Die kürzlich verabschiedete NIS2-Richtlinie der Europäischen Union stellt einen bedeutenden Schritt in Richtung stärkerer Cybersicherheit dar. Sie erweitert den Geltungsbereich und die Anforderungen der ursprünglichen NIS-Richtlinie (Netz- und Informationssysteme) und betrifft somit eine Vielzahl von Branchen.
In diesem Beitrag erläutern wir, wer betroffen ist, wie Ihr Eure Relevanz prüfen könnt, welche Fristen ihr einhalten müsst und welche Anforderungen Euer Unternehmen erfüllen muss. Außerdem erfahrt ihr, wie ihr NIS2 mit einem ISMS strukturiert und effizient umsetzen könnt.
NIS2-Richtlinie was ist das?
Die NIS2-Richtlinie zielt darauf ab, ein hohes gemeinsames Niveau an Cybersicherheit in der EU zu gewährleisten. Sie wurde Ende 2022 von der EU verabschiedet und muss nun durch den deutschen Gesetzgeber in nationales Recht überführt werden. Der deutsche Gesetzesentwurf liegt als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG vor, das ist ein Artikelgesetz, welches andere Gesetze aktualisiert, z.B. BSI-Gesetz.
Die Frist zur nationales Gesetzesverabschiedung endet im Oktober 2024. NIS2 ist eine Weiterentwicklung der NIS-Richtlinie (Richtlinie über die Sicherheit von Netz- und Informationssystemen) und zielte darauf ab, die Widerstandsfähigkeit kritischer Infrastrukturen (Energie, Finanzen, Gesundheit, Transport, etc.) gegenüber Cyberbedrohungen in der gesamten EU zu stärken.
NIS2 erweitert nun den Betroffenenkreis um weitere wichtige Einrichtungen und definiert Anforderungen an die Umsetzung von Informationssicherheit in Unternehmen sowie weitreichende Registrierungs- und Meldepflichten sowie Sanktionen.
NIS2-Wer ist betroffen?
Die Anhänge der EU-Richtlinie geben Auskunft über betroffene Wirtschaftszweige. Die Richtlinie verweist hier auf die NACEv2-Systematik zur Einordnung von Wirtschaftszweigen [1]. Die Richtlinie unterscheidet hier:
- Sektoren mit hoher Kritikalität:
- Energie
- Verkehr
- Bankwesen Finanzmarkt-infrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur, Verwaltung von IKT-Diensten
- Öffentliche Verwaltung
- Weltraum
- Sonstige Kritische Sektoren:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion
- Herstellung und Handel mit chemischen Stoffen
- Produktion
- Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Ware
- Anbieter digitaler Dienste
- Forschung
Bei der Aufzählung fällt der Punkt „Verarbeitendes Gewerbe/Herstellung von Ware“ auf, da hierunter zahlreiche Unternehmen fallen. Die Richtlinie gibt jedoch genau Auskunft über betroffene Wirtschaftszweige, also schaut bei Eurer Prüfung hier genau nach.
Die folgenden Bilder zeigen Euch einen Ausschnitt aus dem Anhang der Richtlinie und der NACEv2-Systematik, die ihr zur Prüfung einsehen müsst.
NIS2 – Wie prüfe ich die Betroffenheit meines Unternehmens?
Die folgende Schritt-für-Schritt-Anleitung soll Dir dabei helfen zu bewerten, ob Euer Unternehmen von der Relevanz der NIS2-Richtlinie betroffen ist.
Schritt 1: | Hat Euer Unternehmen mindestens 50 Mitarbeiter bzw. einen Jahresumsatz von mehr als 10 Millionen Euro? |
Schritt 2: | Gehört Euer Unternehmen zu einem dieser Sektoren? ● Energie ● Verkehr ● Bankwesen Finanzmarkt-infrastrukturen ● Gesundheitswesen ● Trinkwasser ● Abwasser ● Digitale Infrastruktur, Verwaltung von IKT-Diensten ● Öffentliche Verwaltung ● Weltraum ● Post- und Kurierdienste ● Abfallbewirtschaftung ● Produktion ● Herstellung und Handel mit chemischen Stoffen ● Produktion ● Verarbeitung und Vertrieb von Lebensmitteln ● Verarbeitendes Gewerbe/Herstellung von Ware ● Anbieter digitaler Dienste ● Forschung |
Schritt 3: | Prüfe den Anhang 1 der Richtline [2] unter Bezugnahme der Systematik zur Einordnung der Wirtschaftszweige NACEv2 [1], ob euer Geschäftszweck referenziert ist. |
Schritt 4: (Optional) | Solltet ihr unsicher sein bzw. benötigt hierfür eine „Legal Opinion“, holt Euch juristische Unterstützung. Wir arbeiten mit juristischen Experten zusammen, sprecht uns gern einfach an, dann stellen wir einen Kontakt her. |
Schritt 5: | Stellt Eure Analyse der Geschäftsführung vor und holt eine Entscheidung zur weiteren Vorgehensweise ab. Wichtig, Dokumentation nicht vergessen. |
Es wird erwartet, dass in Deutschland ca. 30.000 – 40.000 Unternehmen unter diese Richtlinie fallen.
NIS 2 – Welche Fristen müssen eingehalten werden?
Die EU hat den Mitgliedsländern eine Frist bis Oktober 2024 eingeräumt, um die EU-Vorgabe in nationales Gesetz zu überführen. Gleichzeitig wird jedoch KEINE zusätzliche Frist für die Umsetzung der Anforderungen für Unternehmen eingeräumt, sodass die Vorgaben ab Oktober 2024 bindend sind. Das bedeutet, das bis dahin alle erforderlichen Anforderungen umgesetzt sein müssen.
Bis Januar 2025 müssen sich betroffene Unternehmen beim Bundesamt registrieren.
Die Reaktion aus der Industrie zu dem vom BMI veröffentlichten Referentenentwurf war enorm und es sind 33 Stellungnahmen verschiedener Branchenverbände eingegangen [3], die nun alle geprüft werden müssen. Das bedeutet auch, dass der deutsche Gesetzestext zum Stand Januar 2024 noch nicht in der finalen Formulierung vorliegt.
NIS2 – Was muss umgesetzt werden?
Folgende Anforderungen werden laut NIS2UmsuCG an betroffene Unternehmen gestellt:
- Verantwortungsübernahmen und Haftung der Geschäftsführung
- technische und organisatorische Maßnahmen, um Störungen der Verfügbarkeit, Integrität, Authentizität zu vermeiden
- Risikoanalyse und Risikomanagement: das Ausmaß der Risikoexposition, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen sind zu berücksichtigen
- Prozesse zur Bewältigung von Sicherheitsvorfällen
- Sicherheit der Lieferkette
- Schulungen zur Cybersicherheit
- Kryptografie, Multi-Faktor-Authentisierung
- Business Continuity Management
- Registrierung beim BSI
- Meldepflicht bei erheblichen Sicherheitsvorfällen
NIS 2 und ISMS – Anforderungen effizient und strukturiert umsetzen
Diejenigen von Euch, die sich schon länger mit Informationssicherheit beschäftigen werden erkennen, dass die Großzahl der geforderten Maßnahmen genau diese sind, die ein Informations-Sicherheits-Management-System (ISMS) adressiert. Also alle, die bisher ein funktionierendes ISMS im Unternehmen aufgebaut haben, bleiben „nur“ die Registrierungs- und Meldepflichten aus der Richtlinie.
Für alle anderen sei gesagt, dass die Anforderungen aus NIS2 ein strukturiertes Vorgehen benötigen, um effizient Cybersecurity im Unternehmen zu organisieren.
Ein Managementsystem kommt im Unternehmen zum Einsatz, damit die Geschäftsleitung das Unternehmen auf Kurs halten kann, Unternehmensziele erreicht werden können und so Erfolg langfristig gesichert werden kann.
Das ISMS:
- schafft klare Strukturen
- definiert Verantwortlichkeiten
- stellt Richtlinien auf
- definiert Prozesse
- und sorgt für kontinuierliche Verbesserung.
In einer Zeit, in der Cybersecurity zu den größten Risiken eines Unternehmens gehört, ist ein ISMS daher ein Werkzeug für langfristigen Unternehmenserfolg.
Generation Secure hat sich auf die effiziente Etablierung von ISMS im Mittelstand fokussiert. Nutze jetzt unsere Expertise und lass Dir die Abkürzung in dieser komplexen Cybersicherheitswelt zeigen.
Du möchtest Dir unsere Übersicht herunterladen?
Du findest uns auch auf Linkedin.
Quellen:
[1] NACEv2-Systematik zur Einordnung von Wirtschaftszweigen https://ec.europa.eu/eurostat/documents/3859598/5902453/KS-RA-07-015-DE.PDF
[2] RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie)https://www.consilium.europa.eu/media/60338/st-10193-2022-init_x.pdf
[3] Stellungnahmen der Industrie zum Gesetzgebungsverfahren: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/diskussionspapier-NIS-2-umsetzung.html