NIS2 Anforderungen: Alle Details fรผr betroffene Unternehmen

Mit der NIS2 Richtlinie verpflichtet die europรคische Union Betreiber in wichtigen Sektoren wie Energie, Wasser und Gesundheit zur Umsetzung strenger SicherheitsmaรŸnahmen. Durch NIS2 sind deutlich mehr Firmen von der Regelung betroffen als unter der bestehenden NIS-Richtlinie. Alles, was Firmen รผber die Sicherheitsanforderungen von NIS2 wissen mรผssen!

NIS2: Anforderungen an Unternehmen

Die NIS2 Richtlinie verpflichtet Firmen, die in einen der regulierten Sektoren fallen und grรถรŸer als der Grenzwert (Size Cap) sind, dazu:

  • 1

    geeignete technische, operative und organisatorische MaรŸnahmen zu ergreifen

  • 2

    um die Risiken fรผr die Sicherheit von Netz- und Informationssystemen zu beherrschen

  • 3

    und Sicherheitsvorfรคlle zu verhindern bzw. ihre Auswirkungen zu minimieren.

Hinsichtlich dieser Sicherheitsanforderungen nennt NIS2 selbst lediglich einige grundlegende Eckpunkte. Die MaรŸnahmen mรผssen auf einem gefahrenรผbergreifenden Ansatz beruhen, der sowohl digitale Bedrohungen als auch die physische Sicherheit von IT-Systemen abdeckt.

Zudem nennt NIS2 einige Themen, die mindestens abgedeckt werden mรผssen: Risikoanalysen, der Umgang mit Sicherheitsvorfรคllen, Business Continuity, Sicherheit der Lieferkette, Security Awareness, Verschlรผsselung, Zugriffskontrolle sowie Multi-Faktor-Authentifizierung.

NIS2: Anforderungen im Detail

Seit dem 27.06.2024 liegt ein erster Entwurf fรผr einen Durchfรผhrungsrechtsakt vor, in dem die EU die Sicherheitsanforderungen in NIS2 konkretisiert. Dieser Rechtsakt gilt nur fรผr IT-Dienstleister, da diese Branche nicht von Mitgliedsstaaten, sondern direkt von der EU reglementiert wird.

Dennoch erlaubt der Durchfรผhrungsrechtsakt einen ersten Einblick in die genauen Anforderungen von NIS2. Die Vorgaben fรผr andere Branchen mรผssen erst durch Verordnungen auf nationaler Ebene festgelegt werden, dรผrften aber in Umfang und Strenge sehr รคhnlich ausfallen.

Whitepaper

NIS2: Access Governance Anforderungen

Informieren Sie sich: Welche Anforderungen stellt NIS2 an das Zugriffsmanagement und wie hilft tenfold Ihnen dabei, diese schnell und einfach zu erfรผllen.

1

Sicherheitsrichtlinie

Zur Einhaltung von NIS2 mรผssen Organisationen eine Sicherheitsrichtlinie erstellen, die ihre Vorgehensweise bei der Absicherung ihres Netzwerks und ihrer IT-Systeme beschreibt. Die Richtlinie muss fรผr die Ziele der Organisation angemessen sein, die zur Erfรผllung notwendigen Ressourcen bereitstellen und entsprechende Rollen und Verantwortungen festlegen.

Die Sicherheitsrichtline muss in regelmรครŸigen Abstรคnden, sowie nach erheblichen Vorfรคllen oder Verรคnderungen der IT รผberprรผft und bei Bedarf angepasst werden. Die Richtlinie muss auch weitere relevante Dokumente und themenspezifische Policies auflisten.

2

Risikomanagement

Regulierte Betriebe mรผssen ein Risikomanagement-Framework etablieren, mit dem sie Risiken fรผr die Sicherheit von IT-Systemen identifizieren und behandeln. Dazu mรผssen Risiko-Assessments durchgefรผhrt werden. Die Geschรคftsleitung muss die darauf aufbauenden MaรŸnahmen absegnen beziehungsweise die verbleibenden Restrisiken akzeptieren.

Organisationen mรผssen Prozesse fรผr die Identifikation und den Umgang mit Risiken an ihre Belegschaft kommunizieren. Der Risikomanagement-Prozess muss einem gefahrenรผbergreifenden Ansatz folgen, auf relevanten Kriterien aufbauen und, soweit mรถglich, an gรคngige Standards anknรผpfen. Der Risikomanagement-Prozess muss auch festlegen, wer fรผr die Implementierung der MaรŸnahmen verantwortlich ist. Auch das Risk Management Framework muss regelmรครŸig sowie nach Vorfรคllen und Verรคnderungen รผberprรผft und aktualisiert werden.

Organisationen mรผssen die Einhaltung der Sicherheitsrichtlinie und weiteren Policies regelmรครŸig durch ein Compliance-Monitoring System kontrollieren. Die Effektivitรคt der Sicherheitsrichtlinie ist von qualifizierten Personen und unter Vermeidung von Interessenskonflikten zu รผberprรผfen.

3

Bewรคltigung von Vorfรคllen

Von NIS2 betroffene Betriebe mรผssen eine Richtlinie fรผr den Umgang mit Sicherheitsvorfรคllen erstellen, die den korrekten Ablauf fรผr die Erkennung und den Umgang mit mรถglichen Vorfรคllen regelt.

In der Incident Handling Policy wird festgelegt, wer zustรคndig fรผr die Erkennung und Reaktion auf Vorfรคlle ist, welche MaรŸstรคbe fรผr die Klassifizierung von Vorfรคllen gelten, welche MaรŸnahmen gesetzt werden mรผssen und welche Berichtspflichten zu erfรผllen sind โ€“ etwa an Behรถrden und nationale CSIRTs.

Die Reaktion auf IT-Vorfรคlle erfolgt in drei Stufen: Die Eindรคmmung, welche die weitere Ausbreitung verhindert. Die Behebung, die ein erneutes bzw. fortlaufendes Auftreten des Vorfalls verhindert. Und die Wiederherstellung des normalen Betriebs.

MaรŸnahmen bei der Bewรคltigung von IT-Vorfรคllen mรผssen aufgezeichnet und forensisch relevante Daten gesichert werden. Nach einem Vorfall muss seine Ursache festgestellt und wenn mรถglich behoben werden. Bei einem Post-Incident Review mรผssen zudem mรถgliche Verbesserungen der Notfallprozesse identifiziert werden. Auch Notfallplรคne mรผssen regelmรครŸig getestet werden.

Kommt es zu einem erheblichen Sicherheitsvorfall, muss das Unternehmen die zustรคndige Behรถrde bzw. CSIRT innerhalb von 24 Stunden benachrichtigen. Binnen 72 Stunden muss eine detailliertere Meldung erbracht und sowie ein Abschlussbericht nach einem Monat รผbermittelt werden (ausgenommen der Sicherheitsvorfall dauert an).

4

Monitoring & Logging

NIS2 verpflichtet Betreiber, die Aktivitรคten ihrer IT-Systeme durch geeignete Tools zu รผberwachen um mรถgliche Vorfรคlle schnell zu erkennen und darauf reagieren zu kรถnnen. Das Monitoring soll automatisiert ablaufen. Die Auswertung und Klassifizierung von relevanten Ereignissen obliegt jedoch der Organisation.

Ereignisse werden in einem Event Log aufgezeichnet und ausgewertet. Dazu zรคhlen:

  • Ein- und ausgehender Netzwerktraffic

  • Anlage, Anpassung u. Lรถschung von Konten, sowie Anpassung von Zugriffsrechten

  • Zugriff auf Systeme und Anwendungen

  • Ereignisse rund um die Authentifizierung

  • Aktivitรคten privilegierter Konten

  • Zugriff auf Backups u. Config-Dateien

  • Firewall Logs, Antiviren Logs etc.

  • Nutzung u. Performance von System-Ressourcen

  • Physischer Zugang zu Anlagen

  • Zugriff auf Netzwerk-Gerรคte

  • Start, Stopp u. Pausierung von Logs

  • Physische Gefahren, z.B. Feueralarm

Das Event Log wird zentral gespeichert, gegen unberechtigten Zugriff abgesichert und durch regelmรครŸige Backups vor Verlust geschรผtzt. Betreiber schaffen zudem einen Prozess, der es Kunden, Mitarbeitern oder Zulieferern erlaubt, verdรคchtige Ereignisse zu melden.

5

Business Continuity

Zur Erfรผllung von NIS2 mรผssen regulierte Betriebe einen Notfallplan erstellen, der die Betriebsfortfรผhrung (Business Continuity) und Wiederherstellung des Normalbetriebs (Disaster Recovery) abdeckt. Darin sind Rollen, Aufgaben, Ablรคufe, wichtige Kontakte, benรถtigte Ressourcen und genaue Wiederherstellungsplรคne geregelt. Der Notfallplan muss auf einer Risiko- und Business-Impact-Analyse aufbauen und regelmรครŸig getestet werden.

Firmen mรผssen Backups ihrer Daten anlegen, diese sicher verwahren, ihre Integritรคt prรผfen und durch regelmรครŸige Tests sicherstellen, dass die angelegten Kopien fรผr eine Wiederherstellung ausreichen. Auch bei Personal und IT-Infrastruktur muss das Unternehmen fรผr genรผgend Redundanz sorgen, um die Ausfallsicherheit zu gewรคhrleisten.

6

Sicherheit der Lieferkette

Supply Chain Security ist eines der grรถรŸten Fokusthemen der NIS2 Richtlinie. Betroffene Firmen mรผssen den Umgang mit Zulieferern und Dienstleistern รผber eine Supply Chain Policy regeln, die notwendige Vertragsbestimmungen sowie Kriterien fรผr die Auswahl von Dienstleistern festlegt.

Bei der Auswahl von Zulieferern mรผssen Firmen unter NIS2 die Sicherheitspraktiken des jeweiligen Dienstleisters in Betracht ziehen sowie durch Diversifizierung die Abhรคngigkeit von einzelnen Anbietern minimieren (Vendor Lock-In). Firmen mรผssen zudem ein Verzeichnis sรคmtlicher direkter Zulieferer und Dienstleister anlegen. Dieses muss auch im Unternehmen verwendete IT-Produkte abdecken.

Darรผber hinaus definiert NIS2 Anforderungen an Service-Level-Agreements (SLAs) mit Zulieferern. Diese mรผssen Anforderungen an die personelle und IT-Sicherheit festlegen, die auch bei Auftragsweitergabe bestehen. Zulieferer mรผssen sich verpflichten, Vorfรคlle umgehend zu melden, die die IT-Systeme des Kunden gefรคhrden, und entsprechende Schwachstellen zu beheben. Organisationen erhalten das Recht, Zulieferer zu auditieren oder Einblick in unabhรคngige Audits zu erhalten. Die Einhaltung des Service Level Agreements ist laufend zu รผberwachen.

7

Sichere Beschaffung und Nutzung von IT-Produkten

Von NIS2 regulierte Organisationen mรผssen Sicherheitsrisiken durch die Nutzung von IT-Produkten und Dienstleistungen minimieren, indem sie:

  • Bei der Auswahl auf die Einhaltung von Sicherheitsanforderungen achten

  • Produkte austauschen, die keine Sicherheitsupdates mehr erhalten (End of Life)

  • Enthaltene Hardware- und Softwarekomponenten dokumentieren

  • Fรผr die korrekte Konfiguration enthaltener Sicherheitsfunktionen sorgen

Ebenso ist bei der Entwicklung eigener Software auf sichere Development-Prozesse und Vorgaben wie Security by Design und Zero Trust zu achten.

Fรผr die sichere Nutzung von IT-Produkten mรผssen Firmen diese durch die richtige Konfiguration abhรคrten, sich vor Malware schรผtzen, Sicherheitsupdates zeitnah einspielen, Verรคnderungen durch ein Change Management regeln, Schwachstellenscans durchfรผhren und weitere Sicherheitslรผcken durch Security Tests identifizieren.

Mitgliedsstaaten kรถnnen regulierte Betriebe bei Bedarf verpflichten, nur IT-Produkte und Dienstleistungen mit einer Cybersicherheitszertifizierung zu verwenden. Dazu hat ENISA das Schema der EU Common Criteria (EUCC) entwickelt, eine Abwandlung des bestehenden Sicherheitsstandards Common Criteria.

Flagge der EU mit Logo fรผr IT-Sicherheit.
Welche Anforderungen stellt NIS2 an die Cybersicherheit in Unternehmen? Adobe Stock, (c) Goodpics
8

Netzwerksicherheit

Zur Erfรผllung von NIS2 mรผssen Organisationen ihr Netzwerk angemessen absichern. Dazu braucht es unter anderem ein aktuelles Netzwerkdiagramm, Zugriffskontrollen innerhalb des eigenen Netzwerks, Prozesse fรผr sicheren Remote-Zugriff, das Sperren nicht benรถtigter Ports und Zugรคnge, sowie die Nutzung moderner, sicherer Protokolle.

Darรผber hinaus muss das Netzwerk durch Segmentierung in unterschiedliche Bereiche aufgeteilt werden, abhรคngig von den Sicherheitsanforderungen und Risikoanalysen fรผr verschiedene Systeme.

9

Kontrolle der Effektivitรคt

Aufbauend auf Risikoanalysen und vergangenen Vorfรคllen mรผssen Organisationen Prozesse zur Bewertung und Verbesserung der aktuellen SicherheitsmaรŸnahmen entwickeln, etwa Security Assessments oder Sicherheitstests. Dazu muss die Organisation festlegen, welche MaรŸnahmen wie hรคufig und mit welchen Methoden รผberprรผft werden und wer verantwortlich fรผr die Kontrolle und Auswertung der Ergebnisse ist.

10

Security Awareness

Unternehmen mรผssen ihre Mitarbeitenden รผber digitale Risiken, die Wichtigkeit von IT-Security und Praktiken der Cyberhygiene informieren. Dazu sind regelmรครŸige Schulungen fรผr bestehende und neue Angestellte nรถtig, die alle relevanten Themen der Sicherheitsrichtlinie abdecken und an aktuelle Gefahren angepasst werden.

Fรผr Mitarbeitende, die zur Erfรผllung ihrer Rolle zusรคtzliche Kenntnisse รผber Cyber Security benรถtigen, muss die Organisation ein vertiefendes Trainingsprogramm implementieren.

11

Verschlรผsselung

Abhรคngig von der Klassifikation von Informationsassets und dem Schutzbedarf der jeweiligen Daten, muss die Organisation geeignete Prozesse zur Verschlรผsselung von Daten implementieren. Dabei ist auf den korrekten Umgang und die sichere Verwaltung kryptographischer Schlรผssel zu achten.

12

Personelle Sicherheit

Von NIS2 regulierte Unternehmen mรผssen sicherstellen, dass sรคmtliche Mitarbeiter, sowie direkte Zulieferer und Dienstleister, die fรผr sie gรผltigen Sicherheitsrichtlinien kennen, verstehen und befolgen. Dies gilt ebenso fรผr die Geschรคftsfรผhrung und Personen mit privilegierten Konten oder Admin-Zugriff.

Pflichten, die รผber die Beendigung des Beschรคftigungsverhรคltnisses hinaus bestehen (etwa Verschwiegenheit), mรผssen vertraglich explizit festgelegt werden. Zugรคnge ehemaliger Mitarbeiter oder Dienstleister mรผssen durch Verfahren fรผr die Zugriffskontrolle automatisch entfernt werden.

Zudem kann es notwendig sein, bestimmte Funktionen im Unternehmen nur an Personen mit einem bestandenen Background-Check zu รผbertragen. Welche Funktionen einen Background-Check voraussetzen, muss die Organisation selbst festlegen. Die Durchfรผhrung muss in Einklang mit geltendem Recht erfolgen.

13

Zugriffskontrolle

NIS2 verpflichtet Firmen, eine Richtlinie fรผr Zugriffskontrolle (Access Control Policy) zu etablieren, die den Zugriff auf IT-Ressourcen durch Mitarbeitende, Gรคste, externe Dienstleister sowie durch Apps und Systemprozesse steuert.

Organisationen mรผssen den gesamten Lebenszyklus von IT-Systemen und Benutzerkonten managen. Konten und ihre Aktivitรคten mรผssen einer einzelnen Person klar zuordenbar sein. Die Nutzung geteilter Konten ist nur bei zwingender Notwendigkeit und nach Genehmigung durch die Organisation erlaubt.

Der Zugang zu Konten muss durch sichere Authentifizierung geschรผtzt werden, insbesondere Multi-Faktor-Authentifizierung. Nach wiederholten fehlgeschlagenen Logins muss der Zugang gesperrt werden und eine ร„nderung der Zugangsdaten ist erforderlich. Admins mรผssen separate Konten fรผr Admintรคtigkeiten verwenden.

Die Vergabe, Anpassung, Lรถschung und Dokumentation von Zugriffsrechten muss den Best Practices der Funktionstrennung und des Least Privilege Prinzips folgen. ร„ndert sich die Rolle eines Mitarbeiters oder verlรคsst er die Organisation, muss sein Zugriff entsprechend angepasst werden.

Der Zugriff auf IT-Ressourcen muss durch den jeweiligen Dateneigentรผmer freigegeben werden. Organisationen mรผssen sรคmtliche vergebenen Rechte aufzeichnen und in regelmรครŸigen Intervallen รผberprรผfen โ€“ durch sogenannte User Access Reviews. Nicht mehr benรถtigte Rechte sind dabei zu entfernen.

Um die NIS2 Anforderungen an die Zugriffskontrolle zu erfรผllen, brauchen Organisationen geeignete Lรถsungen fรผr das Identity & Access Management. Nur so lassen sich Vorgaben wie Least Privilege, User Lifecycle Management und Access Reviews erfรผllen.

Fรผr kleine und mittelgroรŸe Einrichtungen ist dies keine leichte Aufgabe, denn typische IAM-Systeme sind fรผr den Einsatz in GroรŸkonzernen ausgelegt. Die gute Nachricht: Mit tenfold lassen sich Aufgaben rund um das Berechtigungsmanagement besonders schnell und einfach automatisieren! รœberzeugen Sie sich selbst bei einem kostenlosen Test!

14

Asset Management

Organisationen mรผssen im Rahmen von NIS2 fรผr die sichere Verwaltung von Informationen und sonstigen Assets sorgen. Dazu muss ein Inventar sรคmtlicher Assets erstellt werden, die den Normalbetrieb der Organisation unterstรผtzen. Das Asset-Inventar muss laufend aktualisiert werden. Dabei muss nachvollziehbar sein, wer welche ร„nderungen durchgefรผhrt hat.

Die Organisation muss eine Klassifizierung von Assets vornehmen, abhรคngig von ihrem jeweiligen Schutzbedarf. Es muss eine Richtlinie fรผr den Umgang mit Assets erstellt werden, die den gesamten Lebenszyklus der Daten bzw. Objekte abdeckt und Anweisungen fรผr den sicheren Gebrauch, Transport und Zerstรถrung von Assets enthรคlt. Beim Austritt aus der Organisation muss sichergestellt werden, dass sรคmtliche Assets zurรผckgegeben werden.

Ebenso muss eine Richtline fรผr die Nutzung von Wechseldatentrรคgern etabliert werden. Die Verwendung tragbarer Speichermedien ist darin grundsรคtzlich untersagt, auรŸer der Einsatz ist fรผr den Betrieb der Organisation erforderlich. In diesem Fall mรผssen Firmen das automatische Ausfรผhren von Dateien blockieren und Datentrรคger auf Schadcode scannen. Datentrรคger mรผssen wรคhrend Transport und Nutzung รผberwacht und nach Mรถglichkeit durch Verschlรผsselung abgesichert werden.

15

Physische Sicherheit

Der gefahrenรผbergreifende Ansatz von NIS2 erfordert, regulierte Betriebe auch gegen physische Gefahren abzusichern. Dazu zรคhlt, den unberechtigten Zugang zu Anlagen durch geeignete SchutzmaรŸnahmen und Zugangskontrollen zu verhindern.

Unternehmen mรผssen sich zudem gegen Betriebsausfรคlle infolge einer Stรถrung der Gas-, Wasser- oder Energieversorgung absichern. Um den durchgehenden Betrieb von Informationssystemen zu sichern, mรผssen Organisationen alle dafรผr relevanten Faktoren รผberwachen, etwa Prozesse zur Steuerung von Temperatur und Luftfeuchtigkeit. Ebenso mรผssen SchutzmaรŸnahmen gegen physische Gefahren und Naturkatastrophen wie Feuer, Flut oder Blitzschlag getroffen werden.

NIS2 vs. ISO 27001: Was sind die Unterschiede?

Die Anforderungen von NIS2 sind weitgehend identisch mit der Sicherheitsnorm ISO 27001. Das ist auch nicht weiter verwunderlich: Beide Dokumente haben das Ziel, eine umfassende Absicherung von IT-Systemen gegen digitale und physische Bedrohungen zu gewรคhrleisten. Bei dieser Aufgabe sind zwangslรคufig dieselben Themen von Relevanz.

Dennoch gibt es einige Unterschiede zwischen NIS2 und ISO 27001:

  • Fester Scope: Als freiwillige Norm gibt ISO 27001 Unternehmen einige Freiheiten beim Festlegen des Scopes sowie der Auswahl und Anwendbarkeit der enthaltenen Kontrollen. Im Gegensatz dazu sind Organisationen unter NIS2 zur Absicherung der gesamten IT verpflichtet. Doch auch in NIS2 gibt es durch das Prinzip der VerhรคltnismรครŸigkeit Abstufungen: Der Aufwand fรผr das Unternehmen muss in einem vertretbaren Rahmen liegen.

  • Schulung der Geschรคftsleitung: Zur effektiven Beurteilung von IT-Risiken und GegenmaรŸnahmen verpflichtet NIS2 die Geschรคftsleitung regulierter Unternehmen zur regelmรครŸigen Teilnahme an eigenen Schulungen fรผr Entscheidungstrรคger.

  • Meldepflicht fรผr Vorfรคlle: NIS2-Betriebe, die einen erheblichen Sicherheitsvorfall erleiden, mรผssen eine Meldung innerhalb von 24 Stunden an Behรถrden und CSIRTs erbringen. In weiterer Folge sind eine zweite Meldung binnen 72 Stunden und ein Abschlussbericht nach einem Monat vorgeschrieben.

Neben inhaltlichen Abweichungen liegt der grรถรŸte Unterschied zu ISO 27001 in der Tatsache, dass NIS2 als verpflichtende EU-Richtlinie mit erheblichen Strafen verbunden ist. Bei Nichteinhaltung droht ein BuรŸgeld von bis zu 10 Millionen Euro bzw. 2 Prozent des jรคhrlichen Umsatzes.

NIS2 Anforderungen: Die Zeit drรคngt!

Auch wenn nationale Gesetze und einige Details rund um NIS2 noch nicht finalisiert sind, dรผrfen regulierte Betriebe keinesfalls den Fehler machen, zu lange mit der Vorbereitung zu warten. Denn es gibt keine Schonfrist: Die neuen Anforderungen gelten ab dem 17. Oktober 2024!

Fรผr Organisationen, die noch kein eigenes ISMS implementiert haben, ist das eine sehr knappe Deadline. Doch auch fรผr Betriebe, die รผber eine bestehende Zertifizierung verfรผgen โ€“ sei es ISO 27001, der BSI Grundschutz oder ein B3S-Standard โ€“ sind noch einige Anpassungen notwendig, um sich auf NIS2 vorzubereiten. Je frรผher Sie mit der Umsetzung starten, desto besser!

Was ist NIS2?

NIS2 ist eine EU-Richtlinie zur Informationssicherheit (Network and Information Security) in essenziellen Bereichen der รถffentlichen Versorgung. Sie ersetzt die ursprรผngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert diese um strengere Sicherheitsanforderungen, zusรคtzliche Sektoren und eine hรถhere Zahl betroffener Betriebe.

Darรผber hinaus regelt NIS2 auch nationale Cybersicherheitsbehรถrden, den Aufbau von Computernotfallteams (CSIRT), EU-weite Initiativen wie den Aufbau eines Schwachstellen-Registers und die Rolle von ENISA als zentrale Anlaufstelle regulierter Organisationen

Ab wann gilt NIS2?

NIS2 ist am 16.01.2023 offiziell in Kraft getreten. Bevor die Richtlinie aktiv wird, muss sie allerdings von den Mitgliedsstaaten der EU in nationales Recht รผbertragen werden. Die einzelnen Lรคnder haben bis zum 17. Oktober 2024 Zeit, um ein entsprechendes NIS2-Gesetz zu erlassen.

Die NIS2-Gesetzgebung in Deutschland und ร–sterreich wird jedoch nicht fristgerecht abgeschlossen sein. In Deutschland ist ein Inkrafttreten im Mรคrz 2025 geplant. In ร–sterreich ist der nรคhere Zeitplan zurzeit unklar, da der begutachtete Entwurf nicht die erforderliche Mehrheit im Parlament erreicht hat.

Da keine รœbergangsfrist vorgesehen ist, sind betroffene Betriebe somit ab dem 18. Oktober 2024 verpflichtet, sich bei der zustรคndigen nationalen Behรถrde zu registrieren, Vorfรคlle zu melden und die Einhaltung der Sicherheitsanforderungen zu gewรคhrleisten.

Wer ist von NIS2 betroffen?

NIS2 betrifft Betriebe in gesellschaftlich relevanten Sektoren. Die Richtlinie unterscheidet hierbei zwischen besonders wichtigen und wichtigen Einrichtungen, abhรคngig von der GrรถรŸe des Unternehmens und dem Tรคtigkeitsbereich. Experten gehen durch NIS2 von rund 20.000 zusรคtzlichen regulierten Betrieben in Deutschland und 3.400 Betrieben in ร–sterreich aus.

Besonders wichtige Einrichtungen

Mehr als 250 Beschรคftigte oder mehr als 50 Millionen Euro Jahresumsatz.

  • Energie

  • Verkehr

  • Finanzwesen

  • Gesundheit

  • Wasser

  • IT-Infrastruktur

  • IT-Dienste

  • ร–ff. Verwaltung

  • Weltraum

Wichtige Einrichtungen

Mehr als 50 Beschรคftigte oder mehr als 10 Millionen Euro Jahresumsatz.

  • Energie

  • Verkehr

  • Finanzwesen

  • Gesundheit

  • Post & Kurier

  • Abfallwirtschaft

  • Chemie

  • Lebensmittel

  • Wasser

  • IT-Infrastruktur

  • IT-Dienste

  • Online-Dienste

  • ร–ff. Verwaltung

  • Weltraum

  • Produktion

  • Forschung

Achtung: Auch kleinere Betriebe kรถnnen unter NIS 2 fallen, wenn es sich um den einzigen Anbieter im Mitgliedsstaat handelt oder ein Ausfall erhebliche Konsequenzen fรผr die Wirtschaft und รถffentliche Versorgung hรคtte.

Anbieter fรผr DNS-Dienste, Vertrauensdienste und die Domรคnennamen-Registrierung zรคhlen unabhรคngig von ihrer GrรถรŸe als wesentliche Einrichtungen. Das gilt ebenso fรผr die รถffentliche Verwaltung auf nationaler Ebene. Es bleibt den Mitgliedsstaaten รผberlassen, ob NIS2 auch auf die lokale Verwaltung und Bildungseinrichtungen angewendet wird.

Sektorspezifische Ausnahmen

Um mehrfache Regulierung zu vermeiden, gibt es in NIS2 eine Ausnahme fรผr Einrichtungen, die durch einen anderen EU-weiten Rechtsakt Anforderungen an die Cybersecurity erfรผllen mรผssen, die den Anforderungen von NIS2 mindestens gleichwertig sind.

Beispielsweise mรผssen Finanzeinrichtungen, die DORA unterliegen, den Nachweis ihrer Informationssicherheit und die Meldung von Vorfรคllen nur im Rahmen von DORA erbringen. Sie sind also nicht von NIS2 betroffen.

Unterschied besonders wichtige und wichtige Einrichtungen

Grundsรคtzlich stellt NIS2 die gleichen Sicherheitsanforderungen an wichtige und besonders wichtige (=essentielle) Einrichtungen. Allerdings sieht NIS2 auch eine Anpassung des Risikomanagements je nach der GrรถรŸe einer Einrichtung, der Wahrscheinlichkeit eines Vorfalls und den erwartbaren Folgen fรผr Wirtschaft und Gesellschaft vor.

Darรผber hinaus gibt es Unterschiede zwischen wichtigen und besonders wichtigen Einrichtungen hinsichtlich der Durchsetzung von NIS2. Besonders wichtige Einrichtungen unterliegen strengerer Aufsicht und sollen durch regelmรครŸige Stichproben kontrolliert werden. Im Unterschied dazu gibt es fรผr wichtige Einrichtungen nur Kontrollen bei begrรผndetem Verdacht.

In Deutschland existiert zudem weiterhin die Kategorie der kritischen Anlagen, die sich aus den Sektoren und Schwellenwerten der KRITIS Verordnung bzw. aus dem KRITIS Dachgesetz ergeben. Kritische Anlagen mรผssen die Einhaltung der NIS2 Anforderungen durch einen Audit alle 3 Jahre nachweisen. Zudem gelten fรผr kritische Anlagen hรถhere Ansprรผche an die VerhรคltnismรครŸigkeit und der Einsatz von Systemen zur Angriffserkennung ist fรผr sie explizit vorgeschrieben.

Weitere Unterschiede fรผr kritische Anlagen sind die Registrierung von kritischen Komponenten und die Mรถglichkeit, fรผr die Erfรผllung der NIS2 Anforderungen auf branchenspezifische Sicherheitsstandards (B3S) zurรผckzugreifen.

NIS2: Stand der Umsetzung

Im Unterschied zu EU-Verordnungen wie der DSGVO, welche unmittelbar in Kraft treten, mรผssen EU-Richtlinien wie NIS2 erst in nationales Recht รผberfรผhrt werden. Dabei folgt die EU dem Konzept der Mindestharmonisierung. Das bedeutet, dass alle Lรคnder der europรคischen Union verpflichtet sind, Gesetze zu verabschieden, die mindestens so streng sind wie die Vorgabe der EU.

Mitgliedsstaaten kรถnnen aber auch รผber die EU-Vorgaben hinaus gehen und freiwillig strengere Gesetze erlassen (sogenanntes Gold Plating). Zum Beispiel kรถnnen Staaten zusรคtzliche Bereiche als kritisch definieren oder strengere Regeln fรผr Betreiber festlegen. Die genauen Anforderungen kรถnnen daher von Land zu Land abweichen.

NIS2 in ร–sterreich

Am 3. April 2024 hat die รถsterreichische Bundesregierung einen Gesetzesentwurf fรผr die Umsetzung von NIS2 in Begutachtung geschickt. Die Begutachtungsfrist von 4 Wochen ist mittlerweile abgelaufen. Allerdings hat dieser Entwurf nicht die notwendige Zwei-Drittel-Mehrheit im Parlament erreicht. Die Verabschiedung eines NIS2-Gesetzes ist somit erst 2025 unter der kommenden Regierung zu erwarten.

Die genauen Anforderungen an Unternehmen in Anlage 3 sind bislang nur in Stichpunkten definiert und orientieren sich an den gemeinsam ausgearbeiteten Empfehlungen der europรคischen Koordinationsgruppen. Die enthaltenen Themen decken sich weitgehend mit den Anforderungen aus dem Durchfรผhrungsrechtsakt der EU.

NIS2 in Deutschland

Die ursprรผngliche NIS-Richtlinie aus dem Jahr 2016 wurde in Deutschland durch das IT-Sicherheitsgesetz sowie die KRITIS Verordnung umgesetzt und unterliegt dem Bundesamt fรผr Sicherheit in der Informationstechnik als nationale Behรถrde. Auf der Website des BSI gibt es bereits FAQs zu NIS2 und einen Fragebogen zur Betroffenheitsprรผfung, mit dem Unternehmen checken kรถnnen, ob sie unter die EU-Richtlinie fallen.

Um die NIS2 Anforderungen in geltendes Recht zu รผbertragen wurde inzwischen das sogenannte NIS2 Umsetzungs und Cybersicherheitsstรคrkungsgessetz erlassen (NIS2UmsuCG).

Inhaltlich weicht das NIS2-Umsetzungsgesetz vor allem durch den Erhalt der kritischen Anlagen als eigene Kategorie ab. Diese unterliegen durch Audits alle drei Jahre strengerer Kontrolle als wichtige bzw. besonders wichtige Anlagen. Die durch KRITIS 2.0 geschaffene Kategorie der Unternehmen im besonderen รถffentlichen Interesse (UBI) ist durch NIS2 hingegen nicht mehr relevant. Diese fallen stattdessen unter die wichtigen Einrichtungen.

Aktuelle Updates zu kritischen Infrastrukturen und NIS2 in Deutschland finden Sie auch auf OpenKRITIS.

Verfasst von: Joe Kรถller

Als tenfolds Content Manager verantwortet Joe Kรถller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitรคten tiefgehend beleuchtet. Komplexe Materie verstรคndlich zu erklรคren ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergrรผnde der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre รผber Games und digitale Medien berichtet.