NIS2-Richtlinie (NIS2): Ein umfassender Überblick

Die Digitalisierung hat in den letzten Jahren rasant an Bedeutung gewonnen. Ein unachtsamer Moment, ein Klick zu viel – schon kann es passieren: Das eigene IT-System ist gehackt, verschlüsselt oder sogar komplett außer Betrieb. Von ärgerlich bis existenzbedrohend reicht die Bandbreite der möglichen Auswirkungen eines Cyberangriffs. Deshalb ist es für Unternehmen – egal ob groß oder klein – unerlässlich, sich frühzeitig und umfassend gegen derartige Bedrohungen zu schützen. In einigen Bereichen ist dies nicht nur sinnvoll, sondern auch gesetzlich verpflichtend. Hier kommt die NIS2-Richtlinie ins Spiel.

1. Grundlagen der NIS2-Richtlinie

Im Jahr 2016 trat die ursprüngliche EU-Richtlinie zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen – kurz NIS-Richtlinie – in Kraft. Diese sollte ein hohes Sicherheitsniveau für systemkritische und sensible Infrastrukturen (KRITIS) in den EU-Mitgliedsstaaten gewährleisten. Angesichts der zunehmenden Digitalisierung und stetig wachsender Bedrohungen für die Cybersicherheit wurde diese Regelung weiterentwickelt.

Im November 2022 wurde die sogenannte NIS2-Richtlinie beschlossen, um den europäischen Rechtsrahmen zu modernisieren und den neuen Herausforderungen gerecht zu werden. Die NIS2-Richtlinie ist seit dem 16. Januar 2023 in Kraft und muss bis spätestens 17. Oktober 2024 in nationales Recht umgesetzt werden. Obwohl die Umsetzung in einigen Ländern, wie beispielsweise in Deutschland, aktuell noch verzögert erfolgt, wird NIS2 flächendeckend Wirkung zeigen. Unternehmen und Behörden sollten sich daher so früh wie möglich mit den neuen Vorgaben auseinandersetzen.

Ergänzend zu NIS2 regelt die CER-Richtlinie Vorgaben hinsichtlich der physischen Sicherheit und Resilienz von kritischen und wichtigen Einrichtungen. Diese beiden Regelwerke ergänzen sich und tragen zusammen zu einem robusten europäischen Cyber-Sicherheitsniveau bei.

Die NIS2-Richtlinie legt Maßnahmen fest, die in der gesamten EU ein hohes, einheitliches Cyber-Sicherheitsniveau sicherstellen sollen. Zu diesen Maßnahmen gehören unter anderem:

  1. Nationale Cyber-Sicherheitsstrategien: Alle EU-Staaten müssen nationale Strategien entwickeln und zuständige Behörden, Cyber-Krisenmanagement-Teams, zentrale Anlaufstellen für Cybersicherheit sowie Computer-Notfallteams benennen oder einrichten.
  2. Cyber-Sicherheitsrisikomanagement und Berichtspflichten: Betroffene Einrichtungen müssen angemessene Maßnahmen ergreifen, um Risiken zu minimieren und Cyber-Sicherheitsvorfälle zu melden.
  3. Austausch von Cyber-Sicherheitsinformationen: Vorgaben zum Informationsaustausch sollen helfen, Bedrohungen frühzeitig zu erkennen und zu bekämpfen.
  4. Aufsichts- und Durchsetzungspflichten: Die nationalen Behörden erhalten erweiterte Befugnisse zur Überwachung und Durchsetzung der NIS2-Vorgaben.

Die NIS2-Pflichten erstrecken sich nicht nur auf die primär betroffenen Einrichtungen, sondern auch auf Dienstleistungsunternehmen, die in deren Auftrag tätig sind. Dies betrifft somit die gesamte Lieferkette.

2. Anwendungsbereich der NIS2-Richtlinie

Die NIS2-Richtlinie legt klar fest, welche Einrichtungen von den neuen Vorgaben erfasst werden. Dabei wird zwischen wesentlichen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities) unterschieden.

Wesentliche Einrichtungen

Diese betreffen Organisationen in den folgenden Sektoren:

  • Energie: Elektrizität, Fernwärme, Erdöl, Erdgas und Wasserstoff.
  • Transport: Luftverkehr, Schienenverkehr, Schifffahrt und Straßenverkehr.
  • Bankenwesen: Kreditinstitute.
  • Finanzmärkte: Handelsplätze für Finanzprodukte.
  • Gesundheit: Gesundheitsdienstleister, Labore, Medizinforschung, Pharmazeutik und Medizingeräte.
  • Trinkwasser und Abwasserwirtschaft
  • Digitale Infrastrukturen: DNS-Anbieter, Top-Level-Domain-Registrare, Cloud Provider, Rechenzentren, Content Delivery Networks sowie Anbieter elektronischer Kommunikationssysteme.
  • IT-Service Anbieter
  • Öffentliche Verwaltung: Insbesondere Zentralregierungen.
  • Weltraumsektor: Nicht Satelliten, sondern die zugehörige Bodeninfrastruktur.

Wichtige Einrichtungen

Diese werden in folgenden Sektoren angesiedelt:

  • Post und Kurierdienste
  • Abfallwirtschaft
  • Chemikalien: Produktion, Herstellung und Handel.
  • Lebensmittel: Produktion, Herstellung und Handel.
  • Herstellung bestimmter industrieller Produkte: Dazu gehören Medizinprodukte, Computer, Elektronik, Optik, elektrische Ausrüstung, Maschinenbau oder Kraftfahrzeuge.
  • Digitale Dienste: Online-Marktplätze, Suchmaschinen, soziale Netzwerke.
  • Forschung

Die 18 Sektoren werden in den Anhängen 1 und 2 der NIS2-Richtlinie detailliert erläutert. Grundsätzlich fällt eine Einrichtung in den Anwendungsbereich von NIS2, wenn sie in einem dieser Sektoren tätig ist und bestimmte Schwellenwerte überschreitet:

  • Wesentliche Einrichtungen: Mindestens 250 Beschäftigte oder ein Jahresumsatz von über 50 Millionen Euro sowie eine Bilanzsumme von mehr als 43 Millionen Euro.
  • Wichtige Einrichtungen: Bereits ab 50 Beschäftigten oder einem Jahresumsatz und einer Bilanzsumme von jeweils über 10 Millionen Euro.

Einrichtungen, die unter diesen Schwellenwerten bleiben, sind von NIS2 nicht erfasst – auch wenn sie in einen der 18 Sektoren fallen. Es gibt außerdem Sonderfälle, wie etwa Telekommunikationsanbieter oder Vertrauensdiensteanbieter (z. B. Anbieter qualifizierter elektronischer Signaturen gemäß der eIDAS-Verordnung 2.0), die unabhängig von den Sektoren erfasst werden. Zudem gelten für den Finanzsektor spezielle Regelungen, wie die DORA-Verordnung.

3. Maßnahmen der NIS2-Richtlinie

Wer unter den Anwendungsbereich der NIS2-Richtlinie fällt, muss eine Reihe von Cyber-Sicherheitsmaßnahmen umsetzen. Diese Maßnahmen gelten sowohl für wesentliche als auch für wichtige Einrichtungen und erstrecken sich über die gesamte Lieferkette. Zu den zentralen Anforderungen zählen:

  1. Erstellung und Umsetzung von Informationssicherheitsrichtlinien: Unternehmen müssen klare Richtlinien für das Risikomanagement und die Informationssicherheit entwickeln.
  2. Prävention, Detektion und Meldung von Sicherheitsvorfällen: Es müssen Maßnahmen implementiert werden, um Cyber-Sicherheitsvorfälle zu verhindern, frühzeitig zu erkennen und schnell zu melden. Die Meldung an die zuständigen Behörden erfolgt in drei Schritten:
    • Erste Meldung: Innerhalb von 24 Stunden, sobald ein Verdacht auf einen Sicherheitsvorfall besteht oder ein solcher bestätigt wird.
    • Folgemeldung: Innerhalb von maximal 72 Stunden müssen detailliertere Informationen übermittelt werden.
    • Abschlussmeldung: Spätestens nach einem Monat erfolgt eine umfassende Abschlussmeldung, die den Vorfall, die Ursachen, den Schweregrad und die ergriffenen Maßnahmen detailliert beschreibt.
  3. Betrieb eines Business Continuity Management Systems: Dies schließt Maßnahmen für Backup und Krisenmanagement ein, um den Geschäftsbetrieb auch im Notfall aufrechtzuerhalten.
  4. Sicherstellung der Sicherheit bei IT-Beschaffungen: Unternehmen müssen sicherstellen, dass IT- und Netzwerksysteme bereits bei der Beschaffung den Sicherheitsanforderungen entsprechen.
  5. Vorgaben für Kryptografie und Verschlüsselung: Es müssen geeignete Verschlüsselungstechniken und Sicherheitsprotokolle eingesetzt werden.
  6. Umsetzung von Zugangskontrollen: Der Zugang zu kritischen Systemen und Daten muss streng kontrolliert werden.
  7. Sichere Kommunikationssysteme: Der Einsatz von sicheren Sprach-, Video- und Textkommunikationssystemen sowie Notfallkommunikationssystemen ist verpflichtend.
  8. Überprüfung der Sicherheitsmaßnahmen in der Lieferkette: Unternehmen müssen sicherstellen, dass auch ihre Zulieferer und Dienstleister den Sicherheitsanforderungen genügen.
  9. Schulung und Sensibilisierung der Mitarbeiter: Regelmäßige Schulungen zur Cyber-Sicherheit sind essenziell, um das Bewusstsein für potenzielle Bedrohungen zu schärfen.

Die NIS2-Richtlinie sieht zudem erhebliche Sanktionen vor, um die Einhaltung der Vorgaben sicherzustellen. Bei Verstößen können für wesentliche Einrichtungen Geldbußen von bis zu 10 Millionen Euro oder 2 % des Vorjahresumsatzes verhängt werden, während für wichtige Einrichtungen Maximalstrafen von bis zu 7 Millionen Euro oder 1,4 % des Umsatzes gelten – sofern der Umsatz 500 Millionen Euro übersteigt. Verantwortliche Führungspersonen können zudem persönlich haftbar gemacht werden, wenn sie ihre Pflichten vernachlässigen.

4. Fazit

Die NIS2-Richtlinie markiert einen wichtigen Schritt in Richtung einer sichereren digitalen Infrastruktur in Europa. Sie modernisiert den bestehenden Rechtsrahmen und stellt klare Vorgaben für den Umgang mit Cyber-Sicherheitsrisiken. Unternehmen und Behörden, die in den Anwendungsbereich fallen, müssen umfangreiche Maßnahmen ergreifen, um den Schutz ihrer IT-Systeme und Daten zu gewährleisten – und das nicht nur intern, sondern entlang der gesamten Lieferkette.

Es ist ratsam, sich frühzeitig mit den neuen Anforderungen auseinanderzusetzen, die eigenen Cyber-Sicherheitsstrategien zu überprüfen und gegebenenfalls anzupassen. Eine Orientierung an internationalen Standards wie der ISO 27001 kann hierbei hilfreich sein. Letztendlich dienen die Vorgaben der NIS2-Richtlinie nicht nur dem Schutz vor Cyber-Angriffen, sondern auch der Sicherstellung des reibungslosen Funktionierens des europäischen Binnenmarktes im digitalen Zeitalter.

Unternehmen sollten also nicht zögern, in ihre Cyber-Sicherheitsmaßnahmen zu investieren und damit langfristig ihre Widerstandsfähigkeit (Resilienz) gegenüber Cyberbedrohungen zu stärken.

Bleiben Sie informiert, schulen Sie Ihre Mitarbeiter und überprüfen Sie regelmäßig Ihre IT-Sicherheitsmaßnahmen – so stellen Sie sicher, dass Ihr Unternehmen auch in Zeiten zunehmender Digitalisierung und wachsender Bedrohungen gut geschützt ist.

Veröffentlicht in Cybersecurity, Top.