NIS2 – Was die Richtlinie für Sie bedeutet
In Deutschland werden demnächst zwischen 30.000 und 40.000 Unternehmen von den Vorgaben der NIS-2-Richtlinie betroffen sein. Etwa 80% davon sind sich darüber nicht bewusst, und das, obwohl bei Nichtbeachtung empfindliche Strafen drohen. Erfahren Sie in diesem Blogartikel, was NIS2 ist und wie Sie ihr Unternehmen auf die neue Richtlinie vorbereiten können.
Was ist NIS2?
NIS2 steht für Network and Information Systems Directive 2 und ist eine EU-Richtlinie zur Stärkung der Cybersicherheit in Europa. Insbesondere soll die Sicherheit kritischer Infrastrukturen verbessert werden, indem Mindeststandards für die Cybersicherheit kritischer Infrastrukturen definiert werden. Die Richtlinie ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie und hat zum Ziel, Organisationen und kritische Infrastrukturen besser vor Cyberbedrohungen zu schützen und ein hohes, EU-weites Sicherheitsniveau zu ermöglichen.
Die NIS2-Richtlinie wurde im Dezember 2020 von der Europäischen Kommission vorgeschlagen, trat am 16. Januar 2023 auf EU-Ebene in Kraft und sieht vor, dass die Pflichten der Richtlinie bis zum 17. Oktober 2024 umgesetzt werden.
Was sind kritische Infrastrukturen?
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Welche Ziele hat NIS2?
NIS2 definiert genau wie NIS eine Reihe von Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der europäischen Union. Mit der Richtlinie wurde ein einheitlicher Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cyber-Sicherheit, eine stärkere Zusammenarbeit der Mitgliedstaaten der Europäischen Union sowie Mindestsicherheitsanforderungen an und Meldepflichten für Kritische Infrastrukturen geschaffen.
Was ist neu in NIS2?
NIS1 verpflichtete die Betreiber kritischer Infrastrukturen, verschiedene Maßnahmen zur Gewährleistung der Cybersicherheit umzusetzen. NIS1 war allerdings recht abstrakt und wurde nicht einheitlich umgesetzt. Es fehlte zudem an spezifischen Anforderungen für die Offenlegung von Cyberrisiken.
Wegen der erhöhten Bedrohungslage und den steigenden Anforderungen an die Cybersicherheit während der Corona-Pandemie wurde schließlich NIS2 entwickelt.
NIS2 beschreibt, welche Unternehmen oder Organisationen den kritischen Diensten zugeordnet sind und in welchen Sektor sie fallen. Die Richtlinie betrifft mehr Unternehmen, schreibt ein verbessertes Risikomanagement vor und sieht mehr Pflichten und strengere Sanktionen vor. Außerdem werden in NIS2 die Verfahren, Inhalte und Fristen für die Meldung von Sicherheitsvorfällen sowie deren Umsetzung in nationales Recht klar definiert.
Für wen gilt NIS2?
Die folgenden Sektoren sind laut NIS2 als hochkritisch beziehungsweise kritisch definiert:
Sektoren mit hoher Kritikalität
- Energie:
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (B2B)
- Öffentliche Verwaltung Banken und Zahlungsabwicklungsnetze sind für die Wirtschaftsaktivitäten und den finanziellen Betrieb eines Landes von zentraler Bedeutung.
- Weltraum
Sonstige kritische Sektoren
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Ein Angriff auf die Energieinfrastruktur könnte beispielsweise zu Stromausfällen und erheblichen Störungen führen. Das bald verpflichtende AS4-Protokoll soll hier dafür sorgen, dass Nachrichten zwischen Handelspartnern sicher ausgetauscht werden können.
Vorgaben und Fristen zur Meldung von Sicherheitsvorfällen
- Frühwarnung innerhalb von 24 Stunden ab Kenntnis: Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob er grenzüberschreitend ist.
- Ausführlicher Bericht innerhalb von 72 Stunden ab Kenntnis: Erste Bewertung des Sicherheitsvorfalls inklusive Schweregrad, Auswirkungen und gegebenenfalls Kompromittierungsindikation.
- Fortschritts-/Abschlussbericht einen Monat nach Meldung: Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, gegebenenfalls die grenzüberschreitenden Auswirkungen.
Was bedeutet NIS2 für Unternehmen?
Für die betroffenen Unternehmen bringt NIS2 eine Reihe von Verpflichtungen mit sich, darunter die Registrierung bei der zuständigen Behörde im eigenen Mitgliedstaat, die Offenlegung von Kontaktdaten und die Meldung erheblicher Sicherheitsvorfälle, d. h. von Vorfällen, die zu schweren Betriebsstörungen führen können. Die größte Veränderung für die Unternehmen werden jedoch die zusätzlichen Sicherheitsanforderungen sein, die durch NIS2 auferlegt werden.
NIS2 dehnt den ursprünglichen Anwendungsbereich von NIS1 auf neue wesentliche Einrichtungen aus und umfasst jetzt auch Institutionen der öffentlichen Verwaltung. Unternehmen müssen in Zukunft sämtliche sicherheitsrelevanten Vorfälle innerhalb ihrer IT-Infrastrukturen unverzüglich melden und bestimmten Kontrollmechanismen der nationalen Aufsichtsbehörden zustimmen.
Auf diese Weise sollen sich mögliche Sicherheitsrisiken besser vorhersehen und gezieltere Gegenmaßnahmen anstoßen lassen. Werden die Bestimmungen nicht konsequent eingehalten, drohen Geldstrafen und Bußgelder, die sich mit NIS2 weiter verschärft haben.
Stand der Technik ist Pflicht
Durch die NIS2-Richtlinie sind Unternehmen und Institutionen verpflichtet, adäquate technische und organisatorische Sicherheitsmaßnahmen zu implementieren, welche die jeweiligen Risiken adressieren. Unabdingbar hierfür ist ein Wissen um die typischen Gefahren der neuen Technologien und die Möglichkeiten und Angriffsmethoden – gerade auch von Cyberkriminellen: NIS2 verlangt von Unternehmen beispielsweise eine regelmäßige Risikobewertung bezüglich der Cybersicherheit. Außerdem müssen Unternehmen und Institutionen vorbeugende Maßnahmen zum Schutz vor Sicherheitsvorfällen umsetzen.
Welche Maßnahmen fordert NIS2?
Einige der wichtigsten Anforderungen, die NIS2 mit sich bringt sind:
Für den Bereich der E-Mail-Sicherheit bedeutet dies den Einsatz von Kryptographie und Verschlüsselung bei der E-Mail-Kommunikation, um den Schutz kritischer Daten sicherzustellen. Viel konkreter ist das Gesetz zur Umsetzung von NIS2 in der EU allerdings noch nicht: Es liegt seit Frühling 2023 als Entwurf vor, so dass man noch auf Konkretisierungen warten muss. Dennoch zeigt sich hier, dass wirkungsvolle E-Mail-Verschlüsselung ein elementarer Teil bei der Erfüllung der NIS2-Richtlinie ist.
Was bedeutet NIS2 für die E-Mail-Sicherheit?
Im Kontext von NIS2 sind E-Mail-Dienstleister verpflichtet, angemessene Sicherheitsmaßnahmen zu ergreifen, um ihre Dienste vor Cyberangriffen zu schützen und die Vertraulichkeit, Integrität und Verfügbarkeit von E-Mail-Kommunikation sicherzustellen. Der Schutz vor Malware, Phishing und Spam ist hier das Ziel.
Dies kann die Umsetzung von Sicherheitsstandards, die Überwachung von Sicherheitsvorfällen und die Zusammenarbeit mit den zuständigen Behörden bei der Meldung von Sicherheitsvorfällen umfassen.
Was passiert bei Nichtbeachtung von NIS2?
Hier unterscheidet NIS2 wieder zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren.
Sektoren mit hoher Kritikalität
NIS2 meint hier große Unternehmen mit mehr als 249 Beschäftigten oder mehr als 50 Millionen Euro Umsatz und mehr als 43 Millionen Euro Bilanz. Hinzu kommen einige größenunabhängige Sonderfälle.
Bei Nichtbeachtung drohen diesen Unternehmen Strafen bis zu einem Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist.
Sonstige kritische Sektoren
NIS 2 meint hier große Unternehmen mit mehr als 249 Beschäftigten oder mehr als 50 Millionen Euro Umsatz und mehr als 43 Millionen Euro Bilanz. Hinzu kommen mittlere Unternehmen aus beiden oben genannten Sektoren mit mindestens 50 Beschäftigten oder 10 Millionen Euro Umsatz und mehr als 10 Millionen Euro Bilanz sowie größenunabhängige Sonderfälle wie beispielsweise Einrichtungen, die vom Staat als „wichtig“ eingestuft werden (zum Beispiel alleinige Anbieter).
Bei Nichtbeachtung drohen diesen Unternehmen Strafen bis zu einem Höchstbetrag von mindestens 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist.
Cybersicherheit erhöhen – mit NoSpamProxy.
Gehen Sie wichtige Schritte in Richtung NIS2-Konformität, indem Sie Ihre IT-Infrastruktur absichern und Ihre E-Mail-Kommunikation schützen. Testen Sie NoSpamProxy jetzt kostenfrei!
