Einfluss und Umfang von NIS2

Die NIS2-Richtlinie der EU wird in naher Zukunft für eine Vielzahl von Unternehmen und Organisationen in europäisches Recht umgesetzt. Die Richtlinie enthält strengere gesetzliche Anforderungen an die Netzwerk- und Informationssicherheit in ausgewählten Bereichen.

Hier erfahren Sie mehr über den Einfluss und Umfang von NIS2.

Was ist NIS2 und warum gibt es eine neue Richtlinie?

NIS2 ist der Nachfolger der ursprünglichen Richtlinie für Netzwerk- und Informationssicherheit (NIS) aus dem Jahr 2016. Die Hintergründe für die Überarbeitung der Richtlinie liegen in den zunehmenden Cyberbedrohungen, die eine Gefahr für die Effizienz des Binnenmarktes darstellen. Diese Bedrohungen und die Akteure dahinter reichen von einfachen Amateuren über Cyberkriminelle bis hin zu staatlich unterstützten Akteuren.

Die Schäden, die diese Bedrohungen verursachen können, können sich über anfällige Lieferketten und kritische Infrastrukturen ausbreiten und somit Gesellschaft, Wirtschaft und Unternehmen schwerwiegend beeinträchtigen. Daher besteht ein Bedarf an einem neuen und einheitlichen Schutzniveau.

Die überarbeitete NIS2-Richtlinie zielt darauf ab, Folgendes sicherzustellen:

  • Eine einheitliche Auswahl relevanter Bereiche in der gesamten EU.
  • Konsistenz in den Sicherheitsanforderungen.
  • Einheitliche Handhabung schwerwiegender Cyber-Vorfälle.

Wann soll NIS2 in der Gesetzgebung umgesetzt werden?

Die Richtlinie soll bis Oktober 2024 in der Gesetzgebung umgesetzt werden, und anschließend müssen die betroffenen Unternehmen die Einhaltung der Richtlinie sicherstellen. Es wurde noch kein konkreter Zeitplan von den Behörden bekannt gegeben.

Was ist der Unterschied zwischen NIS und NIS2?

Es gibt mehrere Änderungen im Vergleich zur vorherigen NIS-Richtlinie. Die Änderungen lassen sich unterteilen in solche, die Einfluss auf nationale Behörden haben, und solche, die Einfluss auf einzelne Unternehmen haben.

Für nationale Behörden gibt es mehrere Änderungen und Initiativen, die die Zusammenarbeit über Grenzen hinweg in der EU stärken. Dies umfasst die Einrichtung von Organisationen, die an präventiven Maßnahmen arbeiten, einschließlich enger Zusammenarbeit mit ENISA (European Network and Information Security Agency), sowie korrektiven Maßnahmen, die sicherstellen, dass schwerwiegende Cyber-Vorfälle auf EU-Ebene durch eine neu geschaffene Einrichtung namens "EU CyCLONe" (Cyber Crises Liaison Organization Network) gemanagt werden können.

Für Organisationen und Unternehmen beziehen sich die Änderungen auf vier Bereiche:

  1. Risikomanagement und Sicherheitsmaßnahmen
    Es gibt strengere Anforderungen, dass Kontrollmaßnahmen auf Risikobewertungen basieren.

  2. Meldepflichten für NIS2
    Es gibt einheitliche Anforderungen hinsichtlich des Zeitpunkts und der Empfänger für die Meldung eines Cyber-Vorfalls. Der Vorfall muss der Aufsichtsbehörde innerhalb von 24 Stunden gemeldet werden, wenn er als kritisch eingestuft wird. Ein Bericht, der den Vorfall zusammenfasst und wie er behandelt wurde, muss innerhalb von 72 Stunden vorgelegt werden. Schließlich muss ein Abschlussbericht innerhalb eines Monats eingereicht werden.
    Meldepflichten für NIS2
  3. Engagement des Managements
    Es wird ein größerer Schwerpunkt auf das Verständnis des Managements für die Prävention und Behandlung von Cyber-Vorfällen gelegt, sowohl auf nationaler Ebene als auch innerhalb der Unternehmen. Das bedeutet, dass Mitglieder der Unternehmensleitung gemäß der NIS2-Richtlinie direkt und persönlich für Sicherheitsverletzungen zur Verantwortung gezogen werden können.

  4. Aufsicht, Durchsetzung und Sanktionen
    Ähnlich wie bei der DSGVO besteht die Möglichkeit, Geldstrafen gegen Organisationen und Unternehmen bei Nicht-Einhaltung zu verhängen. Organisationen oder Unternehmen können potenziell mit Geldstrafen von bis zu 10 Millionen Euro oder 2 % des jährlichen weltweiten Umsatzes des Unternehmens konfrontiert werden.

Was bedeutet NIS2 für Sie als Informationssicherheitsbeauftragter?

Wenn Ihr Unternehmen der NIS-Richtlinie unterliegt und daher NIS2-konform sein muss, haben Sie möglicherweise viele Fragen, die Sie beantwortet haben möchten.

  1. Was wird als Nächstes passieren?
  2. Wo sollten Sie zusätzliche Informationssicherheits-Ressourcen zuweisen?
  3. Wie machen Sie es richtig und effektiv?
  4. Welche Konsequenzen hat es, wenn Sie die NIS2-Frist nicht einhalten?

Die gute Nachricht ist, falls Sie bereits mit der ISO 27001/2 arbeiten und Ihr Unternehmen den NIS2-Anforderungen unterliegt, ist die Umsetzung etwas leichter. Denn wenn Sie die ISO 27001/2 einhalten, haben Sie schon erhebliche Fortschritte bezüglich der NIS2-Konformität gemacht.

Wenn Sie noch nicht mit der ISO 27001/2 arbeiten, sollten Sie genau damit anfangen. Wir können Sie dabei unterstützen. Vereinbaren Sie ein unverbindliches Meeting mit uns.

Wenn Sie mehr über die Maßnahmen lesen möchten, die Sie als Informationssicherheitsbeauftragter berücksichtigen sollten, sofern Sie den NIS2-Vorschriften unterliegen, lesen Sie den Artikel "Welche Einfluss wird NIS2 auf den ISB/CISO haben?"

Wer ist für die NIS2-Aufsicht über Unternehmen verantwortlich?

Derzeit besteht sektorale Verantwortung für die Verhinderung von Cyber-Vorfällen, wie sie heute praktiziert wird. In Zukunft wird der BSI als Aufsichtsbehörde die Aufsicht über die Betreiber übernehmen. Von dieser oder anderen von der EU organisierten Wissens- und Kompetenzzentren werden auch Anleitungen und Beratungen erwartet.

Welche Bereiche und Unternehmen fallen unter die NIS2-Richtlinie?

NIS2 hat verschiedene Kriterien für die Bestimmung, wer von der Richtlinie betroffen ist. Ihr Unternehmen fällt unter die NIS2-Richtlinie, wenn es in eine der folgenden Kategorien fällt:

  • Kriterien für bedeutende oder wesentliche Organisationen und Unternehmen.
  • Größenkriterien.
  • Wenn Ihr Unternehmen Lieferant eines Unternehmens ist, das in die ersten beiden Kategorien fällt.

Kriterien für bedeutende oder wesentliche Organisationen und Unternehmen:

Die folgenden Bereiche und Branchen wurden in die Kategorie bedeutende Organisationen und Unternehmen aufgenommen:

  • Energie
  • Transport
  • Finanzinstitute
  • Marktinfrastruktur
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur und Anbieter
  • Öffentliche Verwaltung
  • Raumfahrtaktivitäten

Für die Kategorie wesentliche Organisationen und Unternehmen wurden die folgenden Bereiche und Branchen ausgewählt:

  • Postdienste
  • Abfallwirtschaft
  • Chemische Produkte
  • Herstellung, Vertrieb und Produktion von Lebensmitteln
  • Herstellung und Produktion von Arzneimitteln, Elektronik, optischen Geräten, Maschinen, Fahrzeugen

Größenkriterien:

Die Größenkriterien schreiben vor (mit wenigen Ausnahmen), dass ein Unternehmen von NIS2 betroffen ist, wenn alle drei der folgenden Kriterien erfüllt sind:

  • Das Unternehmen fällt in die oben genannten Bereiche.
  • Das Unternehmen hat mehr als 50 Mitarbeiter.
  • Das Unternehmen hat einen Jahresumsatz von über 10 Millionen Euro.

Sie könnten indirekt von NIS2 betroffen sein, wenn...

Bitte beachten Sie, dass Sie indirekt von der Richtlinie betroffen sein können, auch wenn Sie nicht in die oben genannten Bereiche fallen.
Dies gilt in Fällen, in denen Sie kritische Dienstleistungen erbringen oder an bedeutende oder kritische Unternehmen liefern.
Mit anderen Worten, wenn Sie ein Unterauftragnehmer eines von NIS2 betroffenen Unternehmens sind.

 

Erfahren Sie hier, was NIS2 für Sie als Informationssicherheitsbeauftragter/CISO bedeutet.

taylorwessing
burckhardt compression
a.hartrodt GmbH & Co. KG
gkk DialogGroup GmbH
Guest-One GmbH
Triology GmbH
kaemi-1
logo