NIS2 Anforderungen für Unternehmen: Was die NIS2-Richtlinie für Firmen bedeutet

NIS2 ist eine EU-Richtlinie zur Informationssicherheit (Network and Information Security) in kritischen Infrastrukturen, also essenziellen Bereichen der öffentlichen Versorgung. Sie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert diese um strengere Sicherheitsanforderungen, zusätzliche Sektoren und eine höhere Zahl betroffener Betriebe.

Darüber hinaus regelt NIS2 auch nationale Cybersicherheitsbehörden, den Aufbau von Computernotfallteams (CSIRT), EU-weite Initiativen wie den Aufbau eines Schwachstellen-Registers und die Rolle von ENISA als zentrale Anlaufstelle regulierter Organisationen

NIS2 ist am 16.01.2023 offiziell in Kraft getreten. Bevor die Richtlinie aktiv wird, muss sie allerdings von den Mitgliedsstaaten der EU in nationales Recht übertragen werden. Die einzelnen Länder haben bis zum 17. Oktober 2024 Zeit, um ein entsprechendes NIS2-Gesetz zu erlassen.

Da keine Übergangsfrist vorgesehen ist, sind betroffene Betriebe somit ab dem 18. Oktober 2024 verpflichtet, sich bei der zuständigen nationalen Behörde zu registrieren, Vorfälle zu melden und die Einhaltung der Sicherheitsanforderungen zu gewährleisten. Der Nachweis der Compliance durch eine entsprechende Zertifizierung oder einen Sicherheitsaudit muss im Anschluss regelmäßig erbracht werden.

Im Unterschied zu EU-Verordnungen wie der DSGVO, welche unmittelbar in Kraft treten, müssen EU-Richtlinien wie NIS2 erst in nationales Recht überführt werden. Dabei folgt die EU dem Konzept der Mindestharmonisierung. Das bedeutet, dass alle Länder der europäischen Union verpflichtet sind, Gesetze zu verabschieden, die mindestens so streng sind wie die Vorgabe der EU.

Mitgliedsstaaten dürfen die Vorgaben der EU also nicht unterschreiten, aber sie können diese erweitern oder verschärfen. Zum Beispiel können Staaten zusätzliche Bereiche als kritisch definieren oder strengere Vorgaben für Betreiber festlegen. Die genauen Anforderungen können daher von Land zu Land abweichen.

NIS2 richtet sich an Betriebe in gesellschaftlich relevanten Sektoren, wobei die Richtlinie hier zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen unterscheidet. Die Zuordnung erfolgt dabei anhand der Unternehmensgröße sowie des Tätigkeitsbereichs: Eine Einrichtung zählt dann als wesentlich, wenn sie in einem Sektor mit hoher Kritikalität (Anhang 1) tätig ist und mehr als 250 Beschäftigte oder mehr als 50 Millionen Euro Umsatz hat.

Alle anderen Einrichtungen in Anhang 1 und Anhang 2 mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10 Millionen Euro zählen als wichtige Einrichtungen (Size Cap Regel). Experten gehen durch NIS2 von rund 20.000 zusätzlichen regulierten Betrieben in Deutschland und 3.400 Betrieben in Österreich aus. Vereinfacht ausgedrückt lässt sich die Aufteilung in wesentliche und wichtige Einrichtungen wie folgt zusammenfassen:

Um mehrfache Regulierung zu vermeiden, gibt es in NIS2 eine Ausnahme für Einrichtungen, die durch einen anderen EU-weiten Rechtsakt Anforderungen an die Cybersecurity erfüllen müssen, die den Anforderungen von NIS2 mindestens gleichwertig sind.

Beispielsweise müssen Finanzeinrichtungen, die DORA unterliegen, den Nachweis ihrer Informationssicherheit und die Meldung von Vorfällen nur im Rahmen von DORA erbringen. Sie sind also nicht von NIS2 betroffen.

Grundsätzlich unterliegen wesentliche und wichtige Einrichtungen nach NIS2 den gleichen Sicherheitsanforderungen. Allerdings schreibt die Richtlinie auch eine Anpassung der Risikomanagementmaßnahmen an die Größe einer Einrichtung, die Wahrscheinlichkeit eines Vorfalls und die zu erwartenden Folgen für Wirtschaft und Gesellschaft vor. Daraus ergeben sich in der Praxis unterschiedliche Anforderungen für Einrichtungen in verschiedenen Sektoren.

Darüber hinaus gibt es in NIS2 Unterschiede zwischen wesentlichen und wichtigen Einrichtungen hinsichtlich der behördlichen Befugnisse zur Durchsetzung der Richtlinie. Wesentliche Einrichtungen unterliegen strengerer Aufsicht: Während externe Kontrollen bei wichtigen Einrichtungen nur nach einem Sicherheitsvorfall vorgesehen sind, erfolgen Prüfungen in wesentlichen Einrichtungen regelmäßig, gezielt und ad-hoc. Wesentliche Einrichtungen unterliegen zudem der EU RCE Richtlinie zur Ausfallsicherheit.

Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 wurde in Deutschland durch das IT-Sicherheitsgesetz sowie die KRITIS Verordnung umgesetzt und unterliegt dem Bundesamt für Sicherheit in der Informationstechnik als nationale Behörde. Die regulierten Bereiche und Anforderungen an Betreiber wurden 2021 durch das IT-Sicherheitsgesetz 2.0 bzw. KRITIS 2.0 erweitert.

Zur Umsetzung der neuen Vorgaben veröffentlicht die AG Kritis regelmäßig den aktuellen Referentenentwurf des geplanten NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Der Entwurf ergänzt das BSI-Gesetz wie vorgesehen. Die bisherige Kategorie der kritischen Infrastrukturen bleibt darin jedoch erhalten – samt Besonderheiten wie der Registrierung kritischer Komponenten oder der Nutzung von branchenspezifischen Sicherheitsstandards (B3S).

Zur Implementierung der neuen Vorgaben liegt in Deutschland bereits ein Entwurf für ein NIS2 Umsetzungsgesetz vor. Der Entwurf ergänzt das BSI-Gesetz wie vorgesehen um wichtige bzw. sehr wichtige (=wesentliche) Einrichtungen. Die bisherige Kategorie der kritischen Infrastrukturen bleibt darin jedoch erhalten – samt Besonderheiten wie der Registrierung kritischer Komponenten oder der Nutzung von branchenspezifischen Sicherheitsstandards (B3S).

Am 3. April 2024 hat die österreichische Bundesregierung einen Gesetzesentwurf für die Umsetzung von NIS2 in Begutachtung geschickt. Dieser wird nun für 4 Wochen begutachtet. Was den Zeitpunkt des Inkrafttretens angeht, dürfte sich die Bundesregierung an die europäische Frist des 17. Oktober 2024 halten.

Die genauen Anforderungen an Unternehmen in Anlage 3 sind bislang nur in Stichpunkten definiert und orientieren sich an den gemeinsam ausgearbeiteten Empfehlungen der europäischen Koordinationsgruppen.

Für Unternehmen ergeben sich durch NIS2 eine Reihe an Pflichten, darunter die Registrierung bei der zuständigen Behörde im eigenen Mitgliedsstaat, die Weitergabe von Kontaktdaten und die Meldung von erheblichen Sicherheitsvorfällen – also Vorfälle die eine schwerwiegende Betriebsstörung nach sich ziehen können.

Die größte Umstellung für Firmen bringen jedoch die zusätzlichen Sicherheitsanforderungen durch NIS2 mit sich. Dabei müssen viele Details noch durch eigene Verordnungen konkretisiert werden. Was wir bislang über die NIS 2 Anforderungen für Unternehmen wissen.

Wesentliche und wichtige Einrichtungen sind durch NIS2 verpflichtet, “geeignete und verhältnismäßige technische operative und organisatorische Maßnahmen” zur Absicherung von Informationssystemen zu treffen (NIS2 Artikel 21). Doch was genau ist damit gemeint?

Der Entwurf für das NIS2-Umsetzungsgesetz in Deutschland nennt beispielsweise 10 Bereiche, die Unternehmen mit ihren Schutzmaßnahmen mindestens abdecken müssen:

Weiters schreibt NIS2 Firmen vor, bei ihren Sicherheitsmaßnahmen gängige Normen und Best Practices zu berücksichtigen. Unternehmen, die bereits Zertifizierungen wie ISO 27001, den BSI Grundschutz oder die CIS Controls abgeschlossen haben, sind bei der Umsetzung von NIS 2 also klar im Vorteil.

Durch NIS2 regulierte Unternehmen sind angehalten, neben eigenenen Informationssystemen auch die Zusammenarbeit mit Partnerunternehmen und Dienstleistern angemessen abzusichern. Die Kommission reagiert mit strengeren Vorgaben an Cyber-Sicherheit in der Lieferkette auf die akute Bedrohung durch Supply-Chain-Angriffe, bei denen böswillige Akteure durch die Kompromittierung eines Zulieferers Zugang zum Netzwerk von Kunden und Partnern erlangen.

Konkret verpflichtet NIS2 Unternehmen dazu, Sicherheitsanforderungen in die vertragliche Vereinbarungen mit ihren Zulieferen einzubeziehen. Verwenden wesentliche und wichtige Einrichtungen bestimmte IT-Produkte und -Dienste, können Behörden von dem Hersteller zudem eine Cybersicherheitszertifizierung nach europäischem Schema verlangen. Die betroffenen Produkte und Dienste werden über eine Rechtsverordnung bestimmt. Als Hilfestellung für Organisationen hat ENISA einen Ratgeber zum Thema Supply Chain Cybersecurity veröffentlicht.

Während einige der Mindestanforderungen in NIS2 einen klaren Themenbereich abdecken (z.B. Einsatz von Kryptografie), sind andere recht vage gehalten. Dazu zählt unter anderem die Vorgabe, “grundlegende Verfahren im Bereich der Cyberhygiene” anzuwenden. Während Artikel 21 hier nicht ins Detail geht, erklärt die Richtlinie aber an anderer Stelle, was mit Cyberhygiene gemeint ist:

Die Absicherung von Informationssystemen ist eine komplexe Aufgabe, bei der es viele unterschiedliche Aspekte zu beachten gilt. Die sichere Benutzerverwaltung und Berechtigungsverwaltung spielt in der Cyber-Security eine grundlegende Rolle, wie auch aus NIS 2 klar hervorgeht.

Der Schutz vor unberechtigten Zugriffen senkt nicht nur das Risiko von Sicherheitsvorfällen wie Cyberangriffen, Datenlecks und Insider Threats: Auch für den Nachweis der Compliance ist die Dokumentation von Konten und Zugriffsrechten entscheidend.

Auch wenn noch einige Details fehlen und die nationale Gesetzgebung teils auf sich warten lässt, sollten betroffene Firmen sich schon jetzt auf die Umsetzung von NIS2 vorbereiten. Denn die neuen Anforderungen gelten unmittelbar mit Ablauf der Frist, also ab dem 17. Oktober 2024!

Es bleibt also nicht viel Zeit, um die geforderten Maßnahmen umzusetzen: IT-Risikomanagement nach gängigem Stand der Technik, falls notwendig der Aufbau eines ISMS (Informationssicherheit-Managementsystem), die Kontrolle der eigenen Lieferkette usw. Je früher Firmen daher mit der Vorbereitung beginnen, desto besser.

Mit unserer IAM Software tenfold verwalten Sie Benutzer und Berechtigungen in Ihrer gesamten IT zentral und automatisiert: Von lokalen Microsoft-Systemen über M365 bis hin zu Third-Party-Apps. tenfold erleichtert nicht nur die NIS2-konforme Verwaltung von Identitäten und Zugriffsrechten, sondern unterstützt Sie durch vollständige Dokumentation und regelmäßige Access Reviews auch beim Nachweis der Compliance.

Das Besondere an unserer Lösung? Dank vorgefertigter Plugins mit No-Code-Konfiguration lässt sich tenfold schnell und einfach in Betrieb nehmen. Während IAM-Projekte anderer Anbieter Monate oder Jahre in Anspruch nehmen können, sind Sie mit tenfold schon in wenigen Wochen startklar. So profitieren Sie in Rekordzeit von den Vorteilen unserer umfangreichen Identity und Access Management Plattform und können sich ganz auf wichtigere Aufgaben konzentrieren. Überzeugen Sie sich selbst mit einem kostenlosen Test von tenfold.