Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Was bedeutet NIS-2 für deutsche Unternehmen?
Am 16. Januar 2023 trat die überarbeitete Richtlinie (EU) 2022/2555 zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie, kurz: NIS-2) in Kraft. Sie ersetzt die Richtlinie (EU) 2016/1148 (NIS-1) von 2016 und muss von den Mitgliedsstaaten bis Oktober 2024 in nationales Recht umgesetzt werden. Wir erläutern, welche Unternehmen die neue NIS-2-Richtlinie beachten müssen, was sich gegenüber NIS-1 ändert und was dies für deutsche Unternehmen bedeutet.
Warum eine neue Cybersicherheits-Richtlinie?
Mit der NIS-1-Richtlinie sollte ein europaweit einheitlich hohes Cybersicherheitsniveau kritischer Infrastrukturen erreicht werden. Für ihre Überführung in nationales Recht hatte die EU ihren Mitgliedsstaaten jedoch größere Gestaltungsspielräume gegeben. Bei der Umsetzung kam es denn auch auf nationaler Ebene zu deutlichen Unterschieden zwischen den einzelnen Ländern. Insbesondere gab es keine europaweit einheitlichen Regelungen zu den Schwellenwerten, ab denen Unternehmen unter die Richtlinie fallen. Auch bei den geforderten Cybersicherheitsmaßnahmen gab es wenig Einheitlichkeit. In Deutschland wurde NIS-1 mit dem IT-Sicherheitsgesetz 2.0 umgesetzt, das in Teilen bereits über die Regelungen der europäischen Richtlinie hinausging.
Schnell wurde klar, dass sich die Unterschiede in der Praxis nachteilig auf den einheitlichen europäischen Binnenmarkt auswirkte. Aus diesem Grund und angesichts einer deutlichen Beschleunigung der Digitalisierung sowie einer sich verschärfenden Bedrohungslage hielt die EU eine Überarbeitung der noch gar nicht so alten NIS-Richtlinie für angeraten.
Welche Unternehmen sind von NIS-2 betroffen?
Die vielleicht folgenreichste Änderung gegenüber der NIS-1 ist eine deutliche Ausweitung der Unternehmen, die von der Richtlinie betroffen sind. Mit den neuen Sektoren Abwasser, öffentliche Verwaltung und Raumfahrt gibt es nun 11 sogenannte Wesentliche Einrichtungen (Essential Entities). Beim Sektor Energie ist zudem der Teilsektor Wasserstoff neu, ebenso kommen in den Sektoren Gesundheit und Digitale Infrastruktur einige Einrichtungen hinzu.
Wesentliche Einrichtungen (Essential Entities) gemäß NIS-2
- Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
- Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
- Bankwesen (Kreditinstitute)
- Finanzmärkte (Handelsplätze, Zentrale Gegenpartien)
- Gesundheit (Gesundheitsdienstleister, Labore, Medizinforschung, Pharmazeutik, Medizingeräte)
- Trinkwasser (Wasserversorgung)
- Abwasser (Abwasserentsorgung)
- Digitale Infrastruktur (Internet-Knoten, DNS, TLD Registrare, Cloud Provider, Rechenzentren, CDNs, Vertrauensdienste, Elektronische Kommunikation)
- IT-Service-Management (Managed Service Providers, Managed Security Providers [B2B])
- Öffentliche Verwaltung (zentrale und regionale Regierungen)
- Weltraum (Bodeninfrastruktur)
Neu in der NIS-2-Richtlinie sind zudem die meisten „Important Entities“. Die Kategorisierung in Wesentliche Einrichtungen und Wichtige Einrichtungen entspricht dabei einer Abstufung hinsichtlich der Kritikalität und des Grades der Abhängigkeit anderer Sektoren. NIS-2 leitet daraus vor allem Unterschiede in den staatlichen Aufsichtspflichten und den möglichen Sanktionen ab. Die Anforderungen zu Meldepflichten und Risikomanagement (siehe unten) sind jedoch für Unternehmen beider Kategorien identisch.
Wichtige Einrichtungen (Important Entities)
- Post- und Kurierdienste
- Abfall (Abfallbewirtschaftung)
- Chemikalien (Produktion, Herstellung und Handel)
- Lebensmittel (Produktion, Verarbeitung und Vertrieb)
- Industrie/Produktion (Medizinprodukte und In-vitro-Diagnostik, Computer, Elektronik, Optik, elektrische Ausrüstung, Maschinenbau, Kraftwagen und Teile, Fahrzeugbau)
- Digitale Dienste (Marktplätze, Suchmaschinen, Soziale Netzwerke)
- Forschungsinstitute
Einen detaillierten Überblick über Wesentliche und Wichtige Einrichtungen gibt OPENKRITIS.
Da das deutsche IT-Sicherheitsgesetz 2.0 in Teilen bereits über die NIS-1-Richtlinie hinausgeht, sind einige Einrichtungen wie Abfall, Lebensmittelversorgung oder Digitale Dienste hier schon teilweise berücksichtigt.
Schwellenwerte
Entscheidend dafür, ob ein Unternehmen aus den oben aufgeführten Sektoren auch tatsächlich unter die Verordnung fällt, ist vor allem die Unternehmensgröße. Demnach sind alle Unternehmen ab 50 Mitarbeitenden und einem Jahresumsatz von mindestens 10 Millionen Euro von der Regulierung betroffen.
Kleinere Unternehmen mit bis maximal 49 Mitarbeitenden und einem Jahresumsatz unter 10 Millionen Euro fallen nicht unter die EU-Richtlinie. Allerdings gibt es ein paar Ausnahmen – Unternehmen aus einigen Sektoren und Bereichen sollen nämlich auf jeden Fall (also größenunabhängig) reguliert werden. Dies betrifft Unternehmen aus dem Bereich Elektronische Kommunikation, Trust Service Provider, Domain-Registrare für Top Level Domains sowie den gesamten Sektor öffentliche Verwaltung. Die Forderung, künftig hinsichtlich der Cybersecurity-Maßnahmen die gesamte Lieferkette im Blick zu haben (siehe nächsten Abschnitt), könnte darüber hinaus bedeuten, dass auch Zulieferer, die bisher nicht von der NIS betroffen waren, ggf. reguliert werden. Ob und wie dies konkret in nationales Recht umgesetzt wird, ist derzeit noch unklar (Stand März 2023).
Bisher gegebenenfalls geltende Anlagenkategorien und Schwellenwerte, wie sie etwa in Deutschland durch die KRITIS-Verordnung festgelegt werden, sind in der NIS-2-Richtlinie nicht vorgesehen. Ob sie nach der Überführung von NIS-2 in deutsches Recht erhalten bleiben, bleibt ebenfalls abzuwarten.
Was ändert sich mit NIS-2 für Unternehmen und Organisationen?
Wenig Neues bei Cybersecurity-Anforderungen und Meldepflichten
Alle Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen eine Reihe von Cybersecurity-Maßnahmen zum Schutz ihrer IT-Infrastruktur, Netzwerke und kritischen Dienstleistungen umsetzen. Auch unterliegen sie bestimmten Meldepflichten. Dies gilt für alle regulierten Unternehmen, unabhängig davon, in welchen Sektoren und Bereichen sie tätig sind und auch, wie bereits erwähnt, unabhängig von der Einordnung in Wesentliche oder Wichtige Einrichtungen.
Für Unternehmen und Organisationen, die bereits unter die Bestimmungen von NIS-1 fallen, ändert sich hinsichtlich Cybersecurity-Maßnahmen wenig. Nach Artikel 21 müssen sie auch in Zukunft beispielsweise Maßnahmen in den Bereichen Cyber-Risikomanagement, Business Continuity Management, Penetrationstests, Kryptografie, sichere Kommunikation sowie Zugangskontrolle und Authentisierung durchführen. Neu hinzugekommen ist in NIS-2 die Forderung, die Sicherheit in der gesamten Lieferkette im Blick zu behalten. In Deutschland ist dies allerdings bereits im IT-Sicherheitsgesetz 2.0 festgeschrieben. Eine übersichtliche Auflistung aller Cybersecurity-Anforderungen finden Sie hier.
Genaue Vorgaben zur Umsetzung der Maßnahmen gibt die neue Richtlinie nicht. Konkreter wird sie hinsichtlich der Berichtspflichten. Aber auch hier gibt es keine wesentlichen Neuerungen gegenüber NIS-1. Bei Sicherheitsvorfällen mit erheblichen Auswirkungen auf Erbringung ihrer Dienste müssen Unternehmen und Organisationen nach wie vor (laut Artikel 23) die zuständigen Behörden spätestens innerhalb von 24 Stunden informieren. Höchstens nach 72 Stunden muss eine detailliertere Vorfallsmeldung (u. a. zu Schweregrad und konkreten Auswirkungen) erfolgen. Innerhalb eines Monats nach erfolgreicher Bewältigung des Vorfalls muss schließlich ein Abschlussbericht folgen.
Höhere Strafen, mehr Kontrolle
Während NIS-2 bei Cybersecurity-Anforderungen und Meldepflichten nur unwesentlich über NIS-1 hinausgeht, müssen betroffene Unternehmen mit verschärfteren Kontrollmaßnahmen und im Falle von Zuwiderhandlungen mit deutlich erhöhten Sanktionen rechnen.
Bei Verstößen gegen die Cybersecurity-Maßnahmen oder Meldepflichten wird die bisherige Obergrenze von 50.000 Euro (im Wiederholungsfall 100.000 Euro) nach Artikel 34 – 36 nun deutlich erhöht. Unternehmen der Kategorie Wesentliche Einrichtungen drohen nun Strafen bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Gesamtumsatzes (des vorangegangenen Finanzjahrs). Bei Unternehmen der Kategorie Wichtige Einrichtungen liegen die Höchststrafen bei 7 Mio. Euro oder 1,4 Prozent des Vorjahresumsatzes – jeweils je nachdem, welche Summe höher ist. Gleichzeitig sehen die Artikel 29 und 32 umfangreiche Überwachungsmaßnahmen vor. Beispielsweise sind nicht anlassbezogene Security Audits und Security Scans durch Behörden oder unabhängige Dritte vorgesehen, sowie Zugangs- und Auskunftsrechte zu allen notwendigen Informationen und Dokumenten. Im Falle der Nichteinhaltung der Regularien können Behörden den Betreibern Anweisungen erteilen und einen Aufsichtsbeamten bestellen. Bei fortgesetzten Verstößen können Betriebserlaubnis oder Zertifizierungen entzogen werden. Für Verstöße kann darüber hinaus die Geschäftsleitung persönlich haftbar gemacht werden (Organhaftung).
Fazit
Deutschland muss wie alle anderen EU-Mitgliedsstaaten die NIS-2-Vorgaben bis Oktober 2024 in nationales Recht umsetzen. Unternehmen, die bereits den Regularien von NIS-1 unterliegen, werden dann mit schärferen Kontrollen und Nachweispflichten sowie deutlich höheren möglichen Sanktionen zu rechnen haben. Wie allerdings die Vorgaben der EU-Richtlinie im Einzelnen in einem neuen IT-Sicherheitsgesetz umgesetzt werden und ob das deutsche IT-Sicherheitsgesetz an einigen Punkten, wie schon sein Vorgänger, über die EU-Vorgaben hinausgeht, bleibt abzuwarten.
Zahlreiche Unternehmen, die bisher nicht vom IT-Sicherheitsgesetz 2.0 betroffen waren, werden ab Ende 2024 den Regularien des dann neuen IT-Sicherheitsgesetzes 3.0 unterliegen. Für alle bisher unregulierten Unternehmen und Organisationen empfiehlt sich daher zunächst eine Prüfung, ob dies auch auf sie zutrifft. Daraufhin sollten die nötigen Maßnahmen ermittelt und implementiert werden, die erforderlich sind, um die NIS-2-Verpflichtungen zu erfüllen. Für die Umsetzung der Anforderungen an sichere Passwörter (Zugangskontrolle, Authentifizierung, sichere Kommunikation) bietet Specops umfangreiche Passwort-Management- und Authentifizierungslösungen. Sprechen Sie uns an, wir unterstützen Sie gerne!

Autor
Torsten Krüger
Torsten Krüger ist seit mehr als 20 Jahren Spezialist für Content-Marketing und Presse bei der B2B-Content-Marketing-Agentur ucm. Dort und als freier Autor schreibt er vor allem zu Themen aus den Bereichen IT, Energie, Elektrotechnik, Medical/Healthcare, Maschinenbau und Musik.
(Zuletzt aktualisiert am 08/11/2024)
Related Articles
-
Die 7 wichtigsten Trends im Bereich Cybersicherheit 2022
Für Unternehmen, die sich 2022 mit vielfältigen Bedrohungen auseinandersetzen müssen, ist das Thema Cybersicherheit zu einer Top-Priorität geworden. Da Unternehmen weiterhin ihre Sicherheitsmaßnahmen aufgrund einer sich stets wandelnden Bedrohungslandschaft anpassen müssen, zeichnen sich im Bereich der Cybersicherheit viele Trends ab. Die Herausforderungen könnten nicht größer sein, denn es werden immer neue Bedrohungen entwickelt und bestehende…
Read More -
NIS-2-Update: Wie ist der aktuelle Stand?
NIS-2 ist weiterhin in aller Munde aber wie sieht der aktuelle Stand aus?
Read More -
NIS2, Passwortsicherheit und MFA: Das gilt es zu beachten!
Was bedeutet NIS2 für Themen wie Passwortsicherheit und Multi-Factor-Authentication (MFA) in den betroffenen Organisationen? Erfahren Sie mehr im Blogpost!
Read More