Zum Inhalt springen

NIS-2-Richtlinie

NIS-2

Anforderungen an IT-Sicherheit

Die NIS-2-Richtlinie bildet den europäischen Rechtsrahmen für Unternehmen und Organisationen, die wesentliche Dienste erbringen, einschließlich Betreibern kritischer Infrastrukturen. Sie legt Mindeststandards für die Cybersicherheit innerhalb der EU fest. Auf dieser Seite finden Sie alles, was Sie rund um NIS-2 wissen müssen.

Zu unseren Leistungen

Was ist die NIS-2-Richtlinie?

Die EU-Richtlinie NIS-2 („Network and Information Security Directive“) zielt darauf ab, die Widerstandsfähigkeit von Unternehmen und Organisationen, die wesentliche Dienste erbringen, gegenüber Cyberbedrohungen zu stärken und das Cybersicherheitsniveau innerhalb der EU insgesamt zu erhöhen.

Mit NIS-2 kommen auf viele Unternehmen und Organisationen neue Verpflichtungen sowie umfangreiche Sicherheitsmaßnahmen zu. Betroffen sind in erster Linie kritische Infrastrukturen und digitale Dienste in der EU, die eine Reihe an Mindestanforderungen erfüllen müssen, um die eigenen Systeme und Netzwerke gegen Cyberangriffe abzusichern.

Wer ist von NIS-2 betroffen?

Besonders wichtige Einrichtungen §28 (1)

  • Sektoren: NIS-2 Annex 1
  • Größe: Großunternehmen
  • Mitarbeitende: ≥ 250
  • Umsatz und Bilanz: > 50 Mio. + 43 Mio. EUR

Wichtige Einrichtungen §28 (2)

  • Sektoren: NIS-2 Annex 1 & 2
  • Größe: mittlere Unternehmen
  • Mitarbeitende: ≥ 50
  • Umsatz und Bilanz: > 10 Mio. + 10 Mio. EUR

Sonderfälle

  • Sektoren: NIS-2 Annex 1 & 2
  • Größe: größenunabhängig
  • Mitarbeitende: bestimmte Ausnahmen
  • Umsatz und Bilanz: bestimmte Ausnahmen

Betreiber kritischer Anlagen §28 (8)

  • Sektoren: NIS-2 KRITIS
  • Größe: Kritische Anlage (KRITIS) über Schwellenwert
  • Mitarbeitende: Kritische Anlage (KRITIS) über Schwellenwert
  • Umsatz und Bilanz: Kritische Anlage (KRITIS) über Schwellenwert

Bundesverwaltung

  • Sektoren: NIS-2 Annex 1
  • Größe: Bund
  • Mitarbeitende: Diverse Stellen des Bundes, Körperschaften
  • Umsatz und Bilanz: Diverse Stellen des Bundes, Körperschaften

Besonders wichtige Einrichtungen

Die besonders wichtigen Einrichtungen im Rahmen von NIS-2, auch als "Essential Entities" bezeichnet, umfassen große Unternehmen aus den Sektoren gemäß Anhang 1, bestimmte Unternehmen unabhängig von ihrer Größe sowie Betreiber kritischer Infrastrukturen (KRITIS). Ausschlaggebend für ihre Einstufung sind die Anzahl der Mitarbeiter (FTE) sowie der jährliche Umsatz und die Bilanzsumme, wie in §28 (1) festgelegt.

Nachfolgende Sektoren sind in Annex 1 des NIS-2-Umsetzungsgesetzes definiert:

  • Energie
  • Transport und Verkehr
  • Finanzwesen
  • Gesundheit
  • Wasser
  • Digitale Infrastruktur
  • Weltraum

Wichtige Einrichtungen

Die wichtigen Einrichtungen (Important Entities) im Rahmen von NIS-2 umfassen große und mittlere Unternehmen aus den Sektoren, die in den Anhängen 1 und 2 von NIS-2 aufgeführt sind. Ausschlaggebend für ihre Einstufung sind die Anzahl der Mitarbeiter als Vollzeitäquivalente (FTE) sowie der jährliche Umsatz und die Bilanzsumme.

Nachfolgende Sektoren sind in Annex 1 und 2 des NIS-2-Umsetzungsgesetzes definiert:

  • Energie
  • Transport und Verkehr
  • Finanzwesen
  • Gesundheit
  • Wasser
  • Digitale Infrastruktur
  • Digitale Dienste
  • Weltraum
  • Lebensmittel
  • Entsorgung
  • Verarbeitendes Gewerbe
  • Chemie
  • Forschung

Betreiber kritischer Anlagen (KRITIS)

In NIS-2 werden die bisherigen KRITIS-Betreiber als Betreiber kritischer Anlagen bezeichnet. Die bestehende KRITIS-Logik, die sich auf KRITIS-Sektoren, kritische Dienstleistungen und KRITIS-Anlagen mit festgelegten Schwellenwerten (mindestens 500.000 versorgte Personen) stützt, bleibt dabei unverändert. Dies ist in § 28 (2) und § 2 Nr. 22 festgelegt. Die Betreiber werden neben KRITIS automatisch zu besonders wichtigen Einrichtungen.

NIS-2 aufs Ohr: Das Wichtigste in 15 Minuten

#82 Entdeckt. Erklärt. Erzählt
Zum Podcast

Für mehr Cybersicherheit in der EU

Strengere Richtlinien mit NIS2: Jacques Kruse Brandao im Interview

Gemäß NIS-2-Richtlinie müssen betroffene Unternehmen mindestens die folgenden Maßnahmen umsetzen, um ihre Widerstandsfähigkeit gegenüber Angriffen zu erhöhen und Sicherheitsvorfälle möglichst zu verhindern bzw. deren Auswirkungen gering zu halten.

Anforderungen nach NIS-2 für betroffene Unternehmen

Risikomanagement

Überwachung von Maßnahmen zur Minimierung von Cyberrisiken

Verantwortlichkeit des Managements

Sicherstellung der Umsetzung von rechtlichen Anforderungen

Policies

Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme

Vorfallbewältigung

Prävention, Detektion und Bewältigung von Sicherheitsvorfällen

Einkauf

Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen

Business Continuity

Aufrechterhaltung des Betriebs (wie Backup-Management und Wiederherstellung nach einem Notfall) und Krisenmanagement

Wirksamkeit

Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen

Supply Chain

Ausfallsicherheit der Lieferkette

Schulungen

Cyberhygiene und Schulungen im Bereich der Cybersicherheit

Kryptografie

Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung

Personal, Zugriff & Asset-Management

Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Assets

Authentifizierung & Kommunikation

Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin
Zu den Beratungsleistungen Kontakt aufnehmen
Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen
Zu den Prüfangeboten Kontakt aufnehmen

Mit diesen Leistungen unterstützen wir Sie, die NIS-2-Anforderungen zu erfüllen

Hängebrücke in einem grünen Dschungel

Ist Ihr Unternehmen NIS-2 betroffen?

Überblick im Dschungel der IT-Regulierung & Gesetzgebung
Brüssel stärkt die Resilienz gegen Cyberangriffe. Und das mit einer komplexen und anspruchsvollen Agenda in der Regulierung. Die Anforderungen wachsen und ebenso die Strafen bei Missachtung. Ist Ihr Unternehmen betroffen? Wir klären auf.

- Erstberatung
Eine Frau mitteln in Flug beim Weitsprung

Von Null auf NIS-2

Wie groß muss Ihr Sprung sein?
Als bereits NIS-1 betroffenes Unternehmen aber auch als neu betroffenes Unternehmen, müssen Sie sich fragen, wie gut sind sie aufgestellt. Was steht auf der Habenseite und was gilt es noch zu tun? Wir wissen es.

- CyberRisikoCheck (CRC)
- GAP-Analysen
- Interne Audits
Eine Person macht Klimmzüge

Langstreckenqualtäten gefragt

Rechtzeitig vorbereiten und durchhalten!
Wir begleiten Sie bei folgenden Aktivitäten:

- §39 BSIG Prüfungen
- Auditierung und Zertifizierung Ihres ISMS
- Auditierung und Zertifizierung Ihres BCM 200-4
- EUCS/ISO 27001 für Cloud
- Vorfallbewältigung
- NESAS
Schienen bei Nacht

Die Lieferkette ist entscheidend

IT-Systeme und Komponenten müssen sicher entwickelt und gefertigt werden, um höchste IT-Sicherheitsstandards zu erfüllen:

- Lieferantenaudits
- Sicherstellung der Lieferkette (C-SCRM)
- Audits nach IEC 62443-X
- BSZ
- Auditierung & Zertifizierung zu Standards auf Basis von EN 303 645
- Common Criteria (EU CC)

Verschärfung der Sanktionen

Das NIS-2-Umsetzungsgesetz legt keine Übergangsfristen für die Umsetzung der Sicherheitsmaßnahmen fest. Sanktionen und Bußgelder können ab Inkrafttreten verhängt werden, insbesondere bei Verstößen gegen Registrierungs- oder Meldepflichten.

Bußgeldvorschriften (§ 65):

  • Erweiterung der KRITIS-Bußgelder: Neue Tatbestände und Erhöhung bestehender Bußgelder.

 Verantwortung der Gschäftsleitung (§ 38:)

  • Geschäftsleitungen müssen Risikomanagement-Maßnahmen umsetzen und überwachen.
  • Verletzung dieser Pflichten kann zu Binnenhaftung führen, oder bei fehlender Binnenhaftung zu Haftung nach BSIG.

Tatbestände und Bußgelder

10 Mio. EUR / 2% des weltweiten Umsatzes

- bei Umsatz > 500 Mio. EUR
- Besonders wichtige Einrichtungen
- Mängel bei Cybersicherheitsvorkehrungen, Dokumentation, Meldungen und Kundeninformation.

7 Mio. EUR / 1.4% d. weltweiten Umsatzes

- (bei Umsatz > 500 Mio. EUR)
- Wichtige Einrichtungen
- Ähnliche Verstöße wie bei besonders wichtigen Einrichtungen.

5 Mio. EUR

- Betreiber kritischer Anlagen
- Mängel bei Mitteilungen zu kritischen Komponenten

2 Mio. EUR

- Hersteller von IT-Systemen: Verweigerung der Mitwirkung bei Sicherheitswiederherstellung
- Anbieter von TK-Diensten: Nichtbefolgung angeordneter Maßnahmen
- Anbieter digitaler Dienste: Verweigerung technischer und organisatorischer Maßnahmen

1 Mio. EUR

- Betreiber kritischer Anlagen
- Mängel bei Nachweisen über Mängelbeseitigung

500.000 EUR

- Besonders wichtige und wichtige Einrichtungen
- Mängel bei Registrierungsangaben und BSI-Anordnungen

100.000 EUR

- Besonders wichtige Einrichtungen: Mängel bei Zugang und Auskunftserteilung
- Betreiber kritischer Anlagen: Fahrlässige Mängel bei Nachweisen

ebenfalls 100.000 EUR

- Hersteller von IT-Systemen: Verweigerung von Auskünften zu Produkten und Systemen

Allgemeine Verstöße

  • Nicht-konforme Verwendung von Zertifikaten oder Kennzeichen.
  • Tätigkeit als akkreditierte Konformitätsbewertungsstelle ohne Erlaubnis.
  • Verstöße gegen EU-Verordnungen über ENISA und Zertifizierung.

Weitere spezifische Verstöße

  • Betreiber kritischer Anlagen: Nichtbereitstellung notwendiger Informationen.
  • TLD-Registries und Domain-Name-Registry-Dienstleister: Mängel bei Datenbankangaben und Zugangsgewährung.
  • Hersteller von IT-Systemen: Verweigerung der Mitwirkung bei Sicherheitsvorfällen.

Meldepflicht von Sicherheitsvorfällen

Im Rahmen der NIS-2-Umsetzung sind folgende Meldepflichten vorgesehen:

  • 24 Stunden nach Kenntnis: Eine frühe Erstmeldung muss erfolgen, wenn der Verdacht besteht, dass der Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen hat.
  • 72 Stunden nach Kenntnis: Eine detaillierte Erstmeldung muss die Angaben der frühen Erstmeldung bestätigen oder aktualisieren und eine erste Bewertung des Vorfalls inklusive Schweregrad und Auswirkungen enthalten.
  • Zwischenmeldung: Auf Nachfrage des BSI müssen relevante Statusaktualisierungen bereitgestellt werden.
  • 1 Monat nach der detaillierten Erstmeldung: Eine Abschlussmeldung muss eine ausführliche Beschreibung des Vorfalls, die Art der Bedrohung, getroffene und laufende Abhilfemaßnahmen sowie mögliche grenzüberschreitende Auswirkungen enthalten. Falls der Vorfall nach einem Monat noch andauert, ist eine Fortschrittsmeldung erforderlich, und die Abschlussmeldung erfolgt nach abschließender Bearbeitung des Vorfalls.

Betreiber kritischer Anlagen müssen zusätzlich Angaben zur Art der betroffenen Anlage, der kritischen Dienstleistung und den Auswirkungen auf die Dienstleistung machen.

 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Befugnis, bei erheblichen Sicherheitsvorfällen besonders wichtige Einrichtungen anzuweisen, ihre Kunden unverzüglich zu informieren, wenn deren Dienste beeinträchtigt werden könnten. Einrichtungen aus den Sektoren Finanz- und Versicherungswesen, IT und Telekommunikation sowie digitale Dienste müssen ihre Kunden bei erheblichen Cyberbedrohungen schnellstmöglich informieren und mögliche Gegenmaßnahmen mitteilen. Das BSI bemüht sich, innerhalb von 24 Stunden nach Eingang einer Meldung bei Unternehmen zu reagieren, um Unterstützung und Informationen zu bieten. Bei Bedarf kann das BSI die Betreiber auffordern, die Öffentlichkeit zu sensibilisieren, wenn dies im öffentlichen Interesse liegt.

Die Umsetzung der neuen NIS-2-Richtlinie bietet KRITIS-Betreibern und der öffentlichen Hand die Chance, sich in Fragen IT-Sicherheit robust aufzustellen. TÜV NORD GROUP begleitet sie auf diesem Weg. Europaweit!

Axel Lange

Leiter Marketing & Sales bei TÜVIT

NIS-2: Stand der Umsetzung

Berlin

Die europäische NIS-2-Richtlinie wird in Deutschland mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in der nationalen Gesetzgebung verankert – am 24.06.2024 wurde für dieses Gesetz der mittlerweile 4. Referentenentwurf des Bundesinnenministeriums (BMI) publik.

Wien

Bei der parlamentarischen Abstimmung im Nationalrat zum Informationssystemsicherheitsgesetz 2024 (NISG 2024) am 03.07.2024 konnte nicht die notwendige Zweidrittelmehrheit erzielt werden. Das Gesetz wurde daher vorerst nicht beschlossen.

Madrid

In Spanien ist das Ministerium für die digitale Transformation und den öffentlichen Dienst für die Umsetzung der NIS-2-Richtlinie zuständig. Die Umsetzung der Richtlinie ist bislang noch nicht erfolgt und wird gegenwärtig noch erarbeitet. Derzeit gibt es in den Medien kaum Hinweise auf den genauen Stand.