» Startseite » Riscreen Compliance Blog » NIS 2: Was 2024 für Unternehmen wichtig ist

NIS 2: Was 2024 für Unternehmen wichtig ist

A company and NIS 2

Ist Ihr Unternehmen von NIS 2 betroffen?

Inhaltsverzeichnis

Überblick: NIS 2

Die NIS 2-Richtlinie (die Abkürzung steht für »Network and Information Security Directive«) ist das Ergebnis einer Überarbeitung der ersten EU-Richtlinie für Cybersicherheit. Die Richtlinie soll die Prävention, Bewältigung und Reaktion auf großangelegte Cybersicherheitsvorfälle und Krisen verbessern.

Diese erste Richtlinie zielte darauf ab, die Widerstandsfähigkeit von Netzwerken und Informationssystemen in der EU gegenüber Cyberrisiken zu verbessern. Gerade in der COVID-19-Krise zeigte die erste Richtlinie gewisse Schwächen, welche durch NIS 2 ausgebessert werden sollen.

Unter NIS 2 fallen deutlich mehr Unternehmen, als es noch bei NIS 1 der Fall war. Die Haftungsrisiken für Unternehmer sind weiter gefasst, es ist also für jede Organisation wichtig, sich mit NIS 2 auseinanderzusetzen.

In diesem Artikel klären wir die wichtigsten Punkte für Unternehmen im Jahr 2024 zum Thema NIS 2.

Schwächen von NIS 1

Die Digitalisierung und Vernetzung der Gesellschaft haben das Bedrohungsszenario erweitert. Gleichzeitig mangelt es vielen Unternehmen in der EU an einem ausreichenden Maß an IT-Sicherheit. Die Resilienz in Mitgliedstaaten und Sektoren ist durch NIS 1 zu inkonsistent. Das gemeinsame Verständnis der Hauptbedrohungen und Herausforderungen fehlte. Infolgedessen wurde die Richtlinie überarbeitet und die politische Einigung wurde am 13. Mai 2022 erzielt. Die neue NIS 2-Richtlinie wurde offiziell im November 2022 verabschiedet.

Die COVID-19-Krise hatte einen großen Einfluss auf diese Entwicklung. Während der Krise zeigte sich, dass die europäische Wirtschaft stärker von digitalen Lösungen abhängig war als je zuvor. Dies hat zu einem wachsenden und sich schnell entwickelnden Bedrohungsszenario für die Cybersicherheit geführt. Die Krise verdeutlichte die Verletzlichkeit unserer zunehmend voneinander abhängigen Gesellschaften. Die NIS 2-Richtlinie erweitert daher den Anwendungsbereich auch um spezifische Elemente im Gesundheitssektor, wie Einrichtungen, die Forschungs- und Entwicklungsaktivitäten von Arzneimitteln durchführen.

Aufbau auf den Säulen der vorherigen NIS-Richtlinie

Die NIS 2-Richtlinie baut auf den drei Hauptpfeilern der vorherigen NIS 1-Richtlinie auf:

  1. Nationale Cybersicherheitsstrategie: Die Mitgliedstaaten müssen eine nationale Cybersicherheitsstrategie aufbauen und nationale »Computer Security Incident Response Teams« (CSIRTs) sowie eine zuständige nationale Cybersicherheitsbehörde benennen.
  2. NIS-Kooperationsgruppe: zur Unterstützung und Förderung der strategischen Zusammenarbeit und des Informationsaustauschs zwischen Mitgliedstaaten und CSIRTs.
  3. Sektoren von entscheidender Bedeutung: Die NIS 1-Richtlinie sichert Cybersicherheitsmaßnahmen in sieben Schlüsselsektoren, wie Energie, Transport, Gesundheitswesen und digitale Infrastruktur.

Die NIS 2-Richtlinie zielt darauf ab, Mängel von NIS 1 zu beheben, sie an die aktuellen Bedürfnisse anzupassen und zukunftsfähig zu machen. Dies geschieht durch die Erweiterung des Anwendungsbereichs auf neue Sektoren, die Einführung von klaren Größenkriterien und die Beseitigung der Unterscheidung zwischen Betreibern wesentlicher Dienste und digitalen Dienstanbietern. Die Richtlinie soll die Sicherheits- und Meldepflichten stärken, Cyberrisiken in Lieferketten und Lieferantenbeziehungen adressieren und die Zusammenarbeit und Informationsweitergabe zwischen den Mitgliedstaaten verbessern.

Deckungsbereich der NIS 2

Die NIS 2-Richtlinie deckt Sektoren von hoher kritischer Bedeutung ab, aber auch kritische Sektoren. Die Einteilung von Unternehmen erfolgt aufgrund ihrer Bedeutung, wobei eine klare Größenkriterienregel eingeführt wurde.

Kritische Sektoren (Essential Entities) sind zum Beispiel:

  • Energie
  • Transport und Verkehr
  • Bankwesen
  • Gesundheit
  • Trinkwasser
  • Digitale Infrastruktur
  • Öffentliche Verwaltung

Wichtige Sektoren (Important Entities) sind zum Beispiel:

  • Post und Kurier
  • Abfall
  • Lebensmittel
  • Herstellende Industrie
  • Forschung
  • Digitale Dienste

Mit unserem NIS 2 Test können Sie innerhalb weniger Minuten kostenlos herausfinden, ob Ihr Unternehmen betroffen ist.

Stärkere Sicherheitsanforderungen und Meldepflichten

Die NIS 2-Richtlinie strebt eine Vereinheitlichung der Sicherheitsanforderungen und Meldepflichten an, um Unternehmen in verschiedenen Mitgliedstaaten nicht zu überlasten. Sie legt zehn Schlüsselelemente fest, die Unternehmen in ihren Cybersicherheitsrichtlinien berücksichtigen müssen, darunter:

  • Incident Handling
  • Supply Chain Security
  • Vulnerability Handling
  • Disclosure
  • Verwendung von Kryptografie

Die Meldepflicht für Vorfälle erfolgt in mehreren Stufen, wobei Unternehmen 24 Stunden Zeit haben, um eine Vorwarnung einzureichen, gefolgt von einer vollständigen Meldung innerhalb von 72 Stunden und einem endgültigen Bericht innerhalb eines Monats. Meldungen haben an die entsprechenden Aufsichtsbehörden zu erfolgen. eine Liste der relevanten Behörden finden Sie auf der Seite der enisa.

Die Richtlinie legt einen klaren Rahmen für die Überwachung und Durchsetzung der Regeln durch die zuständigen Behörden fest. Dies umfasst regelmäßige Audits, Überprüfungen vor Ort und auf Distanz, Informationsanfragen und Zugang zu Dokumenten oder Beweisen. Die Richtlinie differenziert hierbei zwischen wesentlichen und wichtigen Unternehmen und führt einheitliche Sanktionen ein, darunter Verwaltungsstrafen für Verstöße gegen die Cybersicherheitsrichtlinien.

Hohe Strafen möglich

Die Relevanz für jedes Unternehmen zeigt sich an der möglichen Strafe. Bei kritischen Sektoren (Essential Entities) sind Strafen bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes vorgesehen. Bei wichtigen Sektoren (Important Entities), sind Strafen bis zu 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes vorgesehen.

Umsetzung bis Oktober 2024

Die Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 umsetzen. Die Kommission wird die Funktionsweise der Richtlinie regelmäßig überprüfen und erstmals bis zum 17. Oktober 2027 dem Parlament und dem Rat Bericht erstatten.

Test: Ist Ihr Unternehmen von NIS 2 betroffen?

Kostenloser Nis 2 Test (Screenshot)
Der NIS 2 Test von Riscreen

Von NIS 2 sind deutlich mehr Unternehmen betroffen, als von NIS 1, dennoch sind viele Unternehmen ausgenommen. Es ist also wichtig zu wissen, ob NIS 2 für Ihr Unternehmen überhaupt relevant ist.
Dafür haben wir auf Basis der aktuellen Richtlinie einen Test entwickelt. Dieser dauert ca. 2 Minuten. Den NIS 2 Test können Sie hier kostenlos aufrufen.

Interview-Serie: KRITIS und NIS 2 Talk

Für betroffene Unternehmen hat NIS 2 deutliche Auswirkungen auf die Anforderungen an die IT. Deshalb erörtern in dieser Videoserie zwei Experten das Thema gemeinsam:

  • Christian Müller ist technischer Geschäftsführer von Trufflepig IT-Forensics GmbH, einem IT-Sicherheitsunternehmen für IT-Vorsorge, Incident Response (Reaktion auf Cybersicherheitsvorfälle) und Forensik.
  • Henrik von Kunhardt berät mit seinem Unternehmen Riscreen GmbH weltweit Organisationen verschiedener Größe zu den Themen Compliance, Datenschutz und Geldwäscheprävention.

1. Was bedeutet KRITIS?

In diesem Teil sprechen die Experten über die Bedeutung von KRITIS und dessen Hintergrund.

Vidoe: Was bedeutet KRITIS? | KRITIS und NIS 2 Talk

2. Was bedeuten NIS 2 und RCE?

In diesem Teil sprechen die Experten über die Bedeutung von NIS-2 und RCE und deren Zusammenhang.

Video: Was bedeuten NIS 2 und RCE? | KRITIS und NIS 2 Talk

3. Für welche Unternehmen gilt KRITIS?

In diesem Teil sprechen die Experten darüber, welche Unternehmen überhaupt von KRITIS und NIS 2 betroffen sind.

Video: Für welche Unternehmen gilt KRITIS? | KRITIS und NIS 2 Talk

4. Warum sind KRITIS oder NIS 2 nötig?

In diesem Teil sprechen die Experten darüber, warum es für Unternehmen nicht nur aus rechtlicher Sicht sinnvoll ist, die Vorgaben von KRITIS und NIS 2 umzusetzen.

Video: Warum sind KRITIS oder NIS 2 nötig? | KRITIS und NIS 2 Talk

5. Bessere IT-Sicherheit dank NIS 2?

In diesem Teil sprechen die Experten darüber, warum viele Unternehmen nicht nur aus rechtlicher Sicht sinnvoll ist, die Vorgaben von KRITIS und NIS 2 umzusetzen.

Video: Bessere IT-Sicherheit dank NIS 2? | KRITIS und NIS 2 Talk

6. Hilft die ISO-27001 bei KRITIS?

Bringt die ISO-27001 massive Vorteile bei der IT-Sicherheit? Wie sieht es in der Praxis aus? Inwiefern wirkt sich eine ISO-27001 Zertifizierung positiv auf die KRITIS-Konformität aus?

Video: Hilft die ISO-27001 bei KRITIS? | KRITIS und NIS 2 Talk

7. Wie hoch sind mögliche Strafen?

Wie hoch sind die Strafen, die bei KRITIS bzw. NIS 2 zu erwarten sind im Vergleich zur DSGVO, oder dem Geldwäschegesetz?

Video: Wie hoch sind mögliche Strafen? | KRITIS und NIS 2 Talk

8. Wie sollten Unternehmen NIS 2 umsetzen?

Welche Punkte sind bei der IT-Sicherheit relevant? Wo sind besonders schwere Schwachpunkte, die bis zur Insolvenz führen können?

Video: Wie sollten Unternehmen NIS 2 umsetzen? | KRITIS und NIS 2 Talk

9. TOMs für die IT-Sicherheit

Welche typischen Fehler passieren immer wieder, die Einfluss auf die Kernsicherheit der IT eines Unternehmens haben?

Video: TOMs für die IT-Sicherheit | KRITIS und NIS 2 Talk

| Zuletzt aktualisiert: