Was ist NIS-2?

Die NIS-Richtlinie steht für „Network and Information Security“-Richtlinie. Mit der NIS-2-Richtlinie, die ab Oktober 2024 in Kraft tritt, werden viele Unternehmen und Organisationen in 18 kritischen Sektoren verpflichtet, bestimmte Sicherheitsmaßnahmen zu ergreifen und Vorfälle zu melden – auch solche, die bisher davon nicht betroffen waren. Man könnte sich das wie eine neue Verkehrsregelung vorstellen, die nicht nur für große Lastwagen, sondern auch für viele kleinere Fahrzeuge gilt, um insgesamt sicherere Straßen zu gewährleisten. Die NIS2 ersetzt die NIS-Richtlinie von 2016 und zielt darauf ab, ein höheres gemeinsames Niveau der Cybersicherheit in der EU zu erreichen. Im Vergleich zur vorherigen NIS-Richtlinie erweitert NIS2 stark den Kreis der betroffenen Unternehmen, erhöht die Pflichten und verstärkt die behördliche Aufsicht. Bei Verstößen gegen die NIS2-Richtlinie drohen hohe Geldstrafen, ähnlich wie bei erheblichen Verkehrsverstößen, bei denen empfindliche Bußgelder verhängt werden können.

Wann tritt NIS-2 in Kraft?

• NIS-2-Richtlinie (EU) 2022/2555 ist seit 2023 auf EU-Ebene in Kraft

• Als Richtlinie nicht direkt anwendbar, sondern erst in nationales Recht umzusetzen

• Das nationale Recht muss ab 18. Oktober 2024 angewendet werden

• NIS2 gibt Mindeststandard vor, d.h. die EU-Staaten dürfen strengere Vorschriften erlassen

• In Deutschland wurde bisher ein Referentenentwurf für das NIS2-Umsetzungsgesetz bekannt

Wer ist betroffen?

Die EU-weite NIS-2-Richtlinie gilt für folgende Einrichtungen, die ihre Dienste in der Europäischen Union erbringen oder ihre Tätigkeiten dort ausüben: Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme.

Übersicht der Sektoren mit hoher Kritikalität

Elektrizität:

  • Elektrizitätsunternehmen
  • Verteilernetzbetreiber
  • Übertragungsnetzbetreiber
  • Erzeuger
  • nominierte Strommarktbetreiber
  • Marktteilnehmer, die Aggregierungs-, Laststeuerungs- oder Energiespeicherungsdienste anbieten
  • Betreiber von Ladepunkten für Elektromobilität

Fernwärme und -kälte:

  • Betreiber von Fernwärme oder Fernkälte


Erdöl:

  • Betreiber von Erdöl-Fernleitungen
  • Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen
  • zentrale Bevorratungsstellen


Erdgas:

  • Versorgungsunternehmen
  • Verteilernetzbetreiber
  • Fernleitungsnetzbetreiber
  • Betreiber einer Speicheranlage
  • Betreiber einer LNG-Anlage
  • Erdgasunternehmen
  • Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas

Wasserstoff:

  • Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung

Luftverkehr:

  • Luftfahrtunternehmen
  • Flughafenleitungsorgane
  • Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen


Schienenverkehr:

  • Infrastrukturbetreiber
  • Eisenbahnunternehmen

 

Schifffahrt:

  • Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt
  • Leitungsorgane von Häfen, einschließlich ihrer Hafenanlagen
  • Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben
  • Betreiber von Schiffsverkehrsdiensten

 

Straßenverkehr:

  • Straßenverkehrsbehörden, die für Verkehrsmanagement und Verkehrssteuerung verantwortlich sind (außer öffentliche Einrichtungen, für die das Verkehrsmanagement oder der Betrieb intelligenter Verkehrssysteme ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist)
  • Betreiber intelligenter Verkehrssysteme
  • Kreditinstitute
  • Betreiber von Handelsplätzen
  • zentrale Gegenparteien
  • Gesundheitsdienstleister
  • EU-Referenzlaboratorien
  • Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben
  • Einrichtungen, die bestimmte pharmazeutische Erzeugnisse herstellen
  • Einrichtungen, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen
  • Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“
  • außer Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist
  • Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln
  • außer Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist
  • Betreiber von Internet-Knoten
  • DNS-Dienstanbieter, ausgenommen Betreiber von Root-Namenservern
  • TLD-Namenregister
  • Anbieter von Cloud-Computing-Diensten
  • Anbieter von Rechenzentrumsdiensten
  • Betreiber von Inhaltszustellnetzen
  • Vertrauensdiensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze
  • Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • Anbieter verwalteter Dienste
  • Anbieter verwalteter Sicherheitsdienste
  • Einrichtungen der öffentlichen Verwaltung von Zentralregierungen entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht
  • Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht
  • Betreiber von Bodeninfrastrukturen, die sich im Eigentum von EU-Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen
  • außer Anbieter öffentlicher elektronischer Kommunikationsnetze

Übersicht sonstiger kritischer Sektoren

  • Anbieter von Postdiensten
  • einschließlich Anbieter von Kurierdiensten
  • Unternehmen der Abfallbewirtschaftung
  • ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist
  • Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln
  • Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren
  • Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

Herstellung von Medizinprodukten und In-vitro-Diagnostika:

  • Einrichtungen, die Medizinprodukte herstellen
  • Einrichtungen, die In-vitro-Diagnostika herstellen
  • außer Einrichtungen aus Anhang I, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen

 

Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen:

  • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

 

Herstellung von elektrischen Ausrüstungen:

  • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

 

Maschinenbau:

  • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

 

Herstellung von Kraftwagen und Kraftwagenteilen:

  • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

 

Sonstiger Fahrzeugbau:

  • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
  • Anbieter von Online-Marktplätzen
  • Anbieter von Online-Suchmaschinen
  • Anbieter von Plattformen für Dienste sozialer Netzwerke
  • Forschungseinrichtungen

Was müssen von NIS-2 betroffene Unternehmen und Organisationen tun?

Laut NIS2 müssen Sie mindestens die folgenden Cybersecurity-Maßnahmen umsetzen, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu beherrschen – und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder gering zu halten. Sie müssen die IT-Systeme und deren physische Umwelt schützen („All-Gefahren-Ansatz“). Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen.

 

Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme

Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle

Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement

Supply Chain: Sicherheit in der Lieferkette

Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme

Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen

Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security

Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung

Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management

Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung

Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall

 

Deutscher NIS2-Gesetzesentwurf:
Nur zertifizierte IKT-Produkte und -Dienste dürfen genutzt werden.