NIS 2: Die neue EU-Richtlinie für Cybersicherheit im Überblick
Autor: Luca Cremer | 6. Februar 2023
Cyber-Bedrohungen nehmen stetig zu, Unternehmen müssen sich umfassender gegen Hackerattacken schützen. Die Richtlinien werden durch die NIS 2 vorgegeben. Welche Unternehmen betroffen sind und welche Anforderungen es zu erfüllen gilt, erfahren Sie hier.
Was ist NIS 2?
Das Modell zum Schutz sensibler Daten, die Datenschutz-Grundverordnung, wird auf die Cybersicherheit übertragen: 2016 verabschiedete die EU die erste Gesetzesgrundlage für Netzwerk- und Informationssysteme (NIS) mit dem Ziel, die Zusammenarbeit zwischen den EU-Ländern in der wichtigen Frage der Cybersicherheit zu verstärken.
Die EU NIS2 ist der Nachfolger der NIS und legt den Mindeststandard für Cyber Security für Mitglieder der Europäischen Union fest. Die Richtlinien zur Sicherheit von Netz- und Informationssystemen (NIS2) bilden die Basis für ein umfassendes Risikomanagement bei Unternehmen. Es ist das Ziel, die sicherheitskritischen Netz- und Informationssysteme vor Cyberangriffen zu schützen.
Die EU NIS2 fungiert als rechtliche Richtlinie für Betreiber Kritischer Infrastrukturen in Europa. Am 27.12.2022 wurden diese im Amtsblatt L333 der Europäischen Union veröffentlicht. Am 16.01.2023, wurden die überarbeiteten Richtlinien gelten gemacht. KRITIS-Unternehmen müssen diese nun innerhalb von 21 Monaten umsetzten.
Die Mindeststandards für Cyber Security wurden an sektorspezifische Rechtsvorschriften angepasst. Hierzu gehören die Verordnung über die digitale operative Betriebsstabilität digitaler Systeme des und die Richtlinie über die Resilienz kritischer Einrichtungen.
Um den Mindeststandard der Cyber-Sicherheit in allen EU-Staaten durchzusetzen, sind gemeinsame Richtlinien und rechtliche Anforderungen von höchster Bedeutung.
Wen betrifft NIS 2?
NIS 2 richtet sich an die Betreiber Kritischer Infrastrukturen. Diese werden in “Sektoren mit hoher Kritikalität” und “sonstige kritische Sektoren” aufgeteilt. Die Sektoren mit hoher Kritikalität” müssen besonders strenge Anforderungen erfüllen.
- Die “Sektoren mit hoher Kritikalität” wurden auf elf Sektoren erhöht. Hierzu gehören aktuell:
- Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
- Gesundheit (Versorger, Labore, F&E, Pharma)
- Transport (Luft, Schiene, Wasser, Straße)
- Banken und Finanzmärkte
- Wasser- und Abwasserversorgung
- Digital (Anbieter von: Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen, Rechenzentrumsdiensten, Anbieter Cloud-Computing-Diensten, Inhaltsbereitstellungsnetzwerken, Vertrauensdiensten)
- ICT-Dienstleistungsverwaltung, Raumfahrt, öffentliche Verwaltung
Neben den Maßnahmen für die wesentlichen Sektoren sieht die NIS 2 auch Maßnahmen für “sonstige kritische Sektoren” vor. Diese wurden auf sieben Sektoren erweitert. Hierzu zählen:
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemie
- Ernährung
- Industrie (Technik und Ingenieurwesen)
- Digitale Dienste (Online-Marktplätzen, Online-Suchmaschinen, soziale Netzwerke)
- Forschung
Insgesamt richtet sich die NIS 2 an 18 Sektoren. Diese teilen sich in elf Essential-Sektoren und sieben Important-Sektoren. Die 18 Sektoren gehen über die KRITIS-Sektoren und die Unternehmen im besonderen öffentlichen Interesse (UBI) hinaus, umfassen diese aber zum Teil.
Um zu identifizieren, welche Unternehmen zur Umsetzung der NIS 2 verpflichtet sind, wurde die sogenannte „size-cap rule“ eingeführt. Diese besagt, dass alle Unternehmen der erfassten Sektoren, mit mindestens 50 Mitarbeitenden und 10 Millionen Euro Jahresumsatz zur Anwendung der NIS 2 angewiesen sind.
Welche Anforderungen stellt NIS 2 an Unternehmen?
NIS 2 stellt die IT-Sicherheit in den Fokus jeder Unternehmenssteuerung. Ziel der Richtlinien ist, eine engere Zusammenarbeit der Länder innerhalb der EU zu schaffen sowie ein umfassendes Risiko- und Vorfallmanagementsystem zu etablieren.
Der erste Punkt auf der Anforderungsliste ist eine angemessene Risikoanalyse. Ein funktionsfähiges Risikomanagement sowie umfangreiche Notfallpläne sind zentrale Anforderungen, welchen sich Unternehmen zukünftig stellen müssen.
Ebenfalls wird die zügige Meldung von Vorfällen an die Aufsichtsbehörden verpflichtend. Die erste Meldung sollte innerhalb von 24 Stunden bei der zuständigen Stelle eintreffen. Die Analyse des Vorfalls sollte in den nächsten 72 Stunden an das Netzwerk nationaler Reaktionsteams für IT-Sicherheitsvorfälle versendet werden.
Zudem müssen Unternehmen Schutzkonzepte entwickeln, um ihre Lieferketten zu schützen. Lieferketten bieten heute ein großes Potential für den unbefugten Zugriff Dritter in die Systeme der Unternehmen. Diese gilt es durch Schutzmaßnahmen zu vermeiden.
Hinzu kommen Richtlinien für die sogenannte Cyberhygiene. Cyberhygiene umfasst Maßnahmen für die systematische Sicherung von Daten, die Konzeptentwicklung für eine Zugriffskontrolle, das Management von Schwachstellen, die Verschlüsselung von Informationen sowie die richtige Schulung der Mitarbeitenden.
Mit den neuen, strengeren Richtlinien wächst der Druck der betroffenen Unternehmen, diese umzusetzen. Bei nicht konformer Umsetzung oder Verstößen gegen die Richtlinien müssen Unternehmen mit großen finanziellen Strafen rechnen. Summen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes sind hier keine Seltenheit.
Fazit
Sektoren mit hoher Kritikalität sowie sonstige kritische Sektoren sind primär von der überarbeiteten NIS 2 betroffen. Die strengen Anforderungen und Richtlinien gilt es schnellstmöglich umzusetzen. Alle Richtlinien zielen auf eine engere Zusammenarbeit aller Länder der EU sowie der Aufbau und die Umsetzung eines umfassenden Risiko- und Vorfallmanagementsystems. Verstoßen Unternehmen gegen die strengen Vorgaben oder setzten diese nicht ordnungsgemäß um, müssen diese mit hohen Geldstrafen rechnen. Um das zu vermeiden, ist die Einhaltung der vorgegebenen Maßnahmen verpflichtend.
Wenn Sie Unterstützung im Bereich IT Security benötigen, können wir gerne unterstützen. Unsere IT-Security-Spezialisten entlasten Sie bei Umsetzung eines umfassenden IT-Security-Konzepten und im Daily Business. Hier erfahren Sie mehr: https://rz10.de/angebot/it-security-spezialist/