Die wichtigsten Punkte aus der NIS2-Richtlinie

Was ist NIS2?

Die europäische Richtlinie NIS2 macht es zur Pflicht, die Cyber-Resilienz kritischer und wichtiger Unternehmen zu stärken. Ein großer Personenkreis ist jetzt dazu verpflichtet, Angriffe abzuwehren, ohne dass er direkt betroffen ist: Denn auch Firmen, die Teil einer Lieferkette sind, müssen die Richtlinien beachten. Sollten dennoch Regeln missachtet werden, stehen Geldstrafen ins Haus.

Unternehmen stehen vor einer Herausforderung, wenn es darum geht, sich vor Cyberangriffen zu schützen. Die Digitalisierung des Markts und die Möglichkeiten, die sie bietet, erhöhen die Gefahr, dass Cyber-Angriffe erfolgreich sind. Unternehmen müssen daher umfassende Maßnahmen ergreifen, um sich zu schützen. Dazu zählen die ständige Überarbeitung von Cybersecurity-Standardverfahren sowie die Sensibilisierung von Mitarbeitern für die potenziellen Risiken.

Welche Unternehmen müssen NIS2 umsetzen?

Die Europäische Union stellt sicher, dass kritische Organisationen und Unternehmen in ihren Mitgliedsländern besser geschützt sind und Angriffen standhalten können. 2016 erließ sie die NIS1-Richtlinie ("Network and Information Security") mit strengen Sicherheitsvorschriften.

Seit Januar 2023 ist die neue NIS2-Richtlinie EU-weit in Kraft und ersetzt die alte. Diese hat den Kreis betroffener Unternehmen deutlich erweitert und bezieht neben kritischer Infrastruktur auch wichtige Branchen und unter bestimmten Bedingungen auch kleinere Firmen ein, die als Zulieferer tätig sind.

Die EU teilt Unternehmen, die von NIS2-Richtlinien betroffen sind, in zwei Kategorien ein: "Essentiell" und "Wichtig". Unternehmen, die als "Essentiell" bezeichnet werden, wurden in der ersten Fassung der NIS-Vorschriften genannt, in der neuen Version aber umfasst die Kategorie mehr Klassen. Die zweite Gruppe der wichtigen Organisationen wird neu definiert. Direkt betroffen sind Unternehmen, die mindestens 50 Mitarbeiter und einen jährlichen Umsatz von über 10 Millionen Euro haben:

• KRITIS-Betriebe sind eine besonders wesentliche Kategorie von Organisationen. Sie vor negativen Auswirkungen zu schützen ist Pflicht und Verantwortung der Behörden. Ihr Ausfall würde gravierende Folgen für das staatliche Gemeinwesen haben. Deshalb definiert NIS2 elf Bereiche, zu denen die KRITIS-Unternehmen gehören: Energie- und Wasserversorgung, Transport, Finanz- und Bankwesen, Gesundheit und öffentliche Verwaltung. Diese Bereiche haben einen großen Einfluss auf die nationale Sicherheit und müssen entsprechend geschützt werden.
• Organisationen welcher sieben Branchen werden als besonders wichtig angesehen: Post- und Kurierdienste, Abfall, Lebensmittel, Chemikalien, digitale Dienste (beispielsweise Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke), Industrie (etwa Herstellung von Maschinen, Fahrzeugen und Datenverarbeitungsgeräten) und Forschung.

NIS2 ist unter Umständen auch Pflicht für kleine Unternehmen

NIS2 ist zwar normalerweise für Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz von bis zu zehn Millionen Euro nicht relevant. Es gibt jedoch Ausnahmefälle, bei denen die Firmengröße irrelevant ist. Anbieter von DNS-Diensten, TLD-Namensregistern sowie öffentlichen elektronischen Kommunikationsnetzen und -diensten müssen sich an die NIS2-Vorgaben halten.

Mittelständische und kleine Unternehmen können ebenfalls das Ziel von Angriffen sein, wenn sie Dienstleistungen oder Materialien an Unternehmen liefern, die unmittelbar von der neuen EU-Cybersecurity-Verordnung betroffen sind. In manchen Fällen müssen sie häufig die gleichen Maßnahmen in Bezug auf die Sicherheitssysteme ergreifen, um auch sie selbst vor Verstößen gegen die Verordnung zu schützen. Zum Beispiel kann ein Autohersteller seine Lieferanten dazu verpflichten, bestimmte Techniken oder Verfahren bei der Cybersecurity einzusetzen, um selbst nicht gegen Richtlinien der EU in Verzug zu geraten.

Die Umsetzung von NIS2

Organisationen, die unter die Richtlinie von NIS2 fallen, müssen angemessene und proportionale Techniken, Prozeduren und Maßnahmen ergreifen, um die Sicherheitsrisiken für ihre Netz- und Informationssysteme zu verringern und potenzielle Auswirkungen von Sicherheitsvorfällen auf Empfänger ihrer Dienste sowie andere Dienste möglichst auszuschließen. Sie müssen außerdem ihre Netz- und Informationssysteme ständig bewerten, um jederzeit die Sicherheit zu gewährleisten.

Die Richtlinie spezifiziert verschiedene Bereiche und Maßnahmen, die zumindest eingehalten werden müssen, darunter:

• Erarbeitung von Konzepten und Verfahren für Risikoanalyse und Sicherheit bei Informationssystemen
• Etablierung von Maßnahmen zur Bewältigung von Sicherheitsvorfällen
• Erstellung eines Plans für Backup-Management und Wiederherstellung im Notsituation sowie Umsetzung von Krisenmanagement
• Sicherstellung der Sicherheit bei unmittelbaren Anbietern und Dienstleistern
• Erarbeitung von Strategien zur Offenlegung von Schwachstellen in Bezug auf Sicherheit
• Schulung von Mitarbeitern im Bereich Cybersicherheit
• Einführung von Kryptographie- und Verschlüsselungsverfahren

Organisationen sollten soweit wie möglich alle oben genannten Vorbereitungen treffen, wenn sie NIS2 anwenden. Zu den wichtigsten Schritten zählen hierbei:

• Entwicklung von Risikoanalyse- und Sicherheitskonzepten für alle Informationssysteme
• Bewertung des eigenen Risikomanagements
• Implementierung eines Verfahrens zur Handhabung von Sicherheitsvorfällen
• Aufbau von Backup- und Krisenmanagement-Systemen
• Etablierung eines Meldesystems
• Trainings von Mitarbeitern im Bereich Cybersicherheit
• Gewährleistung der Sicherheit der Lieferkette, einschließlich direkter Anbieter und Dienstleister.

turingpoints ISMS-Portfolio

Wir können Ihnen mit verschiedenen Frameworks dabei helfen, die gesetzlichen Anforderungen zu erfüllen und die operative Sicherheit Ihres Unternehmens zu steigern.

Unser Gestaltungsmöglichkeiten:

ISMS nach ISO/IEC27001:2022

ISMS nach dem NIST-Framework

Custom ISMS