ISMSJan Kahmen6 min Lesezeit

Die wichtigsten Punkte aus der NIS2-Richtlinie

NIS2 macht es zur Pflicht, die Cyber-Resilienz kritischer und wichtiger Unternehmen zu stärken.

Was ist NIS2?

Die europäische Richtlinie NIS2 verpflichtet Organisationen dazu, die Cyber-Resilienz kritischer und wichtiger Unternehmen zu stärken. Dabei betrifft die Richtlinie einen deutlich größeren Kreis als zuvor: Auch Unternehmen, die Teil einer Lieferkette sind, müssen die Vorgaben einhalten. Bei Verstößen drohen empfindliche Geldstrafen.

Die zunehmende Digitalisierung erhöht gleichzeitig die Gefahr, dass Cyberangriffe erfolgreich sind. Unternehmen müssen daher umfassende Schutzmaßnahmen ergreifen. Dazu gehören die kontinuierliche Überarbeitung von Cybersecurity-Standardverfahren sowie die Sensibilisierung der Mitarbeiter für potenzielle Risiken.

Welche Unternehmen müssen NIS2 umsetzen?

Die Europäische Union stellt sicher, dass kritische Organisationen und Unternehmen in ihren Mitgliedstaaten besser geschützt sind und Angriffen standhalten können. Bereits 2016 erließ sie die NIS1-Richtlinie ("Network and Information Security") mit strengen Sicherheitsvorschriften.

Seit Januar 2023 ist die neue NIS2-Richtlinie EU-weit in Kraft und löst die Vorgängerversion ab. Sie hat den Kreis betroffener Unternehmen deutlich erweitert und bezieht neben kritischer Infrastruktur auch wichtige Branchen sowie unter bestimmten Bedingungen kleinere Zulieferer ein.

Die EU teilt die von der NIS2-Richtlinie betroffenen Unternehmen in zwei Kategorien ein: "Wesentlich" und "Wichtig". Die Kategorie "Wesentlich" umfasst in der neuen Version deutlich mehr Branchen als zuvor. Die Gruppe der "Wichtigen" Organisationen wurde ebenfalls neu definiert. Direkt betroffen sind Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von über 10 Millionen Euro:

  • Wesentliche Einrichtungen (KRITIS): KRITIS-Betriebe gehören zu den besonders schutzbedürftigen Organisationen. Ihr Ausfall hätte gravierende Folgen für das staatliche Gemeinwesen. NIS2 definiert elf Sektoren, darunter Energie- und Wasserversorgung, Transport, Finanz- und Bankwesen, Gesundheit und öffentliche Verwaltung. Diese Bereiche haben einen großen Einfluss auf die nationale Sicherheit und müssen entsprechend geschützt werden.
  • Wichtige Einrichtungen: Organisationen aus sieben weiteren Branchen gelten als besonders wichtig: Post- und Kurierdienste, Abfallwirtschaft, Lebensmittel, Chemikalien, digitale Dienste (z. B. Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke), Industrie (z. B. Herstellung von Maschinen, Fahrzeugen und Datenverarbeitungsgeräten) und Forschung.

NIS2 ist unter Umständen auch Pflicht für kleine Unternehmen

NIS2 ist grundsätzlich für Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz von bis zu zehn Millionen Euro nicht relevant. Es gibt jedoch Ausnahmen, bei denen die Unternehmensgröße keine Rolle spielt. Anbieter von DNS-Diensten, TLD-Namensregistern sowie öffentlichen elektronischen Kommunikationsnetzen und -diensten müssen die NIS2-Vorgaben unabhängig von ihrer Größe einhalten.

Auch mittelständische und kleine Unternehmen können betroffen sein, wenn sie Dienstleistungen oder Materialien an Organisationen liefern, die direkt unter die NIS2-Richtlinie fallen. In solchen Fällen müssen sie häufig dieselben Sicherheitsmaßnahmen umsetzen, um Verstöße in der Lieferkette zu vermeiden. Ein Automobilhersteller kann beispielsweise seine Zulieferer dazu verpflichten, bestimmte Cybersecurity-Standards einzuhalten, um selbst nicht gegen die EU-Richtlinie zu verstoßen.

Die Umsetzung von NIS2

Organisationen, die unter NIS2 fallen, müssen angemessene und verhältnismäßige technische sowie organisatorische Maßnahmen ergreifen, um die Sicherheitsrisiken für ihre Netz- und Informationssysteme zu verringern. Ziel ist es, potenzielle Auswirkungen von Sicherheitsvorfällen auf die eigenen Dienste und deren Empfänger möglichst auszuschließen. Darüber hinaus sind sie verpflichtet, ihre Systeme kontinuierlich zu bewerten, um die Sicherheit jederzeit zu gewährleisten.

Die Richtlinie benennt verschiedene Bereiche und Mindestmaßnahmen, darunter:

  • Erarbeitung von Konzepten und Verfahren für Risikoanalyse und Informationssicherheit
  • Etablierung von Maßnahmen zur Bewältigung von Sicherheitsvorfällen
  • Erstellung von Plänen für Backup-Management und Wiederherstellung sowie Umsetzung von Krisenmanagement
  • Sicherstellung der Sicherheit bei unmittelbaren Anbietern und Dienstleistern
  • Erarbeitung von Strategien zur Offenlegung von Schwachstellen
  • Schulung von Mitarbeitern im Bereich Cybersicherheit
  • Einführung von Kryptographie- und Verschlüsselungsverfahren

Organisationen sollten bei der Umsetzung von NIS2 insbesondere folgende Schritte berücksichtigen:

  • Entwicklung von Risikoanalyse- und Sicherheitskonzepten für alle Informationssysteme
  • Bewertung des eigenen Risikomanagements
  • Implementierung eines Verfahrens zur Handhabung von Sicherheitsvorfällen
  • Aufbau von Backup- und Krisenmanagement-Systemen
  • Etablierung eines Meldesystems
  • Schulung der Mitarbeiter im Bereich Cybersicherheit
  • Gewährleistung der Sicherheit in der Lieferkette, einschließlich direkter Anbieter und Dienstleister

turingpoints ISMS-Portfolio

Wir unterstützen Sie mit verschiedenen Frameworks dabei, die gesetzlichen Anforderungen zu erfüllen und die operative Sicherheit Ihres Unternehmens zu steigern.

Unsere Angebote: