt folgende Punkte umsetzen:

• Eine Risikoanalyse- und Sicherheitskonzepte für Informationssysteme implementieren
• die Wirksamkeit der eigenen Risikomanagement-Maßnahmen bewerten
• ein Konzept für die Bewältigung von Sicherheitsvorfällen erstellen
• ein Backup- und Krisenmanagement installieren
• die Meldepflicht sowie die Fristen für schwere Vorfälle berücksichtigen: So sollte die erste Meldung innerhalb von 24 Stunden bei der zuständigen Stelle eintreffen – das ist in der Regel die nationale Cyber-Security-Behörde. Die Analyse des Vorfalls sollte in den nächsten 72 Stunden an das Netzwerk nationaler Reaktionsteams für IT-Sicherheitsvorfälle versendet werden.
• die Sicherheit in der Lieferkette gewährleisten
• Cybersicherheits-Schulungen durchführen

Elmar Török, Architect Cloud Security, weiß, wie Unternehmen NIS-2 umsetzen sollten. All for One Group. Bild: All for One Group