NIS 2: Wer ist betroffen und was ändert sich?
Die neue EU-weite NIS-2-Richtlinie verschärft die Anforderungen an Cybersicherheit und betrifft zahlreiche Organisationen in Deutschland und der EU. Erfahren Sie, welche Organisationen von NIS 2 betroffen sind, welche konkreten Maßnahmen zu ergreifen sind und welche Konsequenzen bei Nichteinhaltung drohen.
NIS-2-Richtlinie: Die Bedeutung der Cybersicherheit in der EU
Angesichts der zunehmenden Verschärfung der Cyberbedrohungslage in der Europäischen Union wird die Situation immer ernster. Viele Unternehmen sind von fortschrittlicheren und komplexeren Cyberangriffen betroffen. Ohne tiefgreifende Änderungen erscheint eine Verbesserung der Gefährdungslage kaum realistisch. Täglich werden neue Angriffe gemeldet, die erhebliche Schäden zur Folge haben. In Deutschland allein beliefen sich die durch Cyberkriminalität verursachten Verluste im vergangenen Jahr auf über 148 Milliarden Euro. Diese besorgniserregende Entwicklung unterstreicht die dringende Notwendigkeit einer umfassenden, europaweiten Strategie zur Stärkung der Cybersicherheit. Genau zu diesem Zweck wurde die NIS-2-Richtlinie entwickelt.
Was ist NIS 2?
Der Name der Richtlinie gibt bereits einen ersten Aufschluss: NIS steht für „Network and Information Security“, und die „2“ signalisiert die Weiterentwicklung der im Jahr 2016 von der Europäischen Union eingeführten ursprünglichen NIS-Richtlinie zur Netzwerk- und Informationssicherheit. Das Ziel ist, den fortlaufend sich weiterentwickelnden Strategien von Cyberkriminellen entgegenzuwirken. Dabei soll das Cybersicherheitsniveau in der gesamten EU nicht nur gestärkt, sondern auch vereinheitlicht werden.
Bei der NIS-2-Richtlinie handelt es sich allerdings zunächst einmal um eine EU-Richtlinie, die im nächsten Schritt noch von den einzelnen EU-Mitgliedstaaten in nationales Recht umgesetzt werden muss – die Frist hierfür ist der 17. Oktober 2024. In Deutschland wird die Umsetzung im Rahmen des „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ (NIS2UmsuCG) erfolgen.
Bereits in diesem Entwurf wird jedoch deutlich, dass auch in Deutschland die Anforderungen an die Cybersicherheit deutlich steigen werden und sich auch der bestehende Regelungsrahmen für bestimmte Einrichtungen, wie z.B. für Betreiber kritischer Infrastrukturen (KRITIS), erheblich ändern wird.
NIS 2 vs. NIS 1: Wichtige Unterschiede
Die ursprüngliche NIS-1-Richtlinie verfolgte das Ziel, ein hohes Cybersicherheitsniveau in der EU zu gewährleisten, ist jedoch nun auch schon einige Jahre alt und stieß vor allem aufgrund verschiedener Schwächen an ihre Grenzen. Diese Lücken werden in der NIS-2-Richtlinie bzw. dem NIS-2-Umsetzungsgesetz in Deutschland durch eine Reihe von Optimierungen adressiert.
Im Gegensatz zur ersten Version legt NIS 2 vor allem deutlich konkretere und detailliertere Anforderungen fest, insbesondere in Bezug auf das Risikomanagement, die Erkennung von Sicherheitsvorfällen und die Erfüllung von Berichtspflichten. Ein wesentlicher Fortschritt der NIS-2-Richtlinie ist die verstärkte Zusammenarbeit mit nationalen Behörden, die nun eine strengere Überwachung und Durchsetzung der Maßnahmen vornehmen dürfen. Zudem wurden die Strafen und Sanktionen bei Nichteinhaltung der Vorgaben erheblich verschärft, was den Handlungsdruck auf betroffene Organisationen erhöht. Darüber hinaus erweitert NIS 2 auch den Kreis der betroffenen Organisationen erheblich, indem nicht nur weitere Branchen in den Anwendungsbereich fallen, sondern indirekt auch weitere Unternehmen, wie z.B. (IT-)Dienstleister, die durch den erweiterten Fokus auf das Thema „Sicherheit in der Lieferkette“ ebenfalls mit erhöhten Sicherheitsanforderungen konfrontiert werden.
NIS 2: Wer ist betroffen?
Der Anwendungsbereich der NIS-2-Richtlinie erstreckt sich weit über den bisherigen Regelungsrahmen für Betreiber Kritischer Infrastrukturen (KRITIS) hinaus und soll insgesamt 18 Sektoren umfassen, die in wichtige und besonders wichtige Einrichtungen sowie Betreiber kritischer Anlagen (KRITIS-Betreiber) unterteilt werden. Zu den betroffenen Organisationen zählen unter anderem Unternehmen und Betreiber aus den Bereichen Energie, Transport/Verkehr, Finanzwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser/Abwasser, digitale Infrastruktur und Weltraum. Ebenso werden auch Bundeseinrichtungen, wie zum Beispiel einige Bundesbehörden, mit entsprechenden Pflichten reguliert.
Es ist allerdings zu beachten, dass nicht automatisch alle Organisationen in den genannten Sektoren unter die NIS-2-Richtlinie fallen, da auch die Größe der jeweiligen Organisation eine gewisse Rolle spielt. In den meisten Fällen reicht jedoch bereits eine Mitarbeiterzahl über 50 oder ein Jahresumsatz von über 10 Millionen Euro aus, um betroffen zu sein. Darüber hinaus gibt es teilweise Ausnahmen, nach denen Unternehmen unabhängig von ihrer Größe der Richtlinie bzw. dem deutschen Umsetzungsgesetz unterliegen.
Daher ist es entscheidend, dass sich Organisationen frühzeitig mit der Frage ihrer Betroffenheit auseinandersetzen und proaktiv prüfen, ob sie unter den Anwendungsbereich des NIS-2-Umsetzungsgesetzes fallen, da keine Benachrichtigung durch Dritte erfolgt. Vielmehr besteht eine sogenannte Registrierungspflicht, die die betroffenen Organisationen dazu verpflichtet, sich selbst beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren.
NIS-2-Anforderungen: Was Unternehmen jetzt tun müssen
Betroffene Organisationen sind dazu verpflichtet, eine Reihe von Maßnahmen umzusetzen, um den Anforderungen der NIS-2-Richtlinie gerecht werden. Dazu gehört die Erstellung von Risikoanalysekonzepten, die es ermöglichen, potenzielle Risiken frühzeitig zu erkennen und zu bewerten. Darüber hinaus müssen sich die Organisationen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und – sofern sie als KRITIS eingestuft sind – regelmäßig einen Nachweis über ihre IT-Sicherheitsvorkehrungen vorlegen. Eine zentrale Kontaktstelle muss benannt werden, die als Ansprechpartner für alle Cybersicherheitsfragen dient, und es sind Meldepflichten für Sicherheitsvorfälle einzuhalten.
Die jeweiligen Fristen für die Meldepflichten der betroffenen Organisationen werden durch NIS 2 ebenfalls nochmals deutlich konkretisiert. So ist ein dreistufiges Meldeverfahren vorgesehen: Beginnend mit einer Erstmeldung spätestens 24 h nach Bekanntwerden eines Sicherheitsvorfalls, über eine Folgemeldung mit Bewertung der Erstmeldung (Schwere, Auswirkungen und Kompromittierung) nach spätestens 72 h bis zu einer Abschlussmeldung innerhalb eines Monats.
Um Vorfälle melden zu können, muss es in logischer Konsequenz – aber auch explizit noch einmal durch das NIS-2-Umsetzungsgesetz gefordert – auch Verfahren zur Erkennung und Bewältigung von Sicherheitsvorfällen geben, um im Ernstfall schnell und effektiv reagieren zu können.
Weitere wichtige Maßnahmen umfassen die Sicherstellung von Cyberhygiene, die Schulung von allen Mitarbeitenden zu Themen der Informationssicherheit, den Einsatz von Verschlüsselungsmechanismen sowie die Implementierung von Multi-Faktor-Authentifizierung (MFA).
Einen detaillierteren Überblick über die Anforderungen von NIS 2 und vor allem konkrete Maßnahmen zu deren Erfüllung geben wir Ihnen in unserem Webinar „Anforderungen von NIS 2 & Co. in der Praxis umsetzen“. Weiterhin bieten wir Ihnen hilfreiche Praxistipps und Best Practices für eine effiziente und konsistente Umsetzung der neuen Sicherheitsanforderungen, beispielsweise im Rahmen einer GAP-Analyse oder eines Mappings der NIS-2-Anforderungen mit ISMS-Standards wie der ISO 27001.
NIS-2-Umsetzung: Auswirkungen auf betroffene Branchen
Die Umsetzung der NIS-2-Richtlinie birgt für viele Organisationen neue Herausforderungen. Neben dem zeitlichen Faktor ist der erhöhte Ressourcenbedarf, sowohl finanziell als auch personell, eine der größten Hürden. Unternehmen müssen höhere Compliance-Kosten tragen, um die Anforderungen zu erfüllen und die NIS-2-Maßnahmen vollständig umzusetzen – darunter beispielsweise Investitionen in neue Sicherheitstechnologien sowie Schulungen und Sensibilisierungsmaßnahmen für das Personal und Führungskräfte.
Andererseits bietet die Umsetzung von NIS–2-Anforderungen gleichzeitig die Chance, die Sicherheitslage Ihrer Organisation deutlich zu verbessern, das Risiko potenzieller Verluste und Reputationsschäden durch Cyber-Angriffe zu minimieren und das Vertrauen von Kunden und Geschäftspartnern durch verbesserte Sicherheitsstandards nachhaltig zu fördern.
Welche Sanktionen drohen bei Nichtbeachtung der NIS-2-Anforderungen?
Gemäß § 65 des NIS-2-Umsetzungsgesetzes werden die bestehenden „KRITIS-Bußgelder“ um diverse Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht.
Organisationen, die den Anforderungen der NIS-2-Richtlinie nicht oder nur unzureichend nachkommen, müssen mit verschärften Sanktionen rechnen, die je nach Art der Organisation und nationalem Umsetzungsgesetz variieren. In Deutschland drohen besonders wichtigen Einrichtungen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Vorjahresumsatzes, sofern dieser mehr als 500 Millionen Euro beträgt. Für wichtige Einrichtungen können Bußgelder von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Vorjahresumsatzes verhängt werden, sofern dieser ebenfalls über 500 Millionen Euro liegt.
NIS-2-Richtlinie: Vorbereitet in die Umsetzung
Die NIS-2-Richtlinie stellt erweiterte und strengere Anforderungen an die Cybersicherheit in der EU und betrifft eine Vielzahl von Unternehmen und Organisationen. Besonders wichtige und wichtige Einrichtungen sowie Betreiber Kritischer Anlagen sind verpflichtet, umfassende technische und organisatorische Maßnahmen umzusetzen. Allein in Deutschland werden Schätzungen zufolge zwischen 30.000 und 60.000 Organisationen direkt vom NIS2UmsuCG betroffen sein. Durch den zusätzlichen Fokus auf Sicherheit in der Lieferkette und Sicherheitsmaßnahmen bei der Beschaffung von IT-Komponenten wird zudem eine Reihe von Zulieferern und (IT-)Dienstleistern indirekt die Auswirkungen von NIS-2 zu spüren bekommen und sich ebenfalls mit erhöhten Sicherheitsanforderungen konfrontiert sehen.
Durch die deutlich verschärften Sanktionen bei Nichteinhaltung, die abhängig von der Größe der Organisation erheblich sein können, und die Haftung von Geschäftsführern steigt der Handlungsdruck für Organisationen in ganz Deutschland. Trotz der beträchtlichen Herausforderungen, wie der erhöhten Compliance-Kosten und des Ressourcenbedarfs, bietet die NIS-2-Richtlinie allerdings auch die Chance, die Sicherheitslage zu verbessern, Vertrauen bei Kunden und Partnern zu stärken und insgesamt das Risiko von Cyberangriffen zu minimieren.
Unabhängig davon, ob Sie direkt oder indirekt von NIS 2 betroffen sind oder einfach die Möglichkeit nutzen wollen, das Sicherheitsniveau Ihrer Organisation proaktiv zu erhöhen und auf ein angemessenes Niveau zu bringen – das Seminar „Anforderungen von NIS 2 & Co. in der Praxis umsetzen“ bietet Ihnen einen praxisnahen Einstieg in die Thematik und zeigt auf, wie Sie vorgehen sollten, um sowohl kurz- als auch langfristig einen effektiven Sicherheitsprozess und angemessene Schutzmaßnahmen in Ihrer Organisation zu etablieren.
