Die NIS-2-Richtlinie aktualisiert und ersetzt die ursprüngliche Richtlinie zur Netz- und Informationssicherheit (NIS), die im Jahr 2016 in Kraft getreten ist. Sie zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der EU zu gewährleisten. Angesichts der zunehmenden Bedrohungen durch Cyberangriffe und der kritischen Rolle, die digitale Infrastrukturen für die Gesellschaft und Wirtschaft spielen, wurde die Notwendigkeit einer Aktualisierung und Verschärfung der Vorschriften deutlich.
Betroffene Sektoren
Die NIS-2-Richtlinie erweitert den Kreis der betroffenen Unternehmen und Organisationen erheblich. Neben den bisher als Betreiber wesentlicher Dienste klassifizierten Einrichtungen (z.B. Krankenhäuser) und den Digitalen Diensteanbietern (z.B. Online-Marktplätze) umfasst sie jetzt auch wichtige Sektoren wie:
Energie, Verkehr, Bankwesen, digitale Infrastrukturen, öffentliche Verwaltung, Forschung, Weltraum, Chemie, Abwasser, Post- und Kurierdienste, Abfall, Verwalter von IKT-Diensten und Industrie/Produktion.
Unternehmen von mittlerer Größe (mindestens 50 Beschäftigte oder 10 Millionen Jahresumsatz), die in diesen speziellen Sektoren tätig sind, fallen unter die Regelungen der NIS2.
In Deutschland werden zukünftig ca. 30.000 bis 40.000 Unternehmen von der NIS2-Richtlinie erfasst.
Anforderungen
Die NIS-2-Richtlinie verlangt von den betroffenen Unternehmen, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten.
Dazu gehören :
- Einhaltung der Mindeststandards für Cybersicherheit
- Schulungen für Mitarbeitende
- Implementierung von Risikomanagement-Praktiken
- Berichterstattung von Cyber-Vorfällen an nationale Behörden
- Durchführung von regelmäßigen Sicherheitsaudits und Tests
- Sicherstellung der Lieferkettensicherheit
- Kryptografie und Verschlüsselung von Daten
- Offenlegung von Sicherheitslücken
Die Führungskräfte des Unternehmens sind verantwortlich für die Überwachung und Genehmigung der Cybersicherheitsstrategien und müssen sich regelmäßig entsprechend schulen lassen.
Ab dem 18. Oktober 2024 sind die betreffenden Unternehmen dazu verpflichtet, die neuen Vorschriften umzusetzen. Dies beinhaltet die Registrierung bei der zuständigen Behörde. Zur Bestätigung der Einhaltung dieser Vorschriften ist es erforderlich, regelmäßig einen Nachweis durch Zertifizierung zu erbringen.
Handlungsempfehlungen
•Überprüfung und Anpassung: Es ist entscheidend, dass Sie ihre aktuellen Sicherheitspraktiken überprüfen (z.B. mit einer GAP-Analyse) und gegebenenfalls anpassen.
•Proaktive Planung: Entwickeln sie eine Strategie für effektives Risikomanagement und stellen sie sicher, dass sie für die Meldung von Vorfällen vorbereitet sind.
•Ausbildung und Bewusstsein: Investieren Sie in die Schulung ihrer Mitarbeiter, um das Bewusstsein und die Kompetenzen im Bereich Cybersicherheit zu stärken.
Unternehmen sind verpflichtet, bedeutende Störungen, Vorfälle und Cyber-Bedrohungen unverzüglich ihrer nationalen Cyber-Sicherheitsbehörde zu melden. In Deutschland obliegt diese Zuständigkeit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Ein dreistufiger Prozess ist hierfür vorgesehen:
- Innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls muss ein vorläufiger Bericht übermittelt werden.
- Innerhalb von 72 Stunden muss ein vollständiger Bericht folgen, der auch eine erste Bewertung des Vorfalls beinhaltet.
- Innerhalb eines Monats muss ein Abschlussbericht eingereicht werden. Dieser Bericht enthält detaillierte Beschreibungen des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen.