Die zunehmende Digitalisierung und die steigende Zahl von Cyberangriffen machen robuste IT-Sicherheitsstrategien unverzichtbar. In diesem Zusammenhang hat die EU mit der überarbeiteten NIS-2-Richtlinie neue Anforderungen an die Cybersicherheit von Unternehmen definiert. In diesem Beitrag erfahren Sie, was es mit dem NIS2-Umsetzungsgesetz auf sich hat und ob Ihr Unternehmen betroffen ist. Zusätzlich erhalten Sie konkrete Tipps für die NIS-2-Umsetzung in Ihrem Unternehmen.
Was ist NIS-2?
Die NIS-2-Richtlinie definiert den europäischen Rechtsrahmen im Bereich der Cybersicherheit. Sie legt Mindeststandards im Bereich der Informationssicherheit fest. Die NIS-2-Richtlinie ist die Nachfolgeregelung der NIS-1-Richtlinie („Network and Information Systems“), die 2016 von der Europäischen Union eingeführt wurde. NIS 2 wurde als Reaktion auf die erhöhte Bedrohung durch Cyberangriffe eingeführt, um die IT-Sicherheit und die Aufrechterhaltung des IT-Betriebs zu gewährleisten.
Das NIS2-Umsetzungsgesetz
Als europäische Richtlinie ist NIS 2 nicht unmittelbar auf Unternehmen anwendbar, sondern bedarf zunächst einer Umsetzung durch die EU-Mitgliedstaaten. In Deutschland wird die NIS-2-Richtlinie durch das sogenannte „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) in nationales Recht überführt. Dieses Gesetz definiert, welche Anforderungen Unternehmen in Bezug auf Cybersicherheit erfüllen müssen. Die Vorgaben erstrecken sich von technischen und organisatorischen Sicherheitsmaßnahmen über Meldepflichten bis hin zur Registrierung bei den zuständigen Behörden. Unternehmen müssen sicherstellen, dass sie ihre IT-Systeme und Netzwerke ausreichend schützen und den Schutz kritischer Dienste gewährleisten, die für das Funktionieren der Gesellschaft und Wirtschaft unverzichtbar sind.
Welche Unternehmen sind von NIS-2 betroffen?
Private und öffentlich organisierte Unternehmen fallen in den Anwendungsbereich von NIS-2, wenn:
- sie einer von 18 in der Richtlinie (Anhang I und II) festgelegten Branchen angehören
- sie eine gewisse Unternehmensgröße überschreiten
Des Weiteren sind Unternehmen auch indirekt von NIS2 betroffen, wenn sie Dienstleister oder Lieferanten von betroffenen Einrichtungen sind. Der Umfang betroffener Unternehmen erweitert sich mit NIS-2 von 2.000 auf schätzungsweise ca. 30.000 Unternehmen bundesweit.
Welche Branchen sind von NIS-2 betroffen?
Die NIS-2-Richtlinie betrifft Unternehmen aus 18 Sektoren, die in den Anhängen I und II detailliert beschrieben sind. Davon gelten 7 als „wichtige“ und 11 als „besonders wichtige“ Sektoren. Die Zugehörigkeit einer der beiden Gruppen entscheidet darüber, wie intensiv das BSI die Unternehmen beaufsichtigt und wie hoch die Strafen bei Verletzung oder bei Zuwiderhandlungen von NIS-2 ausfallen.
Besonders wichtige Einrichtung
Als besonders wichtige Einrichtung gelten:
- Öffentliche Verwaltung
- Energie
- Transport und Verkehr
- Bankensektor
- Finanzmarkt
- Gesundheitswesen
- Trinkwasserversorgung
- Abwasserwirtschaft
- Digitale Infrastruktur
- IKT
- Raumfahrt
- Betreiber kritischer Anlagen (KRITIS-Unternehmen)
Bei den besonders wichtigen Einrichtungen sind Unternehmen betroffen, die
- über 250 Mitarbeitende beschäftigen, oder
- einen Jahresumsatz von mehr als 50 Millionen Euro haben, oder
- eine Jahresbilanzsumme von mehr als 43 Millionen Euro haben.
Wichtige Einrichtungen:
Als wichtige Einrichtung gelten:
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Produktion und Vertrieb von chemischen Stoffen
- Herstellung, Produktion und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe (inkl. Medizinprodukte)
- Digitale Dienstleistungen
- Forschung
NIS 2 gilt für wichtige Unternehmen,
- die mehr als 50 Mitarbeiter beschäftigen, oder
- deren Jahresumsatz 10 Millionen Euro übersteigt, oder
- die eine Jahresbilanzsumme von weniger als 43 Millionen Euro haben.
Was müssen von NIS-2 betroffene Unternehmen tun?
Die von NIS-2 betroffenen Unternehmen müssen ein Informationssicherheits-Managementsystem (ISMS) implementieren, um den neuen Vorgaben gerecht zu werden. Dazu gehören sowohl technische als auch organisatorische Vorkehrungen, die sicherstellen, dass die IT-Sicherheit und der Schutz vor Cyberangriffen gewährleistet sind. Nachstehend 10 Tipps für die NIS-2-Umsetzung in Ihrem Unternehmen:
10 Praxistipps zur NIS2 Umsetzung
1. Risikomanagement etablieren
Implementieren Sie ein IT- Risikomanagementsystem, um potenziellen Bedrohungen und Schwachstellen in Ihren Netz- und Informationssystemen frühzeitig erkennen. Definieren Sie klare Prozesse, um den Herausforderungen wie beispielsweise Cyberattacken und Naturkatastrophen strukturiert zu begegnen. Dies hilft Ihnen die richtigen Maßnahmen abzuleiten Ihr Risikomanagement muss kontinuierlich an die sich verändernden Rahmenbedingungen angepasst werden.
2. Registrierung beim BSI
Stellen Sie sicher, dass Ihr Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert ist, wenn dies für Ihr Sektor erforderlich ist. Dies ist besonders wichtig, da Sicherheitsvorfälle an das BSI gemeldet werden müssen und eine fehlende Meldung Bußgelder nach sich ziehen kann.
3. Sicherheitsvorfälle erkennen und angemessen behandeln
Etablieren Sie ein angemessenes Sicherheitsvorfallmanagement, indem Sie klare interne Prozesse und Zuständigkeiten für die Erkennung, Meldung und Behandlung von Sicherheitsvorfällen festlegen. Mitarbeiter sollten geschult werden, um im Ernstfall angemessen reagieren zu können. Bei Vorfällen in betroffenen Einrichtungen muss innerhalb von 24 Stunden eine Erstmeldung an das BSI erfolgen. Innerhalb von 72 Stunden nach der ersten Meldung muss ein detaillierter Bericht des Sicherheitsvorfalls folgen. Spätestens nach einem Monat muss eine Abschlussmeldung erfolgen.
4. Back-Up: Daten regelmäßig sichern
Richten Sie einen automatisierten Backup-Plan ein, damit alle geschäftskritischen Daten regelmäßig gesichert werden. Testen Sie regelmäßig die Wiederherstellung der gesicherten Datenbestände, damit diese im Ernstfall verfügbar und vollständig sind. Dies minimiert die Ausfallzeit im Falle eines Angriffs oder Systemausfalls und hilft Ihnen schnell wieder produktiv und handlungsfähig zu sein.
5. Business Continuity: Notfallmanagement und -kommunikation etablieren
Erstellen Sie einen Business-Continuity-Plan, der klar festlegt, wie der Geschäftsbetrieb im Falle eines Cyberangriffs oder Systemausfalls aufrechterhalten werden kann. Dazu gehört auch ein Kommunikationsplan, der sicherstellt, dass alle relevanten Parteien, wie Mitarbeiter, Kunden und Partner, informiert werden. Damit dies gelingt, müssen Sie zunächst herausfinden, welche Arbeitsabläufe wirklich geschäftskritisch sind und welche Software und Hardware für die Aufrechterhaltung benötigt wird.
6. Schulung von Mitarbeitern und Führungskräften
Sensibilisieren Sie Ihre Mitarbeiter und Führungskräfte regelmäßig für aktuelle Cyberbedrohungen und die Sicherheitsrichtlinien Ihres Unternehmens. Führen Sie verpflichtende IT-Awareness-Schulungen durch, die sicherstellen, dass alle Mitarbeiter mit den Grundlagen der IT-Sicherheit vertraut sind und wissen, wie sie im Ernstfall reagieren müssen. Regelmäßige Wiederholungen helfen dabei, das Wissen aktuell zu halten.
7. Authentifizierung und Zugriffskontrolle
Führen Sie strenge Authentifizierungs- und Zugriffskontrollmechanismen ein. Nutzen Sie Multi-Faktor-Authentifizierung (MFA) für alle und Admin- Nutzeraccounts. Stellen Sie sicher, dass Zugriffsrechte regelmäßig überprüft und angepasst werden. So verhindern Sie, dass unberechtigte Personen auf sensible Daten oder Systeme zugreifen können (need-to-know-Prinzip).
8. On- und Off-boarding-Prozess optimieren
Optimieren Sie Ihren On- und Off-boarding-Prozess für Mitarbeiter. Stellen Sie sicher, dass neue Mitarbeiter sofort die nötigen Sicherheitsrichtlinien zur Kenntnis nehmen und im Bereich IT-Sicherheit und Datenschutz geschult werden. Beim Austritt eines Mitarbeiters müssen alle Zugangsrechte unverzüglich entzogen werden, um Sicherheitslücken zu vermeiden.
9. Strukturierter IT-Einkaufsprozess etablieren
Als Unternehmen müssen Sie Sicherheitsaspekte bei dem Einkauf von IT- und Netzwerk-Systemen berücksichtigen. Stellen Sie sicher, dass alle externen Anbieter die Sicherheitsstandards Ihres Unternehmens erfüllen und regelmäßig geprüft werden. So vermeiden Sie, dass durch ungesicherte Systeme Sicherheitslücken und Datenschutzprobleme entstehen. Darüber hinaus erhöhen Sie Sicherheit in der Lieferkette.
10.Cyberhygiene und Schwachstellen managen
Halten Sie Ihre IT-Systeme durch regelmäßige Updates und Patches stets auf dem neuesten Stand. Etablieren Sie ein strukturiertes Verfahren zur Identifizierung und Behebung von Schwachstellen. Dazu gehört nicht einerseits das regelmäßige Einspielen von Patches und Updates. Andererseits beinhaltet dies auch die aktive Überwachung der eigenen IT-Systeme auf neu entdeckte Sicherheitslücken.
Was hat NIS-2 mit Datenschutz zu tun?
Die NIS-2-Richtlinie und die Datenschutz-Grundverordnung (DSGVO) haben auf den ersten Blick unterschiedliche Ziele – NIS-2 befasst sich hauptsächlich mit der IT-Sicherheit, während die DSGVO den Schutz personenbezogener Daten regelt. Doch in der Praxis gibt es zahlreiche Überschneidungen zwischen beiden Regelwerken.
Wenn ein Unternehmen Maßnahmen zur Einhaltung der NIS-2-Richtlinie umsetzt, hat dies oft auch Auswirkungen auf den Datenschutz. Beispielsweise tragen IT-Sicherheitsmaßnahmen dazu bei, dass personenbezogene Daten besser geschützt werden. Ein Sicherheitsvorfall kann jedoch gleichzeitig eine Datenschutzverletzung darstellen, die nach der DSGVO gemeldet werden muss.
Für Unternehmen bedeutet dies, dass sie beide Regelwerke im Blick behalten müssen. Es empfiehlt sich, die Maßnahmen zur Einhaltung der NIS-2-Vorgaben mit den Datenschutzanforderungen der DSGVO zu kombinieren, um Synergien zu nutzen und unnötige Doppelarbeit zu vermeiden. Der Datenschutzbeauftragte und der Informationssicherheitsbeauftragte sollten sich regelmäßig über geplante und implementierte Maßnahmen austauschen.
Welche Folgen drohen bei Nichtbeachtung?
Die Nichteinhaltung der NIS-2-Richtlinie kann schwerwiegende Folgen haben. Unternehmen drohen Bußgelder von bis zu 10 Millionen Euro oder mindestens zwei Prozent des weltweiten Jahresumsatzes.
Wir unterstützen Sie bei der Umsetzung von NIS 2!
Unsere externen Informationssicherheitsbeauftragten stehen Ihnen bei allen Fragen der Informationssicherheit und des Datenschutzes zur Seite. Wir sind ausgebildete Juristen und IT-Fachkräfte mit Schwerpunkt Datenschutz und Informationssicherheit. Unser Angebot zur Benennung zum externen Informationssicherheitsbeauftragten kombiniert IT-Sicherheit-Fachwissen mit rechtlichen, betriebswirtschaftlichen und technischen Kenntnissen. Alle unsere IT-Sicherheitsberater sind zertifiziert und besitzen eine umfassende Fachkunde auf dem Gebiet der Informationssicherheit.
In einem kostenlosen Erstgespräch finden wir für Sie heraus, welche Anforderungen konkret auf Ihr Unternehmen zukommen und unterstützen Sie bei der Erstellung bzw. Anpassung Ihrer Sicherheitsstrategie.
FAQ NIS 2
NIS-Richtlinie steht für „Network and Information Security“-Richtlinie.
Die NIS-2-Richtlinie betrifft Unternehmen aus 18 Sektoren, die in den Anhängen I und II detailliert beschrieben sind. Dort ist genau festgelegt, welche „Art von Einrichtung“ in jedem Sektor erfasst wird. Entscheidend für Sie ist daher, ob Ihr Unternehmen zu einer der aufgeführten Einrichtungen gehört. In den Anhängen I und II der NIS-2 werden diese Einrichtungen weiter präzisiert. Für die konkrete Umsetzung in Deutschland empfiehlt es sich, im NIS2UmsuCG in den Anlagen 1 und 2 nachzuschauen, ob Ihr Unternehmen unter die dort genannten „Einrichtungsarten“ fällt.
Zu den „Sektoren mit hoher Kritikalität“ (Anhang I der NIS-2-RL) gehören: Energie, Verkehr, Bankwesen, Finanzmarktstrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (Business-to-Business), öffentliche Verwaltung, Weltraum.
„Sonstige kritische Sektoren“ (Anhang II der NIS-2-RL) umfassen: Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste, Forschung..
