NIS-2 der EU: Auswirkungen, Voraussetzungen und Vorbereitungen für Unternehmen

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2) ist eine neue Sicherheitsrichtlinie der EU, die die Cyber- und Informationssicherheit in der gesamten EU regeln und stärken soll, indem ein einheitlicher Sicherheitsstandard für alle Länder gilt.

Keine Zeit zu verlieren

Jeder Staat ist dazu verpflichtet, die Anforderungen der Richtlinie in nationales Gesetz umzusetzen und dieses spätestens am 17.10.2024 rechtskräftig zu veröffentlichen. Es ist keine Übergangsfrist vorgesehen. Die Anforderungen des Gesetzes müssen also direkt am Tage der Veröffentlichung von den betroffenen Unternehmen umgesetzt sein.

Betroffenheitskriterien gemäß NIS-2: Ein Überblick

Aus dem in NIS-2 definierten Anwendungsbereich ergibt sich eine große Menge an Unternehmen, die von der Richtlinie betroffen sind. Dabei müssen zwei Voraussetzungen erfüllt werden, um von NIS-2 betroffen zu sein. Für die erste Voraussetzung gilt, dass ein Unternehmen unter eine der drei folgenden drei Gruppen fällt:

  • KRITIS Betreiber kritischer Infrastruktur (Versorgung von mehr als 500.000 Personen)
  • Besonders wichtige Einrichtungen (über 250 Mitarbeiter oder über 50 Mio. € Umsatz)
  • Wichtige Einrichtungen (über 50 Mitarbeiter oder über 10 Mio. € Umsatz)

Durch die entsprechende Gruppenzugehörigkeit wird auch definiert, welche Sicherheitsnachweise ein Unternehmen erbringen muss und wie es vom BSI überwacht wird. So müssen KRITIS-Unternehmen alle drei Jahre die Umsetzung der NIS-2 Richtlinie nachweisen, während diese Pflicht nicht für die anderen beiden Gruppen gilt. Jedoch kann das BSI besonders wichtige Einrichtungen unter anderem zu Audits verpflichten, um die Umsetzung der Anforderungen zu überprüfen. Weiter kann das BSI Anweisungen zur Umsetzung der Verpflichtungen an jedes betroffene Unternehmen übergeben.

Neben der Voraussetzung der Gruppenzugehörigkeit muss ein Unternehmen zweitens in einem der folgenden Sektoren agieren, um von NIS-2 betroffen zu sein:

  • Energie
  • Trinkwasser/Abwasser
  • Verkehr
  • Digitale Infrastrukturen
  • Bankwesen
  • Verwaltung von IKT-Diensten (Informations- und Kommunikationstechnologie)
  • Finanzen
  • Öffentliche Verwaltung
  • Weltraum
  • Gesundheitswesen
  • Forschung
  • Industrie
  • Post- und Kurierdienste
  • Lebensmittel
  • Digitale Dienste (bspw. Soziale Netzwerke, Suchmaschinen, Online-Marktplätze)
  • Chemie
  • Abfallbewirtschaftung

Es können jedoch auch Unternehmen von NIS-2 betroffen sein, die keine der beiden Voraussetzungen erfüllen. Da die betroffenen Unternehmen unter Umständen die Anforderungen entlang ihrer Lieferkette weitergeben müssen, können somit auch deren Lieferanten und Dienstleister betroffen sein. Ist beispielsweise das Tagesgeschäft eines von NIS-2 betroffenen Unternehmens von einem IT-Dienstleister abhängig und würde ohne diesen nicht funktionieren, dann gilt NIS-2 ebenfalls für diesen Dienstleister.

Es ist weiterhin zu beachten, dass sich die Einrichtungen und Betreiber selbst identifizieren und registrieren müssen. Jedes Unternehmen muss in Eigenregie herausfinden, ob es unter die NIS-2 Sicherheitsrichtlinie fällt oder nicht.

Meldepflichten und Strafregelungen unter NIS-2

Weiterhin sollen neue Fristen im Hinblick auf die Meldepflicht bei Sicherheitsvorfällen und dazugehörige Strafen bei Nichtbefolgen eingeführt werden, die für alle betroffenen Unternehmen gleichermaßen gelten.

So müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI gemeldet werden. Innerhalb der ersten 72 Stunden muss eine Bewertung der Erstmeldung erfolgen und auf Nachfragen des BSI müssen Zwischenmeldungen gegeben werden. Nach vier Wochen soll eine Abschlussmeldung erfolgen, in der der Vorfall beschrieben und die Ursache, die getroffenen Maßnahmen sowie die Auswirkungen genannt werden.

Die Bußgelder, die bei Verstößen verhängt werden, können empfindlich ausfallen. Wenn beispielsweise Vorkehrungen zur Cybersicherheit nicht rechtzeitig getroffen oder Meldungen nicht übermittelt wurden, müssen wichtige Einrichtungen mit einer Zahlung von bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes des Unternehmens rechnen. Bei besonders wichtigen Unternehmen beträgt der Strafsatz bis zu 10 Mio. € oder 2% des Jahresumsatzes.

Vorbereitung auf das NIS-2 Gesetz

Um bereits gut auf das NIS-2 Gesetz vorbereitet zu sein empfiehlt es sich, bereits frühzeitig Vorkehrungen zu treffen und erste Maßnahmen zur Erhöhung der Cybersicherheit umzusetzen. Folgende Punkte bieten bereits eine gute Basis:

  • Schulungen der Mitarbeiter
  • Backup-Management
  • Notfall- und Krisenmanagement
  • Risikoanalyse/Sicherheitskonzepte für Informationssysteme
  • Nutzung von Kryptographie und Verschlüsselung
  • Sicherheit der Kommunikation
  • Zugriffsmanagement
  • Sicherheitsmaßnahmen in der Lieferkette
  • Business Continuity Management
  • Bewältigung von Sicherheitsvorfällen

Zusammenfassend lässt sich sagen, dass durch das NIS-2 Gesetz viele neue Anforderungen und Herausforderungen auf eine breite Masse an Unternehmen in Deutschland zu kommen. Eine gründliche Planung und frühzeitige Vorbereitung sind unerlässlich, um im Oktober 2024 nicht einem enormen Berg an Aufgaben konfrontiert zu werden.
 

Noch mehr Infos zu NIS-2 gibt es bei uns im Podcast:

https://www.audatis.de/aktuelles/audatis-dialog-84-nis-2-der-fahrplan-fuer-mehr-cyber-security-in-der-eu

27.03.2024 Blog | Cybersecurity, Informationssicherheit

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2) ist eine neue Sicherheitsrichtlinie der EU, die die Cyber- und Informationssicherheit in der…

Combined Shape

(AR) Die Lage der Cybersicherheit in Deutschland ist laut der BSI-Chefin „besorgniserregend“. Das stellte das BSI in seinem Lagebericht für das Jahr…

Combined Shape

13.11.2023 Blog | Cybersecurity, Informationssicherheit

(MB) Bei einem Hackerangriff auf die deutsche Hotelkette Motel One ist es Angreifern gelungen, Daten in einem großen Umfang zu erbeuten.

Combined Shape

13.01.2023 Blog | Cybersecurity

Nach Angaben der Webseite Cybernews wurde am 16. November 2022 in einem Forum im Darknet ein Datensatz mit 487 Millionen Mobilfunknummern von…

Combined Shape

Bei einem Hackerangriff auf den australischen Netzbetreiber Optus ist es Angreifern gelungen, zehn Millionen Kundendaten abzugreifen.

Combined Shape

11.10.2022 Blog | Cybersecurity

Ransomware, Virus, Spyware, Trojaner – Diese Begriffe haben Sie bestimmt schon einmal im Kontext von Malware gehört. Bei dieser Vielzahl kann man…

Combined Shape

24.06.2022 Blog | Cybersecurity

Was haben die Elektronik-Fachmarktkette Media Markt, der Automobilzulieferer Eberspächer und der Landkreis Anhalt-Bitterfeld gemeinsam? Sie alle…

Combined Shape

01.02.2022 Blog | Cybersecurity, Informationssicherheit

Für ziemlich alle angebotenen Dienste im Internet wird heutzutage ein persönliches Benutzerkonto inklusive Passwort benötigt. Passwörter sind damit…

Combined Shape

Die fortschreitende Digitalisierung hat zur Folge, dass auch Cyberkriminelle sich diese neuen Technologien zunutze machen und neu entstehende…

Combined Shape

Bargeldloses Bezahlen, digitaler Impfausweis, Homeoffice, Videokonferenzen oder der digitale Gang zur Behörde sind nur einige Themengebiete, die durch…

Combined Shape

15.06.2021 Blog | Cybersecurity, Informationssicherheit

Wie schlimm die möglichen Folgen der sog. FragAttacks (Fragmentation and Aggregation Attacks) in WLAN-Netzwerken wirklich sind und welche…

Combined Shape

Podcasts

Unser neuer Podcast widmet sich einem wichtigen Thema: der Schwachstellenanalyse in Unternehmen.

Combined Shape

Obwohl die E-Mail-Sicherheit im Unternehmen gerade mit SPF, DKIM und DMARC verstärkt wurde, kam es zu einem raffinierten Phishing-Angriff. Ein…

Combined Shape

Unser aktueller Podcast beleuchtet den folgenschweren Cyberangriff auf die Krankenhäuser in Herford, Rheda-Wiedenbrück und Bielefeld.

Combined Shape

Sara sitzt vor ihrem Computer, fest entschlossen, endlich online einen Termin für ihren neuen Personalausweis zu vereinbaren...

Combined Shape

Voller Vorfreude, sein neues Auto mit individuellem Wunschkennzeichen anzumelden, besucht Carsten die Online-Zulassungsstelle...

Combined Shape

Die EU-Whistleblowing-Richtlinie wurde mit dem Hinweisgeberschutzgesetz (HinSchG) in nationales Recht umgewandelt.

Combined Shape

Im hektischen Betrieb an einem Montag in der IT-Abteilung eines Unternehmens durchbrach das Telefonläuten die augenblickliche Arbeit. Der…

Combined Shape

28.02.2023 Podcast | Cybersecurity, Informationssicherheit

In diesem Podcast befassen wir uns mit potenziellen IT-Sicherheitsrisiken, denen öffentliche Einrichtungen beim Betrieb von Open-Source-Software im…

Combined Shape

In der neuen Folge unseres Podcasts "audatis DIALOG" geht es um das spannende Thema: die Zukunft von Cyberversicherungen.

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um eine mögliche Phishing-Attacke trotz…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Allianz Risk Barometer 2022 und die Top…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ werden die Ransomwareangriffe auf Unternehmen der Gruppe REvil…

Combined Shape

26.04.2022 Podcast | Cybersecurity

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um die möglichen Risiken bei der Nutzung von Kaspersky.

Combined Shape

In der neuen Folge geht es um das auf Cyber-Security Lösungen spezialisierte Unternehmen "Mandiant", welches kürzlich von Google gekauft wurde.

Combined Shape

In der neuen Folge geht es um die Erstellung von Audit-Programmen.

Combined Shape

22.02.2022 Podcast | Cybersecurity, Informationssicherheit

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zero Trust Sicherheitsmodell.

Combined Shape

In der neuen Folge geht es um Cyber-Versicherungen für Unternehmen.

Combined Shape

11.01.2022 Podcast | Cybersecurity

In der neuen Folge geht es um die Cyber Security Trends für das Jahr 2022.

Combined Shape

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Ransomware-Angriffe.

Combined Shape

Nach unserer Sommerpause starten wir den mit der ersten Folge der neuen Reihe zum Thema Sicherheit der Cloud und wie diese durch Schwachstellen…

Combined Shape

Die Anzahl der Cyberangriffe auf Unternehmen nehmen zu.

Combined Shape

In der neuen Folge geht es um die Sicherheit bei der WLAN-Nutzung und den daraus resultierenden Gefahren für Unternehmen und Mitarbeiter im…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Entschließung der EU zur digitalen Verschlüsselung.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Sicherheit in der Software-Lieferkette.

Combined Shape

08.12.2020 Podcast | Cybersecurity

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Phishing.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um das Internet der Dinge (IoT).

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datenschutz und IT-Sicherheit bei der App-Entwicklung.

Combined Shape