NIS2 Anforderungen: Alle Details für betroffene Unternehmen

Die NIS2 Richtlinie verpflichtet Firmen, die in einen der regulierten Sektoren fallen und größer als der Grenzwert (Size Cap) sind, dazu:

Hinsichtlich dieser Sicherheitsanforderungen nennt NIS2 selbst lediglich einige grundlegende Eckpunkte. Die Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen, der sowohl digitale Bedrohungen als auch die physische Sicherheit von IT-Systemen abdeckt.

Zudem nennt NIS2 einige Themen, die mindestens abgedeckt werden müssen: Risikoanalysen, der Umgang mit Sicherheitsvorfällen, Business Continuity, Sicherheit der Lieferkette, Security Awareness, Verschlüsselung, Zugriffskontrolle sowie Multi-Faktor-Authentifizierung.

Seit dem 27.06.2024 liegt ein erster Entwurf für einen Durchführungsrechtsakt vor, in dem die EU die Sicherheitsanforderungen in NIS2 konkretisiert. Dieser Rechtsakt gilt nur für IT-Dienstleister, da diese Branche nicht von Mitgliedsstaaten, sondern direkt von der EU reglementiert wird.

Dennoch erlaubt der Durchführungsrechtsakt einen ersten Einblick in die genauen Anforderungen von NIS2. Die Vorgaben für andere Branchen müssen erst durch Verordnungen auf nationaler Ebene festgelegt werden, dürften aber in Umfang und Strenge sehr ähnlich ausfallen.

Zur Einhaltung von NIS2 müssen Organisationen eine Sicherheitsrichtlinie erstellen, die ihre Vorgehensweise bei der Absicherung ihres Netzwerks und ihrer IT-Systeme beschreibt. Die Richtlinie muss für die Ziele der Organisation angemessen sein, die zur Erfüllung notwendigen Ressourcen bereitstellen und entsprechende Rollen und Verantwortungen festlegen.

Die Sicherheitsrichtline muss in regelmäßigen Abständen, sowie nach erheblichen Vorfällen oder Veränderungen der IT überprüft und bei Bedarf angepasst werden. Die Richtlinie muss auch weitere relevante Dokumente und themenspezifische Policies auflisten.

Regulierte Betriebe müssen ein Risikomanagement-Framework etablieren, mit dem sie Risiken für die Sicherheit von IT-Systemen identifizieren und behandeln. Dazu müssen Risiko-Assessments durchgeführt werden. Die Geschäftsleitung muss die darauf aufbauenden Maßnahmen absegnen beziehungsweise die verbleibenden Restrisiken akzeptieren.

Organisationen müssen Prozesse für die Identifikation und den Umgang mit Risiken an ihre Belegschaft kommunizieren. Der Risikomanagement-Prozess muss einem gefahrenübergreifenden Ansatz folgen, auf relevanten Kriterien aufbauen und, soweit möglich, an gängige Standards anknüpfen. Der Risikomanagement-Prozess muss auch festlegen, wer für die Implementierung der Maßnahmen verantwortlich ist. Auch das Risk Management Framework muss regelmäßig sowie nach Vorfällen und Veränderungen überprüft und aktualisiert werden.

Organisationen müssen die Einhaltung der Sicherheitsrichtlinie und weiteren Policies regelmäßig durch ein Compliance-Monitoring System kontrollieren. Die Effektivität der Sicherheitsrichtlinie ist von qualifizierten Personen und unter Vermeidung von Interessenskonflikten zu überprüfen.

Von NIS2 betroffene Betriebe müssen eine Richtlinie für den Umgang mit Sicherheitsvorfällen erstellen, die den korrekten Ablauf für die Erkennung und den Umgang mit möglichen Vorfällen regelt.

In der Incident Handling Policy wird festgelegt, wer zuständig für die Erkennung und Reaktion auf Vorfälle ist, welche Maßstäbe für die Klassifizierung von Vorfällen gelten, welche Maßnahmen gesetzt werden müssen und welche Berichtspflichten zu erfüllen sind – etwa an Behörden und nationale CSIRTs.

Die Reaktion auf IT-Vorfälle erfolgt in drei Stufen: Die Eindämmung, welche die weitere Ausbreitung verhindert. Die Behebung, die ein erneutes bzw. fortlaufendes Auftreten des Vorfalls verhindert. Und die Wiederherstellung des normalen Betriebs.

Maßnahmen bei der Bewältigung von IT-Vorfällen müssen aufgezeichnet und forensisch relevante Daten gesichert werden. Nach einem Vorfall muss seine Ursache festgestellt und wenn möglich behoben werden. Bei einem Post-Incident Review müssen zudem mögliche Verbesserungen der Notfallprozesse identifiziert werden. Auch Notfallpläne müssen regelmäßig getestet werden.

NIS2 verpflichtet Betreiber, die Aktivitäten ihrer IT-Systeme durch geeignete Tools zu überwachen um mögliche Vorfälle schnell zu erkennen und darauf reagieren zu können. Das Monitoring soll automatisiert ablaufen. Die Auswertung und Klassifizierung von relevanten Ereignissen obliegt jedoch der Organisation.

Ereignisse werden in einem Event Log aufgezeichnet und ausgewertet. Dazu zählen:

Das Event Log wird zentral gespeichert, gegen unberechtigten Zugriff abgesichert und durch regelmäßige Backups vor Verlust geschützt. Betreiber schaffen zudem einen Prozess, der es Kunden, Mitarbeitern oder Zulieferern erlaubt, verdächtige Ereignisse zu melden.

Zur Erfüllung von NIS2 müssen regulierte Betriebe einen Notfallplan erstellen, der die Betriebsfortführung (Business Continuity) und Wiederherstellung des Normalbetriebs (Disaster Recovery) abdeckt. Darin sind Rollen, Aufgaben, Abläufe, wichtige Kontakte, benötigte Ressourcen und genaue Wiederherstellungspläne geregelt. Der Notfallplan muss auf einer Risiko- und Business-Impact-Analyse aufbauen und regelmäßig getestet werden.

Firmen müssen Backups ihrer Daten anlegen, diese sicher verwahren, ihre Integrität prüfen und durch regelmäßige Tests sicherstellen, dass die angelegten Kopien für eine Wiederherstellung ausreichen. Auch bei Personal und IT-Infrastruktur muss das Unternehmen für genügend Redundanz sorgen, um die Ausfallsicherheit zu gewährleisten.

Supply Chain Security ist eines der größten Fokusthemen der NIS2 Richtlinie. Betroffene Firmen müssen den Umgang mit Zulieferern und Dienstleistern über eine Supply Chain Policy regeln, die notwendige Vertragsbestimmungen sowie Kriterien für die Auswahl von Dienstleistern festlegt.

Bei der Auswahl von Zulieferern müssen Firmen unter NIS2 die Sicherheitspraktiken des jeweiligen Dienstleisters in Betracht ziehen sowie durch Diversifizierung die Abhängigkeit von einzelnen Anbietern minimieren (Vendor Lock-In). Firmen müssen zudem ein Verzeichnis sämtlicher direkter Zulieferer und Dienstleister anlegen. Dieses muss auch im Unternehmen verwendete IT-Produkte abdecken.

Darüber hinaus definiert NIS2 Anforderungen an Service-Level-Agreements (SLAs) mit Zulieferern. Diese müssen Anforderungen an die personelle und IT-Sicherheit festlegen, die auch bei Auftragsweitergabe bestehen. Zulieferer müssen sich verpflichten, Vorfälle umgehend zu melden, die die IT-Systeme des Kunden gefährden, und entsprechende Schwachstellen zu beheben. Organisationen erhalten das Recht, Zulieferer zu auditieren oder Einblick in unabhängige Audits zu erhalten. Die Einhaltung des Service Level Agreements ist laufend zu überwachen.

Von NIS2 regulierte Organisationen müssen Sicherheitsrisiken durch die Nutzung von IT-Produkten und Dienstleistungen minimieren, indem sie:

Ebenso ist bei der Entwicklung eigener Software auf sichere Development-Prozesse und Vorgaben wie Security by Design und Zero Trust zu achten.

Für die sichere Nutzung von IT-Produkten müssen Firmen diese durch die richtige Konfiguration abhärten, sich vor Malware schützen, Sicherheitsupdates zeitnah einspielen, Veränderungen durch ein Change Management regeln, Schwachstellenscans durchführen und weitere Sicherheitslücken durch Security Tests identifizieren.

Zur Erfüllung von NIS2 müssen Organisationen ihr Netzwerk angemessen absichern. Dazu braucht es unter anderem ein aktuelles Netzwerkdiagramm, Zugriffskontrollen innerhalb des eigenen Netzwerks, Prozesse für sicheren Remote-Zugriff, das Sperren nicht benötigter Ports und Zugänge, sowie die Nutzung moderner, sicherer Protokolle.

Darüber hinaus muss das Netzwerk durch Segmentierung in unterschiedliche Bereiche aufgeteilt werden, abhängig von den Sicherheitsanforderungen und Risikoanalysen für verschiedene Systeme.

Aufbauend auf Risikoanalysen und vergangenen Vorfällen müssen Organisationen Prozesse zur Bewertung und Verbesserung der aktuellen Sicherheitsmaßnahmen entwickeln, etwa Security Assessments oder Sicherheitstests. Dazu muss die Organisation festlegen, welche Maßnahmen wie häufig und mit welchen Methoden überprüft werden und wer verantwortlich für die Kontrolle und Auswertung der Ergebnisse ist.

Unternehmen müssen ihre Mitarbeitenden über digitale Risiken, die Wichtigkeit von IT-Security und Praktiken der Cyberhygiene informieren. Dazu sind regelmäßige Schulungen für bestehende und neue Angestellte nötig, die alle relevanten Themen der Sicherheitsrichtlinie abdecken und an aktuelle Gefahren angepasst werden.

Für Mitarbeitende, die zur Erfüllung ihrer Rolle zusätzliche Kenntnisse über Cyber Security benötigen, muss die Organisation ein vertiefendes Trainingsprogramm implementieren.

Abhängig von der Klassifikation von Informationsassets und dem Schutzbedarf der jeweiligen Daten, muss die Organisation geeignete Prozesse zur Verschlüsselung von Daten implementieren. Dabei ist auf den korrekten Umgang und die sichere Verwaltung kryptographischer Schlüssel zu achten.

Von NIS2 regulierte Unternehmen müssen sicherstellen, dass sämtliche Mitarbeiter, sowie direkte Zulieferer und Dienstleister, die für sie gültigen Sicherheitsrichtlinien kennen, verstehen und befolgen. Dies gilt ebenso für die Geschäftsführung und Personen mit privilegierten Konten oder Admin-Zugriff.

Pflichten, die über die Beendigung des Beschäftigungsverhältnisses hinaus bestehen (etwa Verschwiegenheit), müssen vertraglich explizit festgelegt werden. Zugänge ehemaliger Mitarbeiter oder Dienstleister müssen durch Verfahren für die Zugriffskontrolle automatisch entfernt werden.

Zudem kann es notwendig sein, bestimmte Funktionen im Unternehmen nur an Personen mit einem bestandenen Background-Check zu übertragen. Welche Funktionen einen Background-Check voraussetzen, muss die Organisation selbst festlegen. Die Durchführung muss in Einklang mit geltendem Recht erfolgen.

NIS2 verpflichtet Firmen, eine Richtlinie für Zugriffskontrolle (Access Control Policy) zu etablieren, die den Zugriff auf IT-Ressourcen durch Mitarbeitende, Gäste, externe Dienstleister sowie durch Apps und Systemprozesse steuert.

Organisationen müssen den gesamten Lebenszyklus von IT-Systemen und Benutzerkonten managen. Konten und ihre Aktivitäten müssen einer einzelnen Person klar zuordenbar sein. Die Nutzung geteilter Konten ist nur bei zwingender Notwendigkeit und nach Genehmigung durch die Organisation erlaubt.

Der Zugang zu Konten muss durch sichere Authentifizierung geschützt werden, insbesondere Multi-Faktor-Authentifizierung. Nach wiederholten fehlgeschlagenen Logins muss der Zugang gesperrt werden und eine Änderung der Zugangsdaten ist erforderlich. Admins müssen separate Konten für Admintätigkeiten verwenden.

Die Vergabe, Anpassung, Löschung und Dokumentation von Zugriffsrechten muss den Best Practices der Funktionstrennung und des Least Privilege Prinzips folgen. Ändert sich die Rolle eines Mitarbeiters oder verlässt er die Organisation, muss sein Zugriff entsprechend angepasst werden.

Der Zugriff auf IT-Ressourcen muss durch den jeweiligen Dateneigentümer freigegeben werden. Organisationen müssen sämtliche vergebenen Rechte aufzeichnen und in regelmäßigen Intervallen überprüfen – durch sogenannte User Access Reviews. Nicht mehr benötigte Rechte sind dabei zu entfernen.

Organisationen müssen im Rahmen von NIS2 für die sichere Verwaltung von Informationen und sonstigen Assets sorgen. Dazu muss ein Inventar sämtlicher Assets erstellt werden, die den Normalbetrieb der Organisation unterstützen. Das Asset-Inventar muss laufend aktualisiert werden. Dabei muss nachvollziehbar sein, wer welche Änderungen durchgeführt hat.

Die Organisation muss eine Klassifizierung von Assets vornehmen, abhängig von ihrem jeweiligen Schutzbedarf. Es muss eine Richtlinie für den Umgang mit Assets erstellt werden, die den gesamten Lebenszyklus der Daten bzw. Objekte abdeckt und Anweisungen für den sicheren Gebrauch, Transport und Zerstörung von Assets enthält. Beim Austritt aus der Organisation muss sichergestellt werden, dass sämtliche Assets zurückgegeben werden.

Ebenso muss eine Richtline für die Nutzung von Wechseldatenträgern etabliert werden. Die Verwendung tragbarer Speichermedien ist darin grundsätzlich untersagt, außer der Einsatz ist für den Betrieb der Organisation erforderlich. In diesem Fall müssen Firmen das automatische Ausführen von Dateien blockieren und Datenträger auf Schadcode scannen. Datenträger müssen während Transport und Nutzung überwacht und nach Möglichkeit durch Verschlüsselung abgesichert werden.

Der gefahrenübergreifende Ansatz von NIS2 erfordert, regulierte Betriebe auch gegen physische Gefahren abzusichern. Dazu zählt, den unberechtigten Zugang zu Anlagen durch geeignete Schutzmaßnahmen und Zugangskontrollen zu verhindern.

Unternehmen müssen sich zudem gegen Betriebsausfälle infolge einer Störung der Gas-, Wasser- oder Energieversorgung absichern. Um den durchgehenden Betrieb von Informationssystemen zu sichern, müssen Organisationen alle dafür relevanten Faktoren überwachen, etwa Prozesse zur Steuerung von Temperatur und Luftfeuchtigkeit. Ebenso müssen Schutzmaßnahmen gegen physische Gefahren und Naturkatastrophen wie Feuer, Flut oder Blitzschlag getroffen werden.

Die Anforderungen von NIS2 sind weitgehend identisch mit der Sicherheitsnorm ISO 27001. Das ist auch nicht weiter verwunderlich: Beide Dokumente haben das Ziel, eine umfassende Absicherung von IT-Systemen gegen digitale und physische Bedrohungen zu gewährleisten. Bei dieser Aufgabe sind zwangsläufig dieselben Themen von Relevanz.

Dennoch gibt es einige Unterschiede zwischen NIS2 und ISO 27001:

Auch wenn nationale Gesetze und einige Details rund um NIS2 noch nicht finalisiert sind, dürfen regulierte Betriebe keinesfalls den Fehler machen, zu lange mit der Vorbereitung zu warten. Denn es gibt keine Schonfrist: Die neuen Anforderungen gelten ab dem 17. Oktober 2024!

Für Organisationen, die noch kein eigenes ISMS implementiert haben, ist das eine sehr knappe Deadline. Doch auch für Betriebe, die über eine bestehende Zertifizierung verfügen – sei es ISO 27001, der BSI Grundschutz oder ein B3S-Standard – sind noch einige Anpassungen notwendig, um sich auf NIS2 vorzubereiten. Je früher Sie mit der Umsetzung starten, desto besser!

NIS2 ist eine EU-Richtlinie zur Informationssicherheit (Network and Information Security) in essenziellen Bereichen der öffentlichen Versorgung. Sie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert diese um strengere Sicherheitsanforderungen, zusätzliche Sektoren und eine höhere Zahl betroffener Betriebe.

Darüber hinaus regelt NIS2 auch nationale Cybersicherheitsbehörden, den Aufbau von Computernotfallteams (CSIRT), EU-weite Initiativen wie den Aufbau eines Schwachstellen-Registers und die Rolle von ENISA als zentrale Anlaufstelle regulierter Organisationen

NIS2 ist am 16.01.2023 offiziell in Kraft getreten. Bevor die Richtlinie aktiv wird, muss sie allerdings von den Mitgliedsstaaten der EU in nationales Recht übertragen werden. Die einzelnen Länder haben bis zum 17. Oktober 2024 Zeit, um ein entsprechendes NIS2-Gesetz zu erlassen.

Die NIS2-Gesetzgebung in Deutschland und Österreich wird jedoch nicht fristgerecht abgeschlossen sein. In Deutschland ist ein Inkrafttreten im März 2025 geplant. In Österreich ist der nähere Zeitplan zurzeit unklar, da der begutachtete Entwurf nicht die erforderliche Mehrheit im Parlament erreicht hat.

Da keine Übergangsfrist vorgesehen ist, sind betroffene Betriebe somit ab dem 18. Oktober 2024 verpflichtet, sich bei der zuständigen nationalen Behörde zu registrieren, Vorfälle zu melden und die Einhaltung der Sicherheitsanforderungen zu gewährleisten.

NIS2 betrifft Betriebe in gesellschaftlich relevanten Sektoren. Die Richtlinie unterscheidet hierbei zwischen besonders wichtigen und wichtigen Einrichtungen, abhängig von der Größe des Unternehmens und dem Tätigkeitsbereich. Experten gehen durch NIS2 von rund 20.000 zusätzlichen regulierten Betrieben in Deutschland und 3.400 Betrieben in Österreich aus.

Um mehrfache Regulierung zu vermeiden, gibt es in NIS2 eine Ausnahme für Einrichtungen, die durch einen anderen EU-weiten Rechtsakt Anforderungen an die Cybersecurity erfüllen müssen, die den Anforderungen von NIS2 mindestens gleichwertig sind.

Beispielsweise müssen Finanzeinrichtungen, die DORA unterliegen, den Nachweis ihrer Informationssicherheit und die Meldung von Vorfällen nur im Rahmen von DORA erbringen. Sie sind also nicht von NIS2 betroffen.

Grundsätzlich stellt NIS2 die gleichen Sicherheitsanforderungen an wichtige und besonders wichtige (=essentielle) Einrichtungen. Allerdings sieht NIS2 auch eine Anpassung des Risikomanagements je nach der Größe einer Einrichtung, der Wahrscheinlichkeit eines Vorfalls und den erwartbaren Folgen für Wirtschaft und Gesellschaft vor.

Darüber hinaus gibt es Unterschiede zwischen wichtigen und besonders wichtigen Einrichtungen hinsichtlich der Durchsetzung von NIS2. Besonders wichtige Einrichtungen unterliegen strengerer Aufsicht und sollen durch regelmäßige Stichproben kontrolliert werden. Im Unterschied dazu gibt es für wichtige Einrichtungen nur Kontrollen bei begründetem Verdacht.

In Deutschland existiert zudem weiterhin die Kategorie der kritischen Anlagen, die sich aus den Sektoren und Schwellenwerten der KRITIS Verordnung bzw. aus dem KRITIS Dachgesetz ergeben. Kritische Anlagen müssen die Einhaltung der NIS2 Anforderungen durch einen Audit alle 3 Jahre nachweisen. Zudem gelten für kritische Anlagen höhere Ansprüche an die Verhältnismäßigkeit und der Einsatz von Systemen zur Angriffserkennung ist für sie explizit vorgeschrieben.

Im Unterschied zu EU-Verordnungen wie der DSGVO, welche unmittelbar in Kraft treten, müssen EU-Richtlinien wie NIS2 erst in nationales Recht überführt werden. Dabei folgt die EU dem Konzept der Mindestharmonisierung. Das bedeutet, dass alle Länder der europäischen Union verpflichtet sind, Gesetze zu verabschieden, die mindestens so streng sind wie die Vorgabe der EU.

Mitgliedsstaaten können aber auch über die EU-Vorgaben hinaus gehen und freiwillig strengere Gesetze erlassen (sogenanntes Gold Plating). Zum Beispiel können Staaten zusätzliche Bereiche als kritisch definieren oder strengere Regeln für Betreiber festlegen. Die genauen Anforderungen können daher von Land zu Land abweichen.

Am 3. April 2024 hat die österreichische Bundesregierung einen Gesetzesentwurf für die Umsetzung von NIS2 in Begutachtung geschickt. Die Begutachtungsfrist von 4 Wochen ist mittlerweile abgelaufen. Allerdings hat dieser Entwurf nicht die notwendige Zwei-Drittel-Mehrheit im Parlament erreicht. Die Verabschiedung eines NIS2-Gesetzes ist somit erst 2025 unter der kommenden Regierung zu erwarten.

Die genauen Anforderungen an Unternehmen in Anlage 3 sind bislang nur in Stichpunkten definiert und orientieren sich an den gemeinsam ausgearbeiteten Empfehlungen der europäischen Koordinationsgruppen. Die enthaltenen Themen decken sich weitgehend mit den Anforderungen aus dem Durchführungsrechtsakt der EU.

Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 wurde in Deutschland durch das IT-Sicherheitsgesetz sowie die KRITIS Verordnung umgesetzt und unterliegt dem Bundesamt für Sicherheit in der Informationstechnik als nationale Behörde. Auf der Website des BSI gibt es bereits FAQs zu NIS2 und einen Fragebogen zur Betroffenheitsprüfung, mit dem Unternehmen checken können, ob sie unter die EU-Richtlinie fallen.

Um die NIS2 Anforderungen in geltendes Recht zu übertragen wurde inzwischen das sogenannte NIS2 Umsetzungs und Cybersicherheitsstärkungsgessetz erlassen (NIS2UmsuCG).

Inhaltlich weicht das NIS2-Umsetzungsgesetz vor allem durch den Erhalt der kritischen Anlagen als eigene Kategorie ab. Diese unterliegen durch Audits alle drei Jahre strengerer Kontrolle als wichtige bzw. besonders wichtige Anlagen. Die durch KRITIS 2.0 geschaffene Kategorie der Unternehmen im besonderen öffentlichen Interesse (UBI) ist durch NIS2 hingegen nicht mehr relevant. Diese fallen stattdessen unter die wichtigen Einrichtungen.