Ihre Sicherheit und Compliance

– auf Autopilot

Mit TrustSpace automatisieren Sie das Management Ihrer Informationssicherheit.

Ihre All-in-One Lösung für IT Compliance.

Kostenloses Erstgespräch

Die NIS 2 – Was steckt hinter der EU-Direktive?

Wenn es um Cybersecurity geht, fällt nicht selten der Begriff NIS2. Doch was verbirgt sich hinter der EU-Direktive, die zu Beginn des Jahres in Kraft getreten ist?
NIS 2

Wenn es um Cybersecurity geht, fällt nicht selten der Begriff NIS2. Doch was verbirgt sich hinter der EU-Direktive, die zu Beginn des Jahres in Kraft getreten ist?

 

Als europäischer Rahmen für Betreiber kritischer Infrastrukturen, legt die NIS2 Cybersecurity-Maßnahme fest, die von Unternehmen bestimmter Sektoren umgesetzt werden müssen. Da sich die Anwendbarkeit im Vergleich zur NIS-Direktive von 2016 enorm erweitert hat, stehen nun viele, insbesondere mittelständische Unternehmen, in der Pflicht (erstmals) ausgewählte Sicherheitsmaßnahen umzusetzen.

Was ist die NIS 2 eigentlich?

Grundsätzlich ist die NIS2 die Antwort auf die zunehmend aggressiven Cyberattacken, insbesondere auf Betreiber kritischer Infrastrukturen. Durch die Schaffung einer einheitlichen Rechtsgrundlage und konkrete Anforderungen, sollen Netzwerke und Informationssysteme geschützt und die Cyberresilienz EU-weit gestärkt werden.

 

Nach Inkrafttreten der Direktive Mitte Januar, haben die EU-Mitgliedsstaaten 21 Monate Zeit, um die Vorgaben in nationales Recht zu überführen. 

Die NIS2 beschert Ihnen schon jetzt schlaflose Nächte?

Bereiten Sie Ihr Unternehmen optimal auf steigende Informationssicherheits-Anforderungen vor - mit unseren kostenlosen Guides.
Zum kostenlosen Download

Wen betrifft die NIS 2?

Generell betrifft die NIS2 18 Sektoren, die in elf „essenzielle“ und sieben „wesentliche“ Sektoren unterteilt werden. Darüber hinaus wird, entsprechend bestimmter Kennzahlen, zwischen großen und mittelgroßen Unternehmen unterschieden, wobei mittelgroße Unternehmen generell in den Rahmen der „wesentlichen“ Entitäten fallen. Im Folgenden haben wir eine Übersicht der Sektoren zusammengestellt: 

Essenzielle Sektoren:

  • Energie: Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff
  • Transport: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
  • Bankwesen: Kreditinstitute
  • Finanzmärkte: Handelsplätze, Zentrale Gegenpartien
  • Gesundheit: Gesundheitsdienstleister, EU-Labore, Medizinforschung, Pharmazeutik, Medizingeräte
  • Trinkwasser: Wasserversorgung
  • Abwasser: Abwasserentsorgung
  • Digitale Infrastruktur: Internet-Knoten (IXP), Cloud Provider, Rechenzentren, CNDs
  • ICT Service Management: Managed Service Provider, Managed Security Service Provider (B2B)
  • Öffentliche Verwaltung
  • Weltraum: Bodeninfrastruktur

Wesentliche Sektoren:

  • Post und Kurier: Postdienste
  • Abfall: Abfallwirtschaft
  • Chemikalien: Produktion / Herstellung / Handel
  • Lebensmittel: Produktion / Verarbeitung / Vertrieb
  • Industrie (Herstellung): Medizinprodukt, In-vitro, sowie NACE-Kategorien Elektronik, Optik, elektrische Ausrüstung, Maschinenbau, Kraftwagen und Teile, Fahrzeugbau
  • Digitale Dienste: Marktplätze, Suchmaschinen, Soziale Netzwerke
  • Forschung: Forschungsinstitute

Entsprechend der Zuordnung zu den Sektoren und der Einordnung als großes oder mittelgroßes Unternehmen, werden Organisationen entweder den “essenziellen” oder “wesentlichen” Entitäten zugeordnet. 

Essenzielle Entitäten:

Zu den essenziellen Entitäten zählen nicht nur große Unternehmen (> 250 Beschäftigte, > 50 Mio. EUR Umsatz, > 43 Mio. EUR Bilanz), die in den elf essenziellen Sektoren operieren, sondern auch weitere Organisationen, die unabhängig von ihrer Größe als „Essential Entity“ eingestuft werden. Dazu zählen:

  • Anbieter digitaler Infrastruktur, beispielsweise in den Bereichen der elektronischen Kommunikation oder Trust Service Provider (z.B. Anbieter digitaler Zertifikate)
  • Institutionen der öffentlichen Verwaltung (z.B. Zentralregierung, Regionalregierungen)
  • Etliche Sonderfälle, wie beispielsweise nationale Betreiber, die essentiell für Gesellschaft und Wirtschaft sind, Betreiber deren Ausfall verheerende Auswirkungen auf die öffentliche Sicherheit oder Gesundheit hätte oder ein signifikantes systemisches Risiko mit sich bringen würde
  • Kritische Entitäten, also Betreiber, die aktuell unter die EU RCE/CER (2022/2557) fallen
  • Sowie Betreiber, die aktuell noch unter die NIS-Direktive (2016) fallen

Wesentliche Entitäten:

Zu den wesentlichen Entitäten zahlen nicht nur große Unternehmen (>250 Beschäftigte, >50 Mio. EUR Umsatz, >43 Mio. EUR Bilanz), die in den sieben wesentlichen Sektoren operieren, sondern auch mittelgroße Organisationen (50-250 Beschäftigte, 10-50 Mio. EUR Umsatz, < 43 Mio. EUR Bilanz), die in allen 18 (sowohl wesentlichen, als auch essenziellen) Sektoren operieren. Auch hier werden weitere Organisationen, unabhängig ihrer Größe als Sonderfälle als wesentliche Entität eingestuft. Dabei gelten die gleichen Bedingungen, die auch für die Sonderfälle der essenziellen Entitäten festgelegt wurden.

Welche Anforderungen müssen von den Unternehmen umgesetzt werden?

Je nach Einführung als essenzielle oder wesentliche Entität, müssen Unternehmen eine Reihe von Cybersecurity-Mindestanforderungen umsetzen, deren Einhaltung dann durch die nationale Gesetzgebung überwacht wird.

Zu dem Maßnahmenkatalog gehören unter anderem:

  • Die Einführung von Richtlinien für Informationssicherheit und Risiken
  • Die Implementierung eines Incident-Managements, welches der Prävention, Identifizierung und Bewältigung von Cyber-Vorfällen dient
  • Einführung eines Business Continuity Managements, welches die Aufrechterhaltung der Geschäftsprozesse sichert (durch z.B. Backups und Krisenmanagement)
  • Durchführung von Cybersicherheits-Trainings
  • Einführung kryptographischer Maßnahmen
  • Einsatz von Authentifizierungsmaßnahmen (z.B. MFA und SSO)
  • Einrichtung einer Notfall-Kommunikation / Notfall-Kommunikationssysteme

Wie müssen Cyber-Vorfälle kommuniziert werden?

Vorfälle und Störungen müssen nicht nur an nationale Cybersecurity-Behörden, sondern auch die Empfänger der entsprechenden Dienstleistung (Kunden) kommuniziert werden. Die Besonderheit der NIS2 ist zudem, dass sie den EU-weiten Austausch entsprechender Informationen erleichtert und fördert. 

Wie wird die nationale Aufsicht der NIS 2 Richtlinie sichergestellt?

Durch die NIS2 werden nicht nur Anforderungen an Unternehmen in den essenziellen und wesentlichen gestellt, sondern auch an nationale Aufsichtsbehörden. Die Anforderungen können zudem auf freiwilliger Basis zusätzlich ergänzt werden.


Folgende Behörden sollen national designiert und ermächtigt werden:

  • Eine für Cybersecurity und deren Aufsicht zuständige Behörde, die auch als „Single Point of Contact“ genutzt wird
  • Ein nationales Krisenmanagement für die Bewältigung bestimmter Cybersecurity-Vorfällen
  • Ein nationales Computer Security Incident Response Team (CSIRT)

Zudem sollen die nationalen Behörden EU-weit kooperieren und eine enge Zusammenarbeit ermöglichen.

Wie sehen die Sanktionen bei Nicht-Einhaltung der NIS2

Im Unterschied zur ursprünglichen NIS-Direkte, die 2016 in Kraft trat, werden die Sanktionen durch die NIS2 deutlich verschärft. So können Unternehmen, die unter die Kategorie der essentielle Sektoren fallen, mit Strafen bis zu 10 Mio. EUR oder 2% des weltweiten Umsatzes rechnen, wenn sie die für sie notwendigen Maßnahmen nicht umsetzen oder Vorfälle nicht melden. Unternehmen, die in den wesentlichen Sektoren operieren, können mit Strafen bis zu 7 Mio. EUR oder 1,4% des weltweiten Umsatzes bei identischen Verstößen rechnen.

Wie unterscheidet sich die NIS2 von der NIS-Direktive (2016)?

Im Vergleich zur NIS-Direktive die 2016 in Kraft trat, wurden die Sektoren, die in den Rahmen der NIS2 fallen, deutlich erweitert. So umfasst die EU-Richtlinie nun 11 essenzielle und 7 wesentliche Sektoren, sodass alle Betreiber, die den Größenanforderungen entsprechen (oder als Sonderfall definiert werden), in den Geltungsbereich fallen. Eine weitere Neuheit sind die deutliche verschärften Sanktionen, die bei Missachtung oder Nicht-Einhaltung der Anforderungen greifen. Darüber hinaus gelten strengere Meldepflichten und verkürzte Fristen. Zudem werden Anforderungen ergänzt und konkretisiert, so werden beispielsweise regelmäßige Penetration Tests oder die Einführung von Systemen zur Meldung von Sicherheitsvorfällen verpflichtet. Des Weiteren wird die einheitliche Umsetzung und Kommunikation EU-weit gefördert.

Die NIS2 stellt Unternehmen vor neue Herausforderungen

Die NIS2 ist eine Chance die Cyberresilienz EU-weit zu stärken, um auf die erhöhte Bedrohungslage zu reagieren. Dennoch stellt die Richtlinie und die damit einhergehenden Anforderungen viele, vor allem mittelständische Unternehmen, die sich bislang nicht mit Cybersicherheit auseinandersetzen mussten, vor nicht unbeachtliche Herausforderungen.

Neben der eigenverantwortlichen Sicherstellung, ob die Vorschriften für das eigene Unternehmen relevant sind, müssen Unternehmen evaluieren welche Maßnahmen notwendig sind, um den gestiegenen Anforderungen gerecht zu werden. Darüber hinaus müssen für die Implementierung und Aufrechterhaltung ausreichend personelle, aber auch finanzielle Ressourcen zur Verfügung stehen. Für die Einhaltung der entsprechenden Fristen, aber auch die Konformität mit relevanten Anforderungen ist es essenziell, das Thema frühzeitig auf der Agenda zu haben.

 

Diese Themen könnten Sie auch interessieren...

Chausseestraße 16

10115 Berlin

info@trustspace.io

Über uns

Wer sind wir? 

Karriere

Blog 

Presse

Produkt

ISO 27001

Services zur TISAX 

C5

Hilfe & Service

FAQ

Kontakt 

Newsletter

Rechtliche Hinweise

Allgemeine Nutzungsbedingungen

Datenschutz

Cookies 

Impressum

Logo Allianz Cybersicherheit