NIS2 Anforderungen für Unternehmen: Was die NIS2-Richtlinie für Firmen bedeutet
Mit der NIS2 Richtlinie setzt die europäische Union verbindliche Vorgaben an die Cybersicherheit in gesellschaftlich bedeutsamen Sektoren wie Energie, Wasser und Gesundheit. Durch die Gesetzesnovelle sind deutlich mehr Bereiche und Betriebe von der Regelung betroffen als bisher. Welche Anforderungen NIS 2 an Unternehmen stellt und wie Firmen sich vorbereiten können, erfahren Sie in unserem Überblick.
Was ist NIS2?
NIS2 ist eine EU-Richtlinie zur Informationssicherheit (Network and Information Security) in kritischen Infrastrukturen, also essenziellen Bereichen der öffentlichen Versorgung. Sie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert diese um strengere Sicherheitsanforderungen, zusätzliche Sektoren und eine höhere Zahl betroffener Betriebe.
Darüber hinaus regelt NIS2 auch nationale Cybersicherheitsbehörden, den Aufbau von Computernotfallteams (CSIRT), EU-weite Initiativen wie den Aufbau eines Schwachstellen-Registers und die Rolle von ENISA als zentrale Anlaufstelle regulierter Organisationen
Ab wann gilt NIS2?
NIS2 ist am 16.01.2023 offiziell in Kraft getreten. Bevor die Richtlinie aktiv wird, muss sie allerdings von den Mitgliedsstaaten der EU in nationales Recht übertragen werden. Die einzelnen Länder haben bis zum 17. Oktober 2024 Zeit, um ein entsprechendes NIS2-Gesetz zu erlassen.
Da keine Übergangsfrist vorgesehen ist, sind betroffene Betriebe somit ab dem 18. Oktober 2024 verpflichtet, sich bei der zuständigen nationalen Behörde zu registrieren, Vorfälle zu melden und die Einhaltung der Sicherheitsanforderungen zu gewährleisten. Der Nachweis der Compliance durch eine entsprechende Zertifizierung oder einen Sicherheitsaudit muss im Anschluss regelmäßig erbracht werden.
Wie genau werden aus NIS2 nationale Gesetze?
EU-Richtlinien wie NIS2 folgen dem Konzept der Mindestharmonisierung. Das bedeutet, dass alle Länder der europäischen Union verpflichtet sind, Gesetze zu verabschieden, die mindestens so streng sind wie die Vorgabe der EU.
Mitgliedsstaaten dürfen die Vorgaben der EU also nicht unterschreiten, aber sie können diese erweitern oder verschärfen. Zum Beispiel können Staaten zusätzliche Bereiche als kritisch definieren oder strengere Vorgaben für Betreiber festlegen. Welche Anforderungen sich genau aus NIS2 ergeben, lässt sich daher erst sagen, wenn auf nationaler Ebene die notwendige Gesetzgebung finalisiert wurde.
Wer ist von NIS2 betroffen?
NIS2 richtet sich an Betriebe in gesellschaftlich relevanten Sektoren, wobei die Richtlinie hier zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen unterscheidet. Die Zuordnung erfolgt dabei anhand der Unternehmensgröße sowie des Tätigkeitsbereichs: Eine Einrichtung zählt dann als wesentlich, wenn sie in einem Sektor mit hoher Kritikalität (Anhang 1) tätig ist und mehr als 250 Beschäftigte oder mehr als 50 Millionen Euro Umsatz hat.
Sektoren hoher Kritikalität (Anhang 1):
Energie: Elektrizität, Erdöl, Erdgas, Wasserstoff, Fernwärme und -kälte
Verkehr: Straßenverkehr, Schienenverkehr, Luftverkehr, Schifffahrt
Finanzwesen: Banken, Kreditinstute, Wertpapierhandel
Gesundheitswesen: Krankenhäuser, Labors, Forschung, Pharmazie und Medizinprodukte
Wasser: Trinkwasser-Versorgung, Aufbereitung von Abwasser
Digitale Infrastruktur: Rechenzentren, DNS-Dienste, Cloud-Computing uvm.
IKT-Dienste (B2B): Anbieter von Managed Services bzw. Managed Security Services
Öffentliche Verwaltung: Behörden und Ämter auf nationaler und regionaler Ebene
Weltraum: Betreiber von Bodeninfrastrukturen
Sonstige kritische Sektoren (Anhang 2):
Post- und Kurierdienste: Brief- und Paketzustellung
Abfallbewirtschaftung: Abfallsammlung und -Verwertung
Chemie: Produktion und Handel mit chemischen Stoffen
Lebensmittel: Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Produktion: Herstellung von Medizinprodukten, Maschinen, Fahrzeugen, sowie elektrischen/elektronischen Geräten
Digitale Dienste: Suchmaschinen, Marktplätze, soziale Netzwerke
Forschung: Forschungseinrichtungen
Alle anderen Einrichtungen in Anhang 1 und Anhang 2 mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10 Millionen Euro zählen als wichtige Einrichtungen (Size Cap Regel). Experten gehen durch NIS2 von rund 20.000 zusätzlichen regulierten Betrieben in Deutschland und 3.400 Betrieben in Österreich aus. Vereinfacht ausgedrückt lässt sich die Aufteilung in wesentliche und wichtige Einrichtungen wie folgt zusammenfassen:
Wesentliche Einrichtungen: Großunternehmen in Sektoren hoher Kritikalität (Anhang 1)
Wichtige Einrichtungen: Mittlere Unternehmen in Sektoren hoher Kritikalität (Anhang 1) PLUS große und mittlere Unternehmen in den übrigen Sektoren (Anhang 2)
Achtung: Auch kleinere Betriebe können von NIS2 betroffen sein, wenn es sich um den einzigen Anbieter im Mitgliedsstaat handelt oder ein Ausfall erhebliche Konsquenzen für die Wirtschaft und öffentliche Versorgung hätte. Einrichtungen der öffentlichen Verwaltung sowie bestimmte digitale Dienste fallen unabhängig ihrer Größe unter die NIS2-Richtlinie.
Unterschied wesentliche und wichtige Einrichtungen
Grundsätzlich unterliegen wesentliche und wichtige Einrichtungen nach NIS2 den gleichen Sicherheitsanforderungen. Allerdings schreibt die Richtlinie auch eine Anpassung der Risikomanagementmaßnahmen an die Größe einer Einrichtung, die Wahrscheinlichkeit eines Vorfalls und die zu erwartenden Folgen für Wirtschaft und Gesellschaft vor. Daraus ergeben sich in der Praxis unterschiedliche Anforderungen für Einrichtungen in verschiedenen Sektoren.
Darüber hinaus gibt es in NIS2 Unterschiede zwischen wesentlichen und wichtigen Einrichtungen hinsichtlich der behördlichen Befugnisse zur Durchsetzung der Richtlinie. Wesentliche Einrichtungen unterliegen strengerer Aufsicht: Während externe Kontrollen bei wichtigen Einrichtungen nur nach einem Sicherheitsvorfall vorgesehen sind, erfolgen Prüfungen in wesentlichen Einrichtungen regelmäßig, gezielt und ad-hoc. Wesentliche Einrichtungen unterliegen zudem der EU RCE Richtlinie zur Ausfallsicherheit.
NIS2 in Deutschland
Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 wurde in Deutschland durch das IT-Sicherheitsgesetz sowie die KRITIS Verordnung umgesetzt und unterliegt dem Bundesamt für Sicherheit in der Informationstechnik als nationale Behörde. Die regulierten Bereiche und Anforderungen an Betreiber wurden 2021 durch das IT-Sicherheitsgesetz 2.0 bzw. KRITIS 2.0 erweitert.
Zur Implementierung der neuen Vorgaben liegt in Deutschland bereits ein Entwurf für ein NIS2 Umsetzungsgesetz vor. Der Entwurf ergänzt das BSI-Gesetz wie vorgesehen um wichtige bzw. sehr wichtige (=wesentliche) Einrichtungen. Die bisherige Kategorie der kritischen Infrastrukturen bleibt darin jedoch erhalten – samt Besonderheiten wie der Registrierung kritischer Komponenten oder der Nutzung von branchenspezifischen Sicherheitsstandards (B3S).
Die Kategorie der Unternehmen im besonderen öffentlichen Interesse (UBI) entfällt in NIS2, da die entsprechenden Organisationen bereits zu den wichtigen Einrichtungen gezählt werden. Aktuelle Updates zu kritischen Infrastrukturen und NIS2 in Deutschland finden Sie auch auf OpenKRITIS.
NIS2 in Österreich
Betreiber wesentlicher Dienste werden in Österreich aktuell durch das Netz- und Informationssicherheitsgesetz (NISG) reguliert, das in geteilter Verantwortung des Bundeskanzleramts und Innenministerums liegt. Zur Novelle des NIS-Gesetzes, die bis zum 17. Oktober 2024 notwendig ist, ist bislang nichts Näheres bekannt.
NIS2: Anforderungen an Unternehmen
Für Unternehmen ergeben sich durch NIS2 eine Reihe an Pflichten, darunter die Registrierung bei der zuständigen Behörde im eigenen Mitgliedsstaat, die Weitergabe von Kontaktdaten und die Meldung von erheblichen Sicherheitsvorfällen – also Vorfälle die eine schwerwiegende Betriebsstörung nach sich ziehen können. Die größte Umstellung für Firmen bringen jedoch die zusätzlichen Sicherheitsanforderungen durch NIS2 mit sich.
NIS2-konformes Risikomanagement
Wesentliche und wichtige Einrichtungen sind durch NIS2 verpflichtet, “geeignete und verhältnismäßige technische operative und organisatorische Maßnahmen [zu] ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme […] zu beherrschen und die Auswirkungen von Sicherheitsvorfällen […] zu verhindern oder möglichst gering zu halten.” – NIS2 Artikel 21
Dabei schreibt NIS 2 Firmen vor, ihre Sicherheitsmaßnahmen an den Stand der Technik sowie die individuelle Gefährdungslage anzupassen. Die Schutzmaßnahmen müssen zudem einem gefahrenübergreifenden Ansatz folgen: es gilt also nicht nur Cyberangriffe zu berücksichtigen, sondern alle Arten von Vorfällen, die die eigene IT-Umgebung und damit die Erbringung der wesentlichen Dienstleistung beeinträchtigen können.
Anforderungen, die von einem NIS2-konformen Sicherheitsprogramm mindestens abgedeckt sein müssen:
Risikoanalysen
Umgang mit Sicherheitsvorfällen (Behebung, Aufrechterhaltung des Betriebs, Wiederherstellung nach einem Notfall)
Sicherheit in der Lieferkette (Umgang mit Geschäftspartnern und Dienstleistern, Sicherheitsmaßnahmen bei Erwerb und Entwicklung von Informationssystemen)
Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
grundlegende Cyberhygiene und Schulungen für Mitarbeiter
Kryptografie und Verschlüsselung von Daten
Personelle Sicherheit (Zugriffskontrolle, Management von Anlagen)
Sichere Authentifizierung und Kommunikation
Achtung: Für Betreiber digitaler Dienste wie Rechenzentren, Cloud-Computing-Dienste, DNS- und TLD-Anbieter, Managed Services etc. erlässt die europäische Kommission bis zum 17. Oktober 2024 einen eigenen Durchführungsrechtsakt, welcher die genauen technischen und methodischen Sicherheitsanforderungen festlegt.
NIS2: IT-Sicherheit in der Lieferkette
Durch NIS2 regulierte Unternehmen sind angehalten, neben eigenenen Informationssystemen auch die Zusammenarbeit mit Partnerunternehmen und Dienstleistern angemessen abzusichern. Die Kommission reagiert mit strengeren Vorgaben an Cyber-Sicherheit in der Lieferkette auf die akute Bedrohung durch Supply-Chain-Angriffe, bei denen böswillige Akteure durch die Kompromittierung eines Zulieferers Zugang zum Netzwerk von Kunden und Partnern erlangen.
Konkret sind Betreiber unter NIS2 angehalten, Sicherheitsanforderungen in die vertragliche Vereinbarungen mit Lieferanten und Dienstanbietern einzubeziehen. Verwenden wesentliche und wichtige Einrichtungen bestimmte IT-Produkte und -Dienste, können Behörden von dem Hersteller zudem eine Cybersicherheitszertifizierung nach europäischem Schema verlangen. Die betroffenen Produkte und Dienste werden über eine Rechtsverordnung bestimmt. Als Hilfestellung für Organisationen hat ENISA einen Ratgeber zum Thema Supply Chain Cybersecurity veröffentlicht.
Was versteht NIS2 unter Cyberhygiene?
Während einige der Mindestanforderungen in NIS2 einen klaren Themenbereich abdecken (z.B. Einsatz von Kryptografie), sind andere recht vage gehalten. Dazu zählt unter anderem die Vorgabe, “grundlegende Verfahren im Bereich der Cyberhygiene” anzuwenden. Während Artikel 21 hier nicht ins Detail geht, erklärt die Richtlinie aber an anderer Stelle, was mit Cyberhygiene gemeint ist:
Die wesentlichen und wichtigen Einrichtungen sollten eine breite Palette grundlegender Praktiken der Cyberhygiene anwenden, z. B. Zero-Trust-Grundsätze, Software-Updates, Gerätekonfiguration, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement oder Sensibilisierung der Nutzer […] – NIS2 Vorwort, Punkt 89
Die Absicherung von Informationssystemen ist eine komplexe Aufgabe, bei der es viele unterschiedliche Aspekte zu beachten gilt. Die sichere Benutzerverwaltung und Berechtigungsverwaltung spielt in der Cyber-Security eine grundlegende Rolle, wie auch aus NIS 2 klar hervorgeht. Der Schutz vor unberechtigten Zugriffen senkt nicht nur das Risiko von Sicherheitsvorfällen wie Cyberangriffen, Datenlecks und Insider Threats: Auch für den Nachweis der Compliance ist die Dokumentation von Konten und Zugriffsrechten entscheidend.
Vorbereitung auf NIS2: Die Zeit läuft
Rund um die NIS2 Richtlinie gibt es noch viele Details zu klären: Es fehlen aktuell noch nationale Gesetze, Rechtsverordnungen zur Bestimmung betroffener Einrichtungen und IT-Produkte, sowie nähere Informationen zu Sicherheitsvorgaben und Audit-Abläufen.
Dennoch sollten sich Unternehmen, die unter die wesentlichen und wichtigen Einrichtungen fallen, schon jetzt auf NIS2 vorbereiten. Denn während Mitgliedstaaten noch bis zum 17. Oktober 2024 Zeit haben, um Gesetze und Verordnungen zu erlassen, sind betroffene Organisationen unmittelbar nach Ablauf der Frist zur Umsetzung der geforderten Maßnahmen verpflichtet.
Risikoanalysen, die Kontrolle der eigenen Lieferkette, der Aufbau eines IT-Sicherheitsprogramms und die Auswahl geeigneter Security-Produkte: All das braucht Zeit. Je früher Firmen daher beginnen, sich auf die Anforderungen von NIS 2 vorzubereiten, desto besser.
NIS2-konformes Identitäts- und Zugriffsmanagement
Mit unserer IAM Software tenfold verwalten Sie Benutzer und Berechtigungen in Ihrer gesamten IT zentral und automatisiert: Von lokalen Microsoft-Systemen über M365 bis hin zu Third-Party-Apps. tenfold erleichtert nicht nur die NIS2-konforme Verwaltung von Identitäten und Zugriffsrechten, sondern unterstützt Sie durch vollständige Dokumentation und regelmäßige Access Reviews auch beim Nachweis der Compliance.
Das Besondere an unserer Lösung? Dank vorgefertigter Plugins mit No-Code-Konfiguration lässt sich tenfold schnell und einfach in Betrieb nehmen. Während IAM-Projekte anderer Anbieter Monate oder Jahre in Anspruch nehmen können, sind Sie mit tenfold schon in wenigen Wochen startklar. So profitieren Sie in Rekordzeit von den Vorteilen unserer umfangreichen Identity und Access Management Plattform und können sich ganz auf wichtigere Aufgaben konzentrieren. Überzeugen Sie sich selbst mit einem kostenlosen Test von tenfold.
Zugriffsrechte Compliance-gerecht verwalten?