02543 Kurzhinweise: NIS2
Evolution der Cybersicherheitsvorgaben für KRITIS-Unternehmen
von:
Vorbemerkung
Die NIS2-Richtlinie [1] bildet die Weiterentwicklung der erste EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie [2]). Das Gesetz ist 73 Seiten umfangreich und stellt Informationssicherheitsbeauftragte vor die Herausforderung zunächst zu bewerten, ob sie betroffen sind und welche neuen gesetzlichen Anforderungen sich aus der NIS2 für bestehende Prozesse und Organisationsstrukturen ergeben.
Die NIS2-Richtlinie [1] bildet die Weiterentwicklung der erste EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie [2]). Das Gesetz ist 73 Seiten umfangreich und stellt Informationssicherheitsbeauftragte vor die Herausforderung zunächst zu bewerten, ob sie betroffen sind und welche neuen gesetzlichen Anforderungen sich aus der NIS2 für bestehende Prozesse und Organisationsstrukturen ergeben.
Der Beitrag gibt einen ersten zusammenfassenden Überblick der Richtlinie und die wesentlichen Anforderungen an die Cybersicherheit für KRITIS-Unternehmen und weitere betroffene Unternehmen. Zudem erhält der Leser eine Hilfestellung bei der Frage, ob sein Unternehmen von der NIS2-Richtlinie betroffen sein könnte.
1 Einführung und Zielsetzung
Richtlinie NIS2.2022/2555
Die Richtlinie NIS2 (2022/2555) ist die Nachfolgeregelung der Richtlinie NIS (2016/1148) und soll das allgemeine Niveau und die Widerstandsfähigkeit von kritischen Infrastrukturunternehmen und IT-Dienstleistern gegenüber Cyberangriffen erhöhen. Damit reagiert die EU auf die wachsende Bedeutung von Netz- und Informationssystemen und die zunehmenden Cyberbedrohungen, die durch den digitalen Wandel und die Vernetzung der Gesellschaft entstehen. Die Richtlinie wurde am 14.12.2022 verabschiedet und ist von den betroffenen Unternehmen seit dem 18.10.2024 anzuwenden.
Die Richtlinie NIS2 (2022/2555) ist die Nachfolgeregelung der Richtlinie NIS (2016/1148) und soll das allgemeine Niveau und die Widerstandsfähigkeit von kritischen Infrastrukturunternehmen und IT-Dienstleistern gegenüber Cyberangriffen erhöhen. Damit reagiert die EU auf die wachsende Bedeutung von Netz- und Informationssystemen und die zunehmenden Cyberbedrohungen, die durch den digitalen Wandel und die Vernetzung der Gesellschaft entstehen. Die Richtlinie wurde am 14.12.2022 verabschiedet und ist von den betroffenen Unternehmen seit dem 18.10.2024 anzuwenden.
Nationales Recht
Die Richtlinie sieht für Unternehmen erweiterte Anforderungen an das Cyber-Risikomanagement und Meldepflichten insbesondere bei erheblichen Sicherheitsvorfällen vor. Im Gegensatz zum Digital Operational Resilience Act (DORA), dem regulatorischen Pendant für die Finanzwirtschaft, muss die NIS2-Richtlinie durch nationales Recht konkretisiert werden. In Deutschland ist hierfür das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) [3] vorgesehen, dass laut NIS2-Richtlinie bis zum 17.10.2024 hätte verabschiedet werden müssen.
Die Richtlinie sieht für Unternehmen erweiterte Anforderungen an das Cyber-Risikomanagement und Meldepflichten insbesondere bei erheblichen Sicherheitsvorfällen vor. Im Gegensatz zum Digital Operational Resilience Act (DORA), dem regulatorischen Pendant für die Finanzwirtschaft, muss die NIS2-Richtlinie durch nationales Recht konkretisiert werden. In Deutschland ist hierfür das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) [3] vorgesehen, dass laut NIS2-Richtlinie bis zum 17.10.2024 hätte verabschiedet werden müssen.
Inhalt des Kurzhinweises
Dieser Kurzhinweis beschreibt die wesentlichen Inhalte der NIS2-Richtlinie, damit sich die betroffenen Einrichtungen/Unternehmen einen ersten Überblick über die Anforderungen verschaffen können. Wo erforderlich, wird auf weiterführende nationale Gesetze wie das NIS2UmsuCG verwiesen. Die folgenden Ausführungen zum NIS2UmsuCG basieren auf der Regierungsvorlage vom 22.07.2024. Es ist derzeit geplant, dass das NIS2UmsuCG im März in Kraft treten soll.
Dieser Kurzhinweis beschreibt die wesentlichen Inhalte der NIS2-Richtlinie, damit sich die betroffenen Einrichtungen/Unternehmen einen ersten Überblick über die Anforderungen verschaffen können. Wo erforderlich, wird auf weiterführende nationale Gesetze wie das NIS2UmsuCG verwiesen. Die folgenden Ausführungen zum NIS2UmsuCG basieren auf der Regierungsvorlage vom 22.07.2024. Es ist derzeit geplant, dass das NIS2UmsuCG im März in Kraft treten soll.
Abgrenzung
NIS2-Richtlinie enthält sowohl Vorgaben für betroffene Unternehmen als auch für die EU-Mitgliedsstaaten und deren zuständigen Behörden. Der Kurzhinweis konzentriert sich ausschließlich auf die Anforderungen an die betroffenen Unternehmen.
NIS2-Richtlinie enthält sowohl Vorgaben für betroffene Unternehmen als auch für die EU-Mitgliedsstaaten und deren zuständigen Behörden. Der Kurzhinweis konzentriert sich ausschließlich auf die Anforderungen an die betroffenen Unternehmen.
2 Struktur und Aufbau der NIS2
Präambel und Erwägungsgründe
Die einleitende Präambel beschreibt die Notwendigkeit der Richtlinie und ihre Ziele. Darüber hinaus gibt dieser Abschnitt wichtige Hinweise auf die Überlegungen der EU, wie diese Richtlinie zur Bewältigung der aktuellen Herausforderungen im Bereich der Cybersicherheit beitragen soll. Betroffene Unternehmen sollten auch diesen Abschnitt der Richtlinie lesen, um den Ansatz und die Ansichten der EU zur NIS2-Richtlinie nachzuvollziehen.
Die einleitende Präambel beschreibt die Notwendigkeit der Richtlinie und ihre Ziele. Darüber hinaus gibt dieser Abschnitt wichtige Hinweise auf die Überlegungen der EU, wie diese Richtlinie zur Bewältigung der aktuellen Herausforderungen im Bereich der Cybersicherheit beitragen soll. Betroffene Unternehmen sollten auch diesen Abschnitt der Richtlinie lesen, um den Ansatz und die Ansichten der EU zur NIS2-Richtlinie nachzuvollziehen.
Kapitel I
Allgemeine Bestimmungen: Das erste Kapitel der NIS2 gibt einen Überblick über die Definitionen und Begriffe sowie den Anwendungsbereich der Richtlinie. Anhand dieses Kapitels können Unternehmen zunächst ableiten, ob sie von der Richtlinie betroffen sind.
Allgemeine Bestimmungen: Das erste Kapitel der NIS2 gibt einen Überblick über die Definitionen und Begriffe sowie den Anwendungsbereich der Richtlinie. Anhand dieses Kapitels können Unternehmen zunächst ableiten, ob sie von der Richtlinie betroffen sind.
Kapitel IV
Risikomanagementmaßnahmen und Berichtspflichten: Das vierte Kapitel ist das Hauptkapitel der NIS2-Richtlinie für betroffene Unternehmen, da hier die wesentlichen Anforderungen an das Risikomanagement im Bereich der Cybersicherheit und die Meldepflichten bei erheblichen Sicherheitsvorfällen erläutert werden.
Risikomanagementmaßnahmen und Berichtspflichten: Das vierte Kapitel ist das Hauptkapitel der NIS2-Richtlinie für betroffene Unternehmen, da hier die wesentlichen Anforderungen an das Risikomanagement im Bereich der Cybersicherheit und die Meldepflichten bei erheblichen Sicherheitsvorfällen erläutert werden.
Kapitel V
Zuständigkeit und Registrierung: Betroffene Unternehmen müssen bestimmte Registrierungspflichten erfüllen, die im fünften Kapitel beschrieben werden.
Zuständigkeit und Registrierung: Betroffene Unternehmen müssen bestimmte Registrierungspflichten erfüllen, die im fünften Kapitel beschrieben werden.
Kapitel VI
Informationsaustausch: Im sechsten Kapitel wird das Ziel beschrieben, eine Plattform für betroffene Unternehmen zu schaffen, damit diese Informationen über Cybersicherheit austauschen und sich besser vor Bedrohungen schützen können.
Informationsaustausch: Im sechsten Kapitel wird das Ziel beschrieben, eine Plattform für betroffene Unternehmen zu schaffen, damit diese Informationen über Cybersicherheit austauschen und sich besser vor Bedrohungen schützen können.
Kapitel VII
Aufsicht und Durchsetzung: Der Rahmen für die Aufsicht über die betroffenen Einrichtungen sowie der Rahmen für Sanktionen bei Verstößen wird im siebten Kapitel beschrieben. Die Konkretisierung der Sanktionen erfolgt jedoch durch das jeweilige nationale Recht, in Deutschland also durch das NIS2UmsuCG.
Aufsicht und Durchsetzung: Der Rahmen für die Aufsicht über die betroffenen Einrichtungen sowie der Rahmen für Sanktionen bei Verstößen wird im siebten Kapitel beschrieben. Die Konkretisierung der Sanktionen erfolgt jedoch durch das jeweilige nationale Recht, in Deutschland also durch das NIS2UmsuCG.
Anhänge
Der Anhang der NIS2-Richtlinie beschreibt die betroffenen Sektoren mit hoher Kritikalität (Anhang I) und die sonstigen kritischen Sektoren (Anhang II). Diese Listen helfen den Unternehmen festzustellen, ob sie (potenziell) betroffen sind.
Der Anhang der NIS2-Richtlinie beschreibt die betroffenen Sektoren mit hoher Kritikalität (Anhang I) und die sonstigen kritischen Sektoren (Anhang II). Diese Listen helfen den Unternehmen festzustellen, ob sie (potenziell) betroffen sind.
Weitere Bestandteile
Die folgenden Kapitel und Anhänge sind ebenfalls Bestandteil der NIS2-Richtlinie, geben jedoch in erster Linie Leitlinien für die Mitgliedstaaten und deren Vollzugsbehörden vor:
Die folgenden Kapitel und Anhänge sind ebenfalls Bestandteil der NIS2-Richtlinie, geben jedoch in erster Linie Leitlinien für die Mitgliedstaaten und deren Vollzugsbehörden vor:
| Kapitel II | Koordinierte Rahmen für die Cybersicherheit |
| Kapitel III | Zusammenarbeit auf Unions- und internationaler Ebene |
| Kapitel VIII | Delegierte Rechtakte und Durchführungsrechtsakte |
| Kapitel IX | Schlussbestimmungen |
| Anhang III | Entsprechungstabelle |
3 Wesentliche Inhalte der NIS2 für betroffene Einrichtungen
Die folgenden Abschnitte geben einen Überblick zu den wesentlichen Inhalten der NIS2-Richtlinie.
3.1 Betroffene Einrichtungen
Anwendungsbereich
Artikel 2 der NIS2 beschreibt den Anwendungsbereich der Richtlinie. Um festzustellen, ob Unternehmen und Organisationen betroffen sind, ist zunächst zu prüfen, ob sie zu einem der in den Anhängen I und II aufgeführten Sektoren gehören.
Artikel 2 der NIS2 beschreibt den Anwendungsbereich der Richtlinie. Um festzustellen, ob Unternehmen und Organisationen betroffen sind, ist zunächst zu prüfen, ob sie zu einem der in den Anhängen I und II aufgeführten Sektoren gehören.
Der Anhang I listet die Sektoren mit hoher Kritikalität auf, hierzu zählen:
| • | Energie (z. B. Elektrizität, Fernwärme) |
| • | Verkehr (z. B. Luftverkehr, Schienenverkehr) |
| • | Bankwesen (z. B. Kreditinstitute) |
| • | Finanzmarktinfrastruktur (z. B. Betreiber von Handelsplätzen) |
| • | Gesundheitswesen (z. B. Krankenhäuser) |
| • | Trinkwasser (z. B. Wasserwerke) |
| • | Digitale Infrastruktur (z. B. Anbieter von Cloud-Computing) |
| • | Verwaltung von IKT-Diensten (z. B. Anbieter verwalteter Dienste und Sicherheitsdienste) |
| • | Öffentliche Verwaltung (z. B. Einrichtungen von Zentralregierungen) |
| • | Weltraum (z. B. Betreiber von Bodeninfrastruktur für weltraumgestützte Dienste |
Der Anhang II listet sonstige kritische Sektoren auf, hierzu zählen:
| • | Post- und Kurierdienst |
| • | Abfallbewirtschaftung |
| • | Produktion, Herstellung und Handel mit chemischen Stoffen |
| • | Produktion, Verarbeitung, und Vertrieb von Lebensmitteln |
| • | Verarbeitendes Gewerbe/Herstellung von Waren |
| • | Anbieter digitaler Dienste |
| • | Forschung |
Größe der Einrichtung
Neben der Zugehörigkeit zu einem der in Anhang I und II genannten Sektoren muss eine betroffene Einrichtung eine Mindestgröße aufweisen, die auf der Grundlage der Empfehlung 2003/261/EG [4] bestimmt wird. Betroffene Unternehmen oder Organisationen mit einer mittleren oder großen Größe sind wahrscheinlich von der NIS2-Richtlinie betroffen.
Neben der Zugehörigkeit zu einem der in Anhang I und II genannten Sektoren muss eine betroffene Einrichtung eine Mindestgröße aufweisen, die auf der Grundlage der Empfehlung 2003/261/EG [4] bestimmt wird. Betroffene Unternehmen oder Organisationen mit einer mittleren oder großen Größe sind wahrscheinlich von der NIS2-Richtlinie betroffen.
Als mittlere Unternehmen gelten Unternehmen mit 10 bis 50 Beschäftigten und einem Umsatz zwischen 10 und 50 Mio. € oder einer Bilanzsumme zwischen 10 und 43 Mio. €. Unternehmen, die über diesen Schwellenwerten liegen, werden als große Unternehmen gezählt.
Sonderregelungen
Es ist möglich, dass ein Unternehmen unter Anhang I oder II der NIS2-Richtlinie fällt, aber nicht die Schwellenwerte für mittlere oder große Unternehmen erfüllt. Unabhängig von der Größe der Anlage besteht auch für bestimmte Unternehmen/Organisationen eine Verpflichtung zur Umsetzung der NIS2. Dazu gehören z. B.
Es ist möglich, dass ein Unternehmen unter Anhang I oder II der NIS2-Richtlinie fällt, aber nicht die Schwellenwerte für mittlere oder große Unternehmen erfüllt. Unabhängig von der Größe der Anlage besteht auch für bestimmte Unternehmen/Organisationen eine Verpflichtung zur Umsetzung der NIS2. Dazu gehören z. B.