Im Herbst 2024 soll die NIS-2-Richtlinie der EU in nationales Recht überführt werden. Betroffene Unternehmen sollten zu diesem Zeitpunkt bereits die nötigen Maßnahmen umgesetzt haben. Erfahren Sie in diesem Blogpost alles Wichtige über NIS2, wie Organisationen herausfinden, ob sie betroffen sind und was sich durch das neue Gesetz ändern wird.
Was ist NIS2 und wann tritt es in Kraft?
NIS-2 (Network Information Security 2) ist eine EU-Richtlinie zur Netzwerk- und Informationssicherheit, die auf Basis normierter Sicherheitsstandards den Schutz wichtiger europäischer Infrastruktur vor Cyberattacken erhöhen soll. Die erste Version der NIS-2-Richtlinie erschien im Dezember 2022. Sie soll von den Mitgliedsstaaten bis zum Herbst 2024 in nationales Recht überführt werden.
In Deutschland geschieht dies im Rahmen des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), das sich momentan noch im Gesetzgebungsverfahren befindet und zeitnah in Kraft treten soll. Betroffene Organisationen sind daher schon seit Längerem angehalten, sich mit der Richtlinie zu beschäftigen, um entsprechende Maßnahmen rechtzeitig umsetzen zu können.
NIS 2 soll ein angemessenes Cybersicherheitsniveau für Einrichtungen gewährleisten, die formell als „wichtig“ oder „besonders wichtig“ eingestuft werden. Konkret geht es dabei zum Beispiel um Mindestsicherheitsanforderungen für das Risikomanagement oder Meldepflichten für Cybersicherheitsvorfälle.
Wer ist von NIS-2 betroffen?
NIS2 richtet sich in erster Linie an die Betreiber sogenannter kritischer Infrastruktur (KRITIS), aber auch an Wirtschaftsunternehmen, die abhängig von Größe und Jahresumsatz ebenfalls als „wichtige“ oder „besonders wichtige“ Einrichtungen eingestuft werden. Es handelt sich dabei um Organisationen mit grundlegender Bedeutung für die Überlebens- und Funktionsfähigkeit unserer Gesellschaft.
Laut BSI-Präsidentin Claudia Plattner werden künftig rund 29.500 Unternehmen gesetzlich zur Umsetzung der neuen Cybersicherheitsstandards verpflichtet sein. Dabei handelt es sich beispielsweise um Krankenhäuser, Wasser- und Energieversorger sowie Transport- und Telekommunikationsunternehmen. Da Cyberattacken hier ein besonders hohes Schadenspotenzial haben, sind gesetzlich vorgeschriebene Schutzkonzepte erforderlich.
Wichtig zu wissen: Betroffene Organisationen sind verpflichtet, sich unaufgefordert beim BSI zu registrieren.
Wie erfahren Organisationen, ob sie von NIS2 betroffen sind?
Das BSI unterstützt Organisationen dabei, herauszufinden, ob und inwiefern sie von der neuen NIS-2-Gesetzgebung betroffen sind. Im Rahmen einer online verfügbaren Betroffenheitsprüfung können Unternehmen durch das Beantworten von Ja/Nein-Fragen feststellen, in welche der vier relevanten Kategorien sie fallen:
Betreiber Kritischer Infrastrukturen
Besonders wichtige Einrichtungen
Wichtige Einrichtungen
Nicht betroffene Unternehmen
Darüber hinaus gibt es einen FAQ-Katalog zu den wichtigsten Themen rund um NIS2. Dort können Unternehmen sich sowohl über eine eventuelle Betroffenheit informieren als auch über damit verbundene Anlaufstellen und gesetzliche Pflichten.
Die wichtigsten Neuerungen durch NIS2
Die aus der NIS2-Richtlinie resultierende Gesetzgebung bringt gegenüber der ursprünglichen Richtlinie von 2016 eine Reihe signifikanter Neuerungen mit sich. Insbesondere die Anzahl an Unternehmen und Einrichtungen, die gegenüber dem BSI Registrierungs-, nachweis- und meldepflichtig sind, wird sich massiv erhöhen.
Deutlich mehr Organisationen betroffen
Gegenüber der bisher gültigen NIS-Richtlinie von 2016 hat sich der Kreis der betroffenen Organisationen im Rahmen von NIS2 deutlich ausgeweitet. Vor diesem Hintergrund wurden die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ eingeführt, für die jeweils spezifische Sicherheitsstandards gelten. Dazu zählen beispielsweise Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management sowie Verschlüsselungskonzepte.
Mehrstufiges Meldesystem
Bislang mussten Unternehmen Cybersicherheitsvorfälle im Rahmen eines einstufigen Meldesystems an das BSI melden. Dieses wir zukünftig durch ein dreistufiges System ersetzt werden. Die erste Meldung muss binnen 24 Stunden erfolgen, während nach 72 Stunden ein Update nachgereicht werden soll. Einen Monat nach dem Vorfall ist zudem ein Abschlussbericht erforderlich.
Mehr Kontrolle durch das BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird über ein ausgeweitetes Instrumentarium verfügen, um die Umsetzung der neuen Sicherheitsmaßnahmen zu überprüfen und durchzusetzen. Dazu zählt unter anderem ein neuer Bußgeldrahmen für Organisationen, die ihren gesetzlichen Verpflichtungen zur Umsetzung von Cybersicherheitsmaßnahmen nicht nachkommen.
Welche Anforderungen ergeben sich aus der NIS2-Richtlinie?
Betroffene Organisationen müssen je nach Kategorie unterschiedlich strenge Anforderungen in Sachen Cybersicherheit erfüllen. Allgemein lassen sich diese als technische, operative und organisatorische Maßnahmen definieren, die dazu dienen, Risiken für die Sicherheit von Netz- und Informationssystemen zu minimieren und Cybersicherheitsvorfälle zu verhindern oder zumindest so weit wie möglich einzudämmen.
Die NIS2-Richtlinie benennt allerdings keine konkreten Maßnahmen. Sie gibt lediglich Eckpunkte vor, die eine Grundlage für die Sicherheitskonzepte der betroffenen Einrichtungen bilden. Die konsequente Umsetzung geeigneter Maßnahmen obliegt der Geschäftsführung, die im Falle eines Verstoßes gegen die Cybersicherheitsvorschriften persönlich haften muss.
Wie werden betroffene Einrichtungen den NIS2-Anforderungen gerecht?
KRITIS-Betreiber und andere von NIS2 betroffene Einrichtungen stehen vor der Aufgabe, vorhandene Cybersicherheitskonzepte mit den neuen gesetzlichen Anforderungen abzugleichen und gegebenenfalls anzupassen. Sofern die entsprechenden personellen Kapazitäten vorhanden sind, kann das intern geschehen. Andernfalls ist es sinnvoll, externe Dienstleister hinzuzuziehen, die auf das Thema Cybersicherheit spezialisiert sind. Diese können dabei helfen, Netzwerke und IT-Systeme einer umfassenden Risikoanalyse zu unterziehen und dann geeignete Sicherheitsmaßnahmen zu implementieren.
Eine gute Nachricht gibt es für Unternehmen, die nach dem BSI-Standard ISO27001 zertifiziert sind: Sie können davon ausgehen, einen Großteil der NIS2-Anforderungen bereits zu erfüllen. Allerdings sollten sie trotzdem eine entsprechende Prüfung durchführen, sobald das NIS2 Umsetzungsgesetz in Kraft getreten ist.
Was passiert bei einem Verstoß gegen NIS2?
Alle EU-Mitgliedsstaaten sollen auf Grundlage der NIS-2-Richtlinie bis Herbst 2024 nationale Gesetze erarbeiten, die betroffene Einrichtungen dazu verpflichten, die durch NIS2 vorgeschriebenen Cybersicherheitsmaßnahmen umzusetzen. Stellt sich im Zuge einer Überprüfung heraus, dass eine Organisation die erforderlichen Schutzmaßnahmen nicht ausreichend umgesetzt hat, drohen empfindliche Geldstrafen bis 10 Millionen Euro oder 2 Prozent des Jahresumsatzes.
Aktuelle Situation und voraussichtliche Entwicklung
Momentan ist unklar, ob das NIS2-Umsetzungsgesetz in Deutschland tatsächlich bereits im Herbst in Kraft treten wird. Zwar wurde das Gesetz bereits Ende Juli 2024 im Bundeskabinett beschlossen, allerdings hält die Plattform OpenKRITIS ein Inkrafttreten vor Anfang 2025 für unwahrscheinlich.
Fazit – Je früher Organisationen auf NIS2 reagieren, desto besser
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes wird in Deutschland voraussichtlich Anfang 2025 in Kraft treten. Organisationen sollten bereits jetzt proaktiv überprüfen, ob und in welchem Umfang sie von dem Gesetz betroffen sind, damit genug Zeit für die Evaluation und Umsetzung der nötigen Maßnahmen bleibt. Die IT-Sicherheitsexperten von COViS stehen für alle Fragen rund um NIS2 zur Verfügung.
