NIS2-Richtlinie: Was 2024 auf Unternehmen zukommt

Die vom Europäischen Parlament und Rat erlassene NIS2-Richtlinie (Netzwerk und Informationssysteme) wird bis Oktober 2024 in nationales Recht umgesetzt und soll die Cybersicherheit innerhalb der Europäischen Union erhöhen. Dabei werden die Mindestanforderungen an die IT-Sicherheit vieler Unternehmen angehoben. Der Nachfolger der bisher geltenden NIS-Richtlinie bringt einige wichtige Neuerungen mit sich - so fallen nun deutlich mehr Sektoren und Unternehmen unter die Richtlinie als bisher. Außerdem gelten fortan strengere Meldepflichten. 

Unternehmen sollten sich deshalb rechtzeitig informieren, ob sie betroffen sind und welche Maßnahmen sie ergreifen müssen. Im Folgenden finden Sie einen ersten Überblick. Für eine ausführliche Einführung in das Thema bietet Enobyte NIS2-Seminare an. Natürlich beraten wir Sie auch gerne individuell.  

NIS2 definiert 18 Sektoren als Schlüsselsektoren. Unternehmen mit mindestens 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz, die in diesen Sektoren tätig sind, müssen sich an die neuen Vorgaben halten und Maßnahmen zur Erhöhung der Cybersicherheit umsetzen. Für einige Sonderfälle gilt die Richtlinie unabhängig der Unternehmensgröße, beispielsweise für DNS-Dienste, TLD-Registrare und qualifizierte Vertrauensdienste, sowie für Betreiber kritischer Anlagen (KRITIS). 

Anhänge I und II der NIS2-Richtlinie bestimmen den grundsätzlichen Anwendungsbereich. Dabei wird zwischen "Sektoren hoher Kritikalität" und "sonstigen kritische Sektoren" unterschieden. Diese Sektoren unterteilen sich in weitere Teilsektoren, sodass nicht zwingend alle in diesen Bereichen tätigen Gewerbe unter NIS2 fallen.

Wenn Ihr Unternehmen unter NIS2 fällt, muss es sich zunächst an die zuständige Behörde (in Deutschland das Bundesamt für Sicherheit in der Informationstechnik - BSI) wenden und folgende Informationen übermitteln:

• Namen und Kontaktdaten, einschließlich IP-Adressbereiche
• Relevante Sektoren und Teilsektoren gemäß den Anhängen I und II der Richtlinie
• Liste der EU-Staaten, in denen die entsprechenden Dienste erbracht werden

Die Richtlinie verlangt darüber hinaus, dass Leitungsorgane regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie zu Managementpraktiken im Bereich der Cybersicherheit sicherzustellen.
 

Mindestmaßnahmen

NIS2 verlangt technische, operative und organisatorische Maßnahmen für die Sicherheit der Systeme, die für die Erbringung von Diensten genutzt werden. 
Diese erfordern mindestens:

1. Konzepte zur Risikoanalyse und Sicherheit für Informationssysteme
2. Bewältigung von Sicherheitsvorfällen
3. Aufrechterhaltung des Betriebs bei Notfällen, Backup-Management und Wiederherstellung, Krisenmanagement
4. Sicherheit der Lieferkette, sicherheitsbezogene Aspekte der Beziehung zwischen Unternehmen und unmittelbaren Anbietern
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, Management und Offenlegung von Schwachstellen
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
7. Cyberhygiene und Schulungen im Bereich der Cybersicherheit
8. Konzepte für den Einsatz von Kryptografie und ggfs. Verschlüsselung
9. Sicherheit des Personals, Zugriffskontrolle, Management von Anlagen
10. Verwendung von Multi-Faktor-Authentifizierung (MFA), Kontinuierliche Authentifizierung, gesicherte Kommunikation auch im Notfall

Zukünftig kann die EU-Kommission genauere Durchführungsrechtsakte erlassen, in denen technische und methodische Anforderungen zu diesen Maßnahmen festgelegt werden.

Grundsätzlich sollten Unternehmen gemäß ihrem spezifischen Risiko bestimmen, wie die Maßnahmen verhältnismäßig umgesetzt werden können. Die Nichteinhaltung der Maßnahmen kann mit Bußgeldern belegt werden.
 

Berichtspflichten

Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Erbringung von Diensten haben, müssen der zuständigen Behörde oder einem CSIRT (Cybersecurity Incident Response Team) gemeldet werden.

Dabei gelten die folgenden Fristen:

1. Unverzüglich, spätestens innerhalb von 24 Stunden erfolgt eine Erstmeldung
2. Innerhalb von 72 Stunden erfolgt eine ausführlichere Meldung, einschließlich einer Bewertung des Schweregrads und der Auswirkungen sowie Kompromittierungsindikatoren
3. Spätestens nach einem Monat folgt ein Abschlussbericht bzw. ein Fortschrittsbericht, sofern der Sicherheitsvorfall noch andauert

Auf Ersuchen der zuständigen Behörde oder des CSIRT müssen gegebenenfalls weitere Zwischenberichte erstellt und übermittelt werden.

Weiterhin kann das Unternehmen aufgefordert werden, Kunden oder die Öffentlichkeit über den Vorfall zu informieren.

Nach den aktuellen Entwürfen des aktualisierten BSI-Gesetzes müssen Unternehmen des Finanz- und Versicherungswesens, der Informationstechnik und Telekommunikation, IKT-Dienste und Digitale Dienste ihre Kunden unverzüglich über erhebliche Cyberbedrohungen und mögliche Gegenmaßnahmen informieren.