NIS2-Richtlinie: Anforderungen und Auswirkungen auf Unternehmen

25.09.2024

Die zunehmenden Bedrohungen durch Cyberangriffe und die Abhängigkeit von digitalen Diensten haben die Europäische Union dazu veranlasst, die bestehenden Regelungen zu modernisieren und zu erweitern.

In diesem Artikel werfen wir einen Blick auf die NIS2-Richtlinie, ihre Anforderungen und die Auswirkungen auf Unternehmen.

NIS2-Richtlinie

Was ist die NIS2-Richtlinie?

Die Network and Information Systems Directive 2 (NIS2) ist eine europäische Richtlinie, die im Dezember 2022 verabschiedet wurde. Sie zielt darauf ab, das Sicherheitsniveau von Netz- und Informationssystemen innerhalb der Europäischen Union zu erhöhen. Die Richtlinie legt Mindeststandards für die Sicherheit und den Schutz von Netzwerken und Informationssystemen fest und ist eine Fortsetzung der NIS1-Richtlinie aus dem Jahr 2016. NIS2 baut auf den Grundlagen von NIS1 auf, weitet jedoch deren Anwendungsbereich aus und verschärft die Anforderungen.

Ziel der NIS2-Richtlinie ist es, eine stärkere Resilienz und eine verbesserte Reaktion auf Cyberbedrohungen in kritischen und wesentlichen Sektoren zu gewährleisten. Sie verfolgt einen koordinierten Ansatz, um grenzüberschreitende Sicherheitsvorfälle effektiver zu handhaben und den Schutz kritischer Infrastrukturen und Dienste zu verbessern.

Durch die Änderung des Gesetzes, im Wesentlichen die Ausweitung der Sektoren und die Orientierung an der Unternehmensgröße, werden in Deutschland ca. 30.000 Unternehmen von der gesetzlichen Neuregelung betroffen sein.

Ab dem Zeitpunkt des Inkrafttretens (voraussichtlich im März 2025) sind die Unternehmen verpflichtet, die neuen Anforderungen zu erfüllen. Es wird erwartet, dass die Mitgliedstaaten umfassende Maßnahmen ergreifen, um sicherzustellen, dass alle betroffenen Unternehmen die Richtlinie vollständig umsetzen. In diesem Artikel beziehen wir uns auf Informationen aus dem Referentenentwurf vom Juli 2024. Vorbehaltlich der endgültigen Verabschiedung des Gesetzes können sich noch Änderungen ergeben.

Warum ist NIS2 erforderlich?

Die Notwendigkeit von NIS2 ergibt aus der fortschreitenden Digitalisierung und Vernetzung nahezu aller Lebensbereiche und der dadurch ständig wachsenden Bedrohung durch Cyberangriffe. Dies betrifft nicht nur Unternehmen, sondern auch staatliche Organisationen und öffentliche Institutionen.

Mit der NIS1-Richtlinie wurde zwar ein wichtiger Schritt getan, um die Sicherheit zu stärken. Jedoch zeigte sich mit der Zeit, dass sie in mehreren Punkten nicht ausreichte. Es gab Lücken in der Umsetzung und ungenügende Harmonisierung der Sicherheitsstrategien der europäischen Mitgliedstaaten. Vor allem in der Ausweitung der Zuständigkeiten und der Präzisierung der Anforderungen an Unternehmen bestand Verbesserungspotenzial.

Bedrohungen sind heutzutage komplexer und raffinierter geworden. Angriffe wie Phishing, Ransomware-Attacken, DDoS (Distributed Denial of Service)-Attacken und andere Formen der Cyberkriminalität stellen eine große Gefahr für Unternehmen und kritische Infrastrukturen dar. NIS2 hat das Ziel, diese Herausforderungen besser zu adressieren und sicherzustellen, dass alle Mitgliedstaaten und Unternehmen in der EU ein höheres Niveau der Cybersicherheit erreichen. Zudem soll auch die Zusammenarbeit zwischen den Mitgliedstaaten gestärkt werden, um auf grenzüberschreitende Bedrohungen effektiv reagieren zu können.

Mit dem Ziel, kritische Dienste und digitale Infrastrukturen zu schützen, schafft die NIS2-Richtlinie einen rechtlichen Rahmen für einheitliche Sicherheitsstandards auf EU-Ebene.

Was ist der Unterschied zwischen NIS1 und NIS2?

Obwohl die NIS1-Richtlinie ein wichtiger erster Schritt war, um Cybersicherheit auf europäischer Ebene zu regeln, hatte sie Schwächen, die nun durch NIS2 adressiert werden. Die wichtigsten Unterschiede zwischen den beiden Richtlinien sind:

Erweiterter Anwendungsbereich: NIS1 betraf hauptsächlich kritische Infrastrukturen wie Energie, Wasser und Verkehr. NIS2 erweitert diesen Anwendungsbereich auf eine Vielzahl weiterer Sektoren.

Verstärkter Fokus auf Risiko-Management: Während NIS1 sich stark auf die Reaktion auf Vorfälle konzentrierte, betont NIS2 das präventive Risikomanagement. Unternehmen müssen mehr Maßnahmen zur Prävention von Vorfällen treffen.

Verpflichtende Anforderungen: Während NIS1 den Mitgliedstaaten einen gewissen Spielraum bei der Umsetzung ließ, sind die Anforderungen der NIS2-Richtlinie verbindlicher und stärker harmonisiert. Unternehmen haben künftig weniger Möglichkeiten, von den Vorgaben abzuweichen.

Klarere Sanktionen: NIS2 legt genauere Sanktionen für Verstöße gegen die Richtlinie fest, während NIS1 hier weniger detailliert war. Dies macht NIS2 strenger und sorgt dafür, dass Unternehmen die Vorschriften ernster nehmen müssen. Die Struktur und die Systematik der Busgelder ist vergleichbar mit der DSGVO.

Was regelt das NIS2-Umsetzungsgesetz?

Das NIS2-Umsetzungsgesetz ist ein Änderungsgesetz, das eine Vielzahl bereits existierender Gesetze in Deutschland betrifft. Im geänderten BSI-Gesetz wird die Sicherheit von Netzwerken und Informationssystemen, die für die Bereitstellung wesentlicher Dienste in verschiedenen Sektoren unerlässlich sind, geregelt. Es legt Verpflichtungen für Betreiber und Dienstleister fest und fordert Maßnahmen zur Prävention, Erkennung und Bewältigung von Bedrohungen. Konkret bedeutet dies, dass betroffene Unternehmen dem Stand der Technik entsprechende Sicherheitsmaßnahmen implementieren müssen, um Risiken zu vermeiden oder zumindest zu minimieren.

Zentrale Punkte von NIS2

Erweiterung des Anwendungsbereichs: NIS2 umfasst nicht nur die zuvor in der KRITIS Gesetzgebung geregelten „Betreiber kritischer Anlagen“, sondern erweitert den Geltungsbereich auf weitere Branchen, darunter auch Anbieter von Gesundheitsdienstleistungen, der Abfallwirtschaft, digitaler Dienste, Telekommunikation und Verwaltung in Abhängigkeit ihrer Unternehmensgröße.

Erhöhte Sicherheitsanforderungen: Unternehmen müssen spezifische Maßnahmen und Prozesse zu Risikomanagement- und Incident-Response einführen. Dies umfasst nicht nur technische Sicherheitsmaßnahmen wie Firewalls oder Intrusion Detection Systeme, sondern auch organisatorische Maßnahmen wie Mitarbeiterschulungen oder Business-Continuity-Management.

Meldepflichten: Unternehmen müssen bei Vorfällen eine Meldepflicht erfüllen, um sicherzustellen, dass relevante Behörden schnell über Bedrohungen informiert werden und entsprechende Gegenmaßnahmen ergriffen werden können.

Verstärkter Informationsaustausch: Die Richtlinie fördert eine engere Zusammenarbeit zwischen den Mitgliedstaaten, insbesondere durch die Einrichtung eines EU-weiten Netzwerks von Computer Emergency Response Teams (CSIRT). Ziel ist es, Informationen über Bedrohungen und Vorfälle schneller und effizienter auszutauschen.

Für welche Unternehmen gilt NIS2?

Die NIS2-Richtlinie betrifft eine Vielzahl von Branchen und Unternehmen, die als besonders kritisch für das Funktionieren der Gesellschaft und Wirtschaft angesehen werden. Im Vergleich zur NIS1-Richtlinie wurde der Anwendungsbereich deutlich erweitert, sodass nicht nur Betreiber kritischer Anlagen und Dienste, sondern auch eine größere Bandbreite an Unternehmen in verschiedenen Sektoren erfasst sind. Die Sektoren werden nach Kritikalität unterschieden. Diese Kritikalität entscheidet zusammen mit der Größe der Unternehmen über Art und Umfang der im Gesetz geforderten Maßnahmen.

1. Sektoren hoher Kritikalität

Diese besonders wichtigen Unternehmen sind von großer Bedeutung für die Aufrechterhaltung der Sicherheit sowie des wirtschaftlichen und sozialen Lebens.

      Energie (sofern nicht §5c EnWG relevant):

      • Betreiber von Elektrizitätsnetzen
      • Öl- und Gasunternehmen (Transport, Lagerung, Verteilung)
      • Stromerzeuger
      • Unternehmen der erneuerbaren Energien

      Wasser:

      • Betreiber von Trinkwasser- und Abwassersystemen

      Finanzwesen (sofern nicht DORA relevant):

      • Kreditinstitute und Zahlungsdienstleister
      • Betreiber von Handelsplätzen (Börsen)
      • Wertpapierabwicklungsdienstleister
      • Zentralverwahrer und Clearingstellen

      Digitale Infrastruktur:

      • Anbieter von Internetknotenpunkten
      • Domain Name System (DNS) Dienstleister
      • Cloud-Dienste und Rechenzentren
      • Betreiber von Netz- und Informationssystemen

      Gesundheit:

      • Krankenhäuser und Gesundheitsdienstleister
      • Hersteller von medizinischen Geräten und Arzneimitteln
      • Unternehmen, die digitale Gesundheitsdienste bereitstellen (Telemedizin, elektronische Patientenakten)

      Transport und Verkehr:

      • Betreiber von Flughäfen, Häfen und Seehäfen
      • Luftfahrtgesellschaften
      • Eisenbahnbetreiber und Betreiber von Schienennetzen
      • Betreiber von Straßeninfrastruktur und Straßenverkehrsmanagement
      • Reedereien und Logistikunternehmen

      Weltraum

      2. Sonstige kritische Sektoren

      Diese wichtigen Unternehmen haben ebenfalls eine bedeutende Rolle, sind jedoch in ihrer Kritikalität niedriger eingestuft als besonders wichtige Unternehmen.

        Anbieter digitale Dienste:

        • Online-Marktplätze (z. B. E-Commerce-Plattformen)
        • Cloud-Computing-Anbieter und Betreiber von Plattformdiensten
        • Suchmaschinenanbieter
        • Anbieter sozialer Netzwerke

        Produktion, Verarbeitung und Vertrieb von Lebensmitteln:

        • Unternehmen der Lebensmittelproduktion und -verarbeitung
        • Unternehmen des Lebensmittelvertriebs (Großhändler, Supermärkte)

        Produktion, Herstellung und Handel mit chemischen Stoffen:

        • Unternehmen, die chemische Produkte herstellen, verarbeiten oder vertreiben (insbesondere Chemikalien, die für die Versorgung von Industrie und Landwirtschaft notwendig sind)

        Transport und Verkehr:

        • Post- und Kurierdienste

        Abfallbewirtschaftung:

        • Unternehmen, die sich mit der Sammlung, Lagerung und Entsorgung von Abfällen befassen

        Verarbeitendes Gewerbe/Herstellung von Waren:

        • Herstellung von Medizinprodukten und In-vitro Diagnostika
        • Maschinenbau
        • Herstellung von elektrischen Ausrüstungen

        Forschung

        Kriterien zur Anwendung in Bezug auf die Unternehmensgröße

        NIS2 legt auch in Bezug auf die Größe von Unternehmen Kriterien fest, um sicherzustellen, dass alle relevanten Einrichtungen erfasst werden und die wichtigen und besonders wichtigen Unternehmen die Sicherheitsanforderungen einhalten.

        Für die Betreiber kritischer Anlagen gelten auch weiterhin die KRITIS-Regelungen. Zusätzlich gilt hier das KRITIS-Dachgesetz, das die EU RCE-Richtlinie in Deutschland umsetzt. Die Richtlinie gilt für Unternehmen in den Sektoren, die für die Aufrechterhaltung der Sicherheit in Europa als kritisch angesehen werden.

        Kriterien zur Anwendung in Bezug auf die Unternehmensgröße:

        1. Große Unternehmen:
        Unternehmen mit mindestens 250 Mitarbeitern, einem Jahresumsatz von mindestens 50 Millionen Euro oder einer Jahresbilanzsumme von mindestens 43 Millionen Euro und der Zugehörigkeit zu einem der Sektoren werden als besonders wichtig eingestuft.

          2. Mittelgroße Unternehmen:
          Unternehmen mit mindestens 50 Mitarbeitern, einem Jahresumsatz oder einer Jahresbilanzsumme von mindestens 10 Millionen Euro und der Zugehörigkeit zu einem der Sektoren werden als wichtig eingestuft.

          3. Größenunabhängige Unternehmen:
          Betreiber von Vertrauensdiensten, Telekommunikationsanbieter, TLD-Registries, DNS-Dienste, qTSP

          Unternehmen mit weniger als 50 Mitarbeitern oder weniger als 10 Millionen Euro Umsatz/Jahresbilanzsumme sind im allgemeinen von der NIS2-Richtlinie ausgenommen. Es sei denn, sie erbringen Dienstleistungen oder betreiben Systeme, die für kritische Infrastrukturen oder Sektoren von großer Bedeutung sind.

          Ausnahmen

          Die Unternehmen in den Sektoren Energie, Telekommunikation und Finanzwesen werden zusätzlich durch eigene Gesetze reguliert. Um eine Mehrfachregulierung zu vermeiden, gelten Ausnahmeregelungen von NIS2 für:

          • Betreiber öffentlicher Telekommunikationsnetze oder -diensten,
          • Betreiber von Energieversorgungsnetzen, wenn sie dem Energiewirtschaftsgesetz unterliegen,
          • Unternehmen, für die die Anforderungen aus der EU DORA gelten.

          Anforderungen an Unternehmen

          Unternehmen, die unter das NIS2-Umsetzungsgesetz fallen, müssen eine Reihe von Mindestanforderungen erfüllen, um die Cybersicherheit zu gewährleisten. Dazu gehören:

          Risikomanagement-Maßnahmen: Unternehmen müssen ein System zur Identifizierung, Bewertung und Bewältigung von Risiken einführen. Dazu gehören unter anderem Firewalls, Verschlüsselungstechnologien und Authentifizierungsverfahren. Im Detail müssen Unternehmen Risikobewertungen durchführen, um die spezifischen Bedrohungen für ihre Dienste zu identifizieren. Basierend auf diesen Bewertungen sollten angemessene Sicherheitsmaßnahmen implementiert werden, die den aktuellen und potenziellen Risiken gerecht werden.

          Schutz vor Cyberangriffen: Unternehmen sind verpflichtet, Maßnahmen zu ergreifen, die die Wahrscheinlichkeit von Angriffen minimieren. Dazu zählen technische Sicherheitslösungen sowie organisatorische Maßnahmen wie regelmäßige Schulungen und Sensibilisierungsprogramme für Mitarbeiter.

          Vorfallmanagement: Unternehmen müssen in der Lage sein, Vorfälle schnell und effektiv zu erkennen und zu bewältigen. Ein Notfallplan zur Wiederherstellung des Betriebs nach einem Angriff muss vorhanden sein.

          Kontinuierliche Überwachung: Die Sicherheitssysteme müssen kontinuierlich überwacht und regelmäßig aktualisiert werden, um auf neue Bedrohungen und Schwachstellen reagieren zu können.

          Dokumentation: Alle getroffenen Sicherheitsmaßnahmen und Vorfälle müssen dokumentiert werden, um im Falle einer Untersuchung oder Prüfung durch die zuständigen Behörden Nachweise vorlegen zu können.

          Welche Meldepflichten gibt es bei NIS2?

          Eine der zentralen Neuerungen der Richtlinie sind die verschärften Meldepflichten bei Sicherheitsvorfällen. Unternehmen, die unter die Richtlinie fallen, müssen sicherstellen, dass sie Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Verfügbarkeit, Integrität oder Vertraulichkeit von Netz- und Informationssystemen haben, unverzüglich melden.

          Konkret gelten folgende Meldepflichten:

          Frühwarnung: Innerhalb von 24 Stunden nach einem Vorfall muss eine erste Information an die zuständige nationale Behörde oder das zuständige CSIRT (Computer Security Incident Response Team) erfolgen. Diese Meldung muss Details zum Vorfall, dessen potenziellen Auswirkungen und die bereits ergriffenen Gegenmaßnahmen enthalten.

          Vorläufiger Bericht: Innerhalb von 72 Stunden nach der Entdeckung eines Vorfalls muss ein detaillierter Bericht vorgelegt werden, der weitere Informationen zum Vorfall und zu den bereits eingeleiteten Abhilfemaßnahmen enthält.

          Abschlussbericht: Nach Abschluss der Vorfallsbearbeitung muss ein Bericht vorgelegt werden, in dem die ergriffenen Maßnahmen und die künftigen Präventionsstrategien dargestellt werden.

          Die Meldungspflichten sind entscheidend, um eine schnelle Reaktion auf Cyberangriffe zu ermöglichen und gleichzeitig eine Informationsbasis für die nationalen Behörden zu schaffen, um umfassende Analysen durchzuführen und koordinierte Gegenmaßnahmen zu ergreifen.

          Was sind die Sanktionen bei Nichteinhaltung?

          Die Richtlinie sieht strenge Sanktionen für Unternehmen vor, die ihren Pflichten nicht nachkommen. Die Höhe der Strafen kann je nach Art des Verstoßes und der betroffenen Branche variieren, aber die Grundprinzipien für Sanktionen sind in der Richtlinie klar geregelt.

          Mögliche Sanktionen umfassen:

          Hohe Geldstrafen: Bei schweren Verstößen gegen die NIS2-Vorgaben können Unternehmen mit erheblichen Geldstrafen belegt werden. Diese können je nach Eingliederung des Unternehmens in eine wesentliche oder wichtige Einrichtung und nach der schwere und Art des Vorfalls folgende Summen betragen.

          • Geldbußen bei wesentlichen Einrichtungen:
            • Höchstbetrag von 10 Millionen Euro oder 2% des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes
          • Geldbußen bei wichtigen Einrichtungen:
            • Höchstbetrag von 7 Millionen Euro oder 1,4% des gesamten weltweiten Umsatzes des vorangegangenen Geschäftsjahres

          Verwaltungsmaßnahmen: Neben Geldstrafen können Unternehmen, die wiederholt gegen die NIS2-Richtlinie verstoßen, auch andere Sanktionen erfahren, wie zum Beispiel die Auferlegung zusätzlicher Sicherheitsauflagen, Überprüfungen durch nationale Behörden oder sogar der Entzug bestimmter Lizenzen.

          Persönliche Haftung: Führungskräfte von Unternehmen können persönlich haftbar gemacht werden, wenn nachgewiesen wird, dass sie Sicherheitsrisiken bewusst ignoriert oder fahrlässig gehandelt haben.

          Proaktive Cybersicherheit und gesetzliche Konformität: NIS2 fordert Unternehmen heraus

          Die Einführung von NIS2 stellt eine bedeutende Weiterentwicklung der Sicherheitsvorgaben innerhalb der EU dar. Unternehmen sind nun stärker gefordert, sich proaktiv mit dem Thema Cybersicherheit auseinanderzusetzen, um nicht nur die Einhaltung der gesetzlichen Vorgaben sicherzustellen, sondern auch ihre Geschäftstätigkeit und die ihrer Kunden vor den zunehmenden Bedrohungen im digitalen Raum zu schützen.

          Mit der Einführung verschärfter Meldepflichten und strengerer Sanktionen setzt die EU ein klares Signal: Cybersicherheit hat höchste Priorität, und Unternehmen, die dies nicht ernst nehmen, müssen mit empfindlichen Strafen rechnen. Durch die Anpassung an die neuen Anforderungen handeln Unternehmen nicht nur gesetzeskonform, sondern erhöhen auch ihre eigene Widerstandsfähigkeit gegen Bedrohungen.

          Eine Lösung die Anforderungen der NIS2-Richtlinie umzusetzen ist unsere Plattform VASGARD/IAN. Sie bietet nicht nur eine Vielzahl an Funktionalitäten und Automatisierungen für das IT-Risikomnamanagement, Business Continuity Management und die Dokumentation, sondern ist auch so flexibel aufgebaut, um spezifische Anforderungen eines Unternehmens zu erfüllen.  

          Zurück zur Übersicht