NIS2 Richtlinie – Anforderungen an die Cybersicherheit umsetzen

Die sogenannte "Network and Information Security Directive 2" (NIS2) ist der Nachfolger für die im Jahr 2016 eingeführten Cybersicherheitsvorschriften, die für alle EU-Länder gilt.
Sie umfasst rechtliche Maßnahmen zur Erhöhung des Gesamtniveaus der Cybersicherheit in der Europäischen Union.

Die NIS2 verpflichtet Unternehmen zu umfangreichen Risikomanagementmaßnahmen, verschärft die Meldepflicht von Vorfällen und zieht das Management stärker in die Verantwortung.

Beratungstermin vereinbaren

Umsetzung der NIS2-Richtlinie in Deutschland

Es existiert ein Referentenentwurf des Bundesministeriums des Innern und für Heimat, um die NIS2-Richtlinie gemäß ihrem Artikel 41 Absatz 1 in nationales Recht umzusetzen.

Die komplette NIS2-Richtlinie können Sie hier nachlesen.

Illustration of compliance and regulatory requirements

Motivation von NIS2

Die erste NIS-Richtlinie 2016/1148 hatte das Ziel, die Cyberresilienz der EU zu stärken, Bedrohungen für Netz- und Informationssysteme zu kontrollieren und die Kontinuität wesentlicher Dienste sicherzustellen.

Seit der Umsetzung der NIS-Richtlinie wurden erhebliche Fortschritte erzielt, jedoch wurden bei der Überprüfung Mängel festgestellt, die wirksame Maßnahmen gegen aktuelle und neue Herausforderungen im Bereich Cybersicherheit verhindern.

Aufgrund des raschen digitalen Wandels und der zunehmenden Vernetzung sind Netz- und Informationssysteme entscheidend für den Alltag und den grenzüberschreitenden Austausch geworden. Die steigende Anzahl, Tragweite, Komplexität, Häufigkeit und Auswirkungen von Vorfällen stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netz- und Informationssystemen dar. Die Cybersicherheit ist wichtiger denn je für das reibungslose Funktionieren des Binnenmarkts, kann wirtschaftliche Tätigkeiten beeinträchtigen, finanzielle Verluste verursachen und das Vertrauen der Nutzer untergraben.

Daher ist es für viele kritische Sektoren entscheidend durch entsprechende Maßnahmen, den digitalen Wandel sicherer zu bewältigen, um die Vorteile der Digitalisierung voll zu nutzen.

Illustration of AI in cybersecurity

Anwendungsbereich von NIS2

Die Richtlinie bezieht sich auf öffentliche oder private Einrichtungen, die als mittlere Unternehmen gelten oder die Schwellenwerte für mittlere Unternehmen überschreiten und ihre Dienste in der EU erbringen.

Sie umfasst auch Einrichtungen, die unabhängig von ihrer Größe als kritisch eingestuft werden, z.B. wenn sie Dienste in den Bereichen elektronische Kommunikation, Vertrauensdienste, Domänennamenregistrierung oder öffentliche Verwaltung anbieten.

Sektoren mit hoher Kritikalität

KRITIS-Betriebe sind eine besonders wesentliche Kategorie von Organisationen. Sie vor negativen Auswirkungen zu schützen ist Pflicht und Verantwortung der Behörden. Ihr Ausfall würde gravierende Folgen für das staatliche Gemeinwesen haben. Deshalb definiert NIS2 elf Bereiche mit hoher Kritikalität, darunter Energie- und Wasserversorgung, Transport, Finanz- und Bankwesen, Gesundheit und öffentliche Verwaltung.

Sonstige kritische Sektoren

Weitere Organisationen nachfolgender sieben Branchen werden als besonders wichtig angesehen: Post- und Kurierdienste, Abfall, Lebensmittel, Chemikalien, digitale Dienste (beispielsweise Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke), Industrie (etwa Herstellung von Maschinen, Fahrzeugen und Datenverarbeitungsgeräten) und Forschung.

Illustration of ISMS framework

Haftung des Managements

NIS2 verschärft nicht nur die Meldepflicht für Vorfälle, sondern erhöht auch die Strafen für die Missachtung der Vorschriften. Bei wesentlichen Einrichtungen können Geldbußen bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden, abhängig davon, welcher Betrag höher ist. Bei wichtigen Einrichtungen ist das Höchstmaß der Geldbuße auf 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes begrenzt.

Gemäß dem Referentenentwurf des Bundesinnenministeriums sollen Geschäftsführer und andere Leitungsorgane von Unternehmen auch mit ihrem Privatvermögen für die Einhaltung der Risikomanagementmaßnahmen haften. Das Bußgeld kann dabei maximal 2 Prozent des weltweiten Jahresumsatzes betragen.

Illustration of security management services

Referenzen

Toyota
dkb
R+V BKK
State Bank of India
Clark
Metzler

Sind Sie betroffen?

Von der überarbeiteten Richtlinie sind alle oben genannten Branchen betroffen.
Weiterhin ist die Organisationsgröße gemessen an der Mitarbeiteranzahl und dem Umsatz maßgebend:

  • Mittlere Unternehmen: 50-250 Mitarbeiter, 10-50 Mio. EUR Umsatz, Bilanzsumme <43 Mio. EUR
  • Große Unternehmen: >250 Mitarbeiter, >50 Millionen EUR Umsatz, Bilanzsumme >43 Mio. EUR

Darüber hinaus können auch weitere Organisationen unabhängig von ihrer Größe betroffen sein. Dies ist beispielsweise der Fall, wenn durch einen Ausfall einer solchen Organisation Systemrisiken entstehen können.

Illustration of security architecture

Was ist für Sie zu tun?

NIS2 muss in Ihrem Unternehmen umgesetzt sein, sofern Sie betroffen sind. Nachfolgende Schritte sind demnach umzusetzen:

    Prüfung der Betroffenheit

    Sie werden von den Behörden nicht darüber informiert, ob NIS2 auf Ihr Unternehmen oder Ihre Institution zutrifft. Die Einschätzung, ob die Kriterien, die sowohl Branchenmerkmale als auch Größenüberlegungen umfassen, erfüllt sind, obliegt Ihnen selbst. Eine Organisation mit einem bedeutenden Marktanteil in einem spezifischen Sektor könnte aufgrund ihrer Größe als "wesentlich" eingestuft werden.

    Klärung von Verantwortlichkeiten

    Die Führungskräfte in Ihrer Organisation sollten mit den Anforderungen der Richtlinie sowie den Maßnahmen zum Risikomanagement vertraut sein. Es liegt in ihrer direkten Verantwortung sicherzustellen, dass Cyberrisiken erkannt und proaktiv angegangen werden und dass sämtliche Anforderungen gemäß der Richtlinie erfüllt werden.

    Feststellung des IST-Zustands

    Wie ist der aktuelle Stand Ihrer Netzwerk- und Informationssicherheit? Wir erörtern, inwiefern Sie die Themen bereits abdecken und was Sie weiterhin benötigen, um "NIS2-ready" zu werden.

    Etablierung eines Risikomanagementprozesses

    Gemäß der NIS2-Richtlinie muss ein Risikomanagement etabliert werden. Sie verpflichtet das Unternehmen demnach, mögliche Risiken für die Cybersicherheit zu identifizieren und zu bewerten. Dabei können wir Sie unterstützen, indem wir auf bereits etablierte Standards zurückgreifen.

    Berücksichtigung von Meldepflichten

    Organisationen müssen über Mechanismen verfügen, die eine ordnungsgemäße Benachrichtigung von Sicherheitsvorfällen an die Behörden sicherstellen.

    Planung & Durchführung weiterer Schritte

    Mit den fünf zuvor genannten Schritten ist die Grundlage für die Erfüllung von NIS2 gelegt. Es eignet sich die gleichzeitige Einführung eines ISMS, um die Prozesse rund um NIS2 abzudecken. Sehen Sie sich dazu gern weitere infrage kommende Leistungen an.

Leistungsspektrum für Cyber Security

Weitere sinnvolle Leistungen im Rahmen der NIS2-Richtlinie

ISMS

Ein Informationssicherheitsmanagementsystem soll dabei helfen, Informationen für das Management, Kunden und Angestellte verfügbar zu machen. Aus diesem Grund gehören zu einem umfangreichen ISMS-Konzept unterschiedliche Richtlinien, Prozesse, Maßnahmen sowie Tools. Sie alle sollen dabei helfen, Sicherheitslücken zu identifizieren und sie im Ernstfall unter Kontrolle zu bringen.

Externer CISO/ISB

Ein externer Chief Information Security Officer ist eine Person, die die Informationssicherheit eines Unternehmens überwacht und überprüft. Sie trägt die Verantwortung für die Entwicklung, Umsetzung und Überwachung von Richtlinien und Verfahren, die die Sicherheit des Unternehmens und seiner Daten gewährleisten. Zu den Aufgaben eines externen Sicherheitsbeauftragten gehören die Implementierung von Sicherheitslösungen, die Durchführung von Sicherheitsüberprüfungen, usw.

Penetration Test

Penetration Tests sind simulierte Angriffe aus externen oder internen Quellen, um die Sicherheit von Webanwendungen, Apps, Netzwerken und Infrastrukturen zu ermitteln und etwaige Schwachstellen aufzudecken.

Schulungen

Die Informationssicherheit wird immer wichtiger - nicht nur in Unternehmen. Trotzdem reicht es nicht aus, einzig auf die neuste Technik zu vertrauen und Cyber-Security-Maßnahmen einzuleiten. Um die Sicherheit in sämtlichen Geschäftsbereichen zu erhöhen, müssen alle Angestellten dazulernen.

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen:

Termin vereinbaren
Bitte senden Sie mir den kostenlosen Beispielbericht.
Bitte senden Sie mir weitere Informationen.
Ich möchte den Newsletter abonnieren und weitere Informationen an die angegebene E-Mail-Adresse erhalten.
Ich erkläre meine Einwilligung zur Nutzung und Verarbeitung der von mir angegebenen personenbezogenen Daten zum Zweck der Bearbeitung meiner Anfrage.*