Was verlangt die NIS2-Richtlinie?
Der Anwendungsbereich auf die Wirtschaft und Öffentlichen Dienst ist erheblich erweitert worden
Wir helfen Ihnen die NIS2-Anforderungen umzusetzen ....
Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS2 -Richtlinie) | Directive on Security of Network and Information Systems
Zusammenfassung NIS2-Richtlinie
Bisher wurde von der EU die erste Version der NIS-Richtline
aus dem Jahre 2016 mit dem Schwerpunkt auf die Kritische Infrastrukturen
entwickelt. In Deutschland wurde diese in das IT-Sicherheitsgesetz überführt
und in Kraft gesetzt. NIS2 greift viel weiter und betrifft nun mehr als 100.000
mittlere und kleiner Unternehmen ebenso!
Die NIS betraf die Kritischen Infrastrukturen - NIS2 betrifft
viel mehr – + 3 Sektoren in der wesentliche Gruppe und +5 Sektoren in der Fruppe der wichtigen Unternehmen - das ist eine erhebliche
Erweiterung!
Seit 2020 wurde die NIS-Richtlinie überprüft. Dies hatte die
Zielsetzung den bestehenden Rechtsrahmen in Folge der zunehmenden
Digitalisierung der Wirtschaft und zunehmender Bedrohungen für die
Cybersicherheit anzupassen. Darüber hinaus schlägt die NIS-2 Kommission vor,
die Sicherheit in Lieferketten und Lieferantenbeziehungen zu erhöhen.
Dabei ist die NIS-Richtlinie ein Teil eines großen
Maßnahmenpakets zur ständigen Verbesserung der Widerstandsfähigkeit und
Reaktionsfähigkeit im Bereich der Cybersicherheit.
Hierzu gehört auch die
EU-RCE-Richtlinie für Resilienz (Widerstandsfähigkeit), welche die
Ausfallsicherheit für die Unternehmen festlegt.
Der Entwurf der NIS2-Richtlinie ist im Mai 2022 von der EU
freigegeben worden und muss nun noch verabschiedet werden. Es ist damit zu rechnen,
dass die NIS2-Richtlinie in den nächsten Monaten in Kraft treten wird.
12 Monate
nach Inkrafttreten müssen wesentliche und wichtige Einrichtungen Registrierungsinformationen
an die ENISA übermitteln.
Innerhalb von 18 Monaten ist die EU-NIS2-Richtlinie in
nationales Recht umzusetzen. Man geht davon aus, dass diese sofort wirkt und
keine Umsetzungsfrist gilt – analog zur Datenschutz Grundverordnung (DS GVO).
An der DS GVO orientieren sich auch die Bußgelder: bei
Verstößen gegen die Verpflichtungen in Bezug auf die Maßnahmen die
Cybersicherheit-Vorgaben oder Meldepflichten sind Bußgelder in Höhe von
mindestens 10.000.000 Euro oder 2 % den weltweiten Jahresumsatz möglich.
Hierzu ist eine Organhaftung vorgesehen, d.h. die
Leitungsorgane sollen für Verstöße zukünftig persönlich haftbar gemacht werden.
Was ist neu in der NIS2-Richtline?
Erweiterung der NIS2 Kritische Sektoren
Von eingeschränkten kritischen Sektoren (KRITIS) kann nicht
mehr die Rede sein. Die wesentlichen kritischen Sektoren erhöhen sich um drei
und die wichtigen wachsen um fünf – somit auf insgesamt sechzehn NIS2 Sektoren.
Die kritischen Sektoren sind somit identisch zur EU RCE-Richtlinie.
Interessant ist hierzu ein Vergleich zur heutigen KRITIS
Struktur in Deutschland, denn hier wird deutlich, dass ein neuer Bereich „Industrie“
betroffen ist und die KRITIS Sektoren inhaltlich konkretisiert wurden.
NIS2 Sektoren | Konkretisiert | KRITIS | Bemerkungen |
Kritische Sektoren | |||
[1] Abwasser | Abwasserentsorgung | Trinkwasserversorgung Abwasserbeseitigung | Neu |
[2] Banken | Kreditinstitute | Bargeldversorgung Kartengestützter ZahlungsverkehrKonventioneller Zahlungsverkehr Wertpapier- und Derivalgeschäft Versicherungsleistungen, SozialveStromversorgung Gasversorgung Kraftstoff- und Heizölverorgung Fernwärmeversorgung Stromversorgung Gasversorgung Kraftstoff- und Heizölverorgung Fernwärmeversorgungrsicherung, Grundversicherung | |
[3] Digitale Infrastruktur | IXPs DNS TLD Registries Cloud Provider Rechenzentren CDNs TSPs Elektr. Kommunikation | Sprach- und Datenübertragung Datenspeicherung und -verarbeitung | |
[4] Energie | Elektrizität Fernwärme Öl Gas Wasserstoff | Stromversorgung Gasversorgung Kraftstoff- und Heizölverorgung Fernwärmeversorgung | |
[5] Finanzmärkte | Handelsplätze Gegenpartien (CCPs) | Bargeldversorgung Kartengestützter Zahlungsverkehr Konventioneller Zahlungsverkehr Wertpapier- und Derivalgeschäft Versicherungsleistungen, Sozialversicherung, Grundversicherung | |
[6] Gesundheit | Gesundheitsdienstleister EU Labore Medizinforschung Pharmazeutik Medizingeräte | Stationäre medizinische Versorgung Versorgung mit lebenserhaltenden Medizinprodukte Versorgung mit Arzneien und Blut/Plasma Laboratoriumdiagnostik | |
[7] Transport | Luft Schiene Wasser Straße | Luftverkehr Schienenverkehr Binnen und Seeschifffahrt Straßenverkehr Öffentlicher Personennahverkehr, Netze, Verkehrssteuerung und Leitzentralen Übergreifend Wetter und Satellitennavigation | |
[8] Trinkwasser | Wasserversorgung | Trinkwasserversorgung Abwasserbeseitigung | |
[9] Raumfahrt | Bodeninfrastruktur | Transport (Bodeninfrastruktur) | Neu |
[10] Öffentliche Verwaltung | Zentralregierung Landesregierung Regierungsbezirke | Neu | |
Wesentliche Sektoren | |||
[1] Abfallwirtschaft | Entsorgung von Siedlungsabfällen | Neu | |
[2] Chemikalien | Gefahrgutstoffe | Neu | |
[3] Digitale Dienste | Handelsplätze Suchmaschinen Soziale Netzwerke | Telemediendienste | |
[4] Ernährung | Gefahrgutstoffe | Neu | |
[5] Industrie | Medizingeräte Computer Elektrik Maschinenbau Automobile Transport | Ernährung (Herstellung) | Neu |
[6] Post und Kurier | Transport (Logistik) | Neu | |
Damit werden durch die NIS2-Richtlinie die Sektoren erheblich ausgeweitet. Mit NIS2 werden nun auch bereits Unternehmen erfasst, die 50 und mehr Beschäftigte und einen Jahresumsatz von mehr als 10 Mio. € haben. Damit ist der Mittelstand neu im Fokus der NIS2-Richtlinie.
Zum kritischen Sektor Gesundheit werden zukünftig beispielsweise neben Gesundheitsdienstleister insbesondere Labore, die Medizinforschung und Pharmazeutik sowie Hersteller von Medizingeräten gehören.
Deutlich erweitert wird darüber hinaus der kritische Sektor "Digitale Infrastruktur", der zukünftig insbesondere auch Cloud-Provider, Rechenzentren sowie Content-Delivery-Netzwerke erfassen wird.
Die gravierendste Änderung wird bei den „wesentlichen Sektoren“ sein, dass der gesamte industrielle Sektor und insbesondere Hersteller von Medizingeräten und Computern, aber auch die Branchen Maschinenbau und Mobility hinzukommt. Damit betrifft NIS2 fast die ganze Wirtschaft und Öffentlichen Dienst.
Durch NIS-2 betroffene Unternehmen
Ausschlaggebend soll die Betroffenheit durch das Unternehmen sein. Die ggf. anzuwendenden Schwellenwerte werden nach den EU-Regelungen 2003/361/EG festgelegt:- Gruppe große Unternehmen: > 250 Beschäftigte, > 50 Mio. € Umsatz, > 43 Mio. € Bilanz
- Gruppe mittlere Unternehmen: 50-250 Beschäftigte, 10-50 Mio. € Umsatz, < 43 Mio.€ Bilanz
- Spezialfälle werden unabhängig ihrer Größe reguliert, wenn kritisch oder wesentlich
- Digitale Informationsstruktur wird unabhängig der Größe reguliert, wenn kritisch
Ausschlüsse und Sonderfälle für Unternehmen, die nicht betroffen sind:
- Gruppe kleine Unternehmen: < 49 Beschäftigte und < 10 Mio. € Umsatz / Bilanz
- Gruppe kleinst Unternehmen: < 9 Beschäftigte und < 2 Mio. € Umsatz / Bilanz
Welche Maßnahmen verlangt die NIS2-Richtlinie
NIS2 legt folgende Mindestanforderungen für Cybersicherheit fest, welche jedes Land durch eine nationale Gesetzgebung verbindlich machen muss. Diese Maßnahmen sind somit verpflichtend und werden ggf. durch nationale Behörden überwacht.
- Richtlinien: Es müssen Richtlinien für Risikomanagement und Informationssicherheit vorhanden und umgesetzt sein.
- Vorfallmanagement: Es müssen die Prävention, Detektion und Bewältigung von Informationssicherheitsvorfällen
- Kontinuität: Umsetzung von BCM und Krisenmanagement
- Lieferketten: Sicherheit in der Lieferkette – bis zur Entwicklung der Zulieferer im Rahmen der Informationssicherheit
- Test und Audit: Einführung von Methoden zur Messung der Effektivität von Informationssicherheit, Überprüfung der
Informationssicherheit mittels unabhängiger Audits - Kryptografie: Umsetzung eines angemessenen Einsatzes von Verschlüsselungstechnologien im Unternehmen
- Meldeprozesse: Unverzügliche Meldung von signifikanten Störungen, Vorfälle
- Registrierungspflicht: Nach Art. 25 muss sich das Unternehmen ggf. bei der ENISA registieren.
Einsatz von Standards zur Erfüllung der NIS2-Richtlinie
Grundlage sollen internationale und europäische Standards zur Umsetzung der Informationssicherheit in Unternehmen sein. Mitgliedsstaaten können aber ggf. auch Zertifizierungen vorschreiben. Auf jeden Fall ist damit die ISO 27001 wieder als Grundlage zu sehen.Bußgelder / Strafen nach der NIS2-Richtlinie
In der DS GVO orientieren sich auch die Bußgelder: bei Verstößen gegen die Verpflichtungen in Bezug auf die Maßnahmen die Cybersicherheit-Vorgaben oder Meldepflichten sind Bußgelder in Höhe von bis zu 10.000.000 Euro oder 2 % den weltweiten Jahresumsatz möglich.
Hierzu ist eine Organhaftung vorgesehen, d.h. die Leitungsorgane sollen für Verstöße zukünftig persönlich haftbar gemacht werden.
Empfehlungen für Unternehmen
Da die die Marktlage bei der Verfügbarkeit für Spezialisten in der Informationssicherheit knapp sind und die Vorlaufzeit für ggf. notwendigen technischen und organisatorischen Maßnahmen erheblich sein können, sollten Unternehmen spätestens mit der Verabschiedung der NIS2-Richtlinie in der EU prüfen, welche neuen rechtlichen Pflichten sie beachten müssen.
Hierfür sind dann auch notwendige interne Kapazitäten einzuplanen und das Vorhaben sollte offiziell in die Projektplanung 2023 aufgenommen werden.
Bestehende Managementsysteme für ISO 27001 oder TISAX werden helfen, aber nicht die neuen NIS2-Anforderungen abdecken.
Prüfen Sie unsere Portale ISO27001 und TISAX, Prozessmodell und e-Learning
Hier finden Sie Informationen zur EU-RCE-Richtlinie. Gilt NIS2 für Sie als wesentlicher Sektor, dann gilt die RCE-Richtlinie (Pflicht BCM-Anforderungen)ebenfalls für die Umsetzungspflicht für Sie.
Kontaktinformationen
+49 (0) 7031.4181-860
contact(@)consuvation.com
CONSUVATION GmbH
Ziegelstraße 20
71063 Sindelfingen
Deutschland
MONTAG-FREITAG 09:00 - 17:00SAMSTAG-SONNTAG geschlossen