Heißt es jetzt NIS-2, NIS 2 oder doch NIS2?

Hinter den unterschiedlichen Schreibweisen verbirgt sich die EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie oder Cybersicherheits-Richtlinie), die Ende letzten Jahres verabschiedet wurde.

Für insgesamt 18 Sektoren gilt die Richtlinie, wobei zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen unterschieden wird.

Die NIS-2-Richtlinie soll das Schutzniveau und die Regeln zur Cybersicherheit in den 27 EU-Ländern vereinheitlichen und erweitert den Anwendungsbereich der Richtlinie deutlich.

Wen betrifft das Ganze?

Die NIS-2-Richtlinie definiert zwei Gruppen von Einrichtungen aus 18 verschiedenen Sektoren. Organisationen mit weniger als 50 Mitarbeitenden sind nicht betroffen.

Wesentliche Einrichtungen:

Große Betreiber (>249 Beschäftigte & 50 Mio. € Jahresumsatz) aus 11 Sektoren
Betreiber kritischer Anlagen (KRITIS)
Weitere Organisationen (u.a. DNS-Dienste, Qualifizierte Vertrauensdienste, Bundesministerien, Bundeskanzleramt)

Wichtige Einrichtungen:

Große Betreiber (>249 Beschäftigte & 50 Mio. € Jahresumsatz) aus 7 weiteren Sektoren
Mittlere Betreiber (50 – 249 Beschäftigte & >10 Mio. € Jahresumsatz) aus allen 18 Sektoren
Weitere Organisationen (u.a. Vertrauensdienste, Hersteller von Rüstungsgütern)

Was kommt auf diese Einrichtungen zu?

Die Cybersicherheits-Richtlinie legt Mindestanforderungen an diese Einrichtungen fest. Die Geschäftsführung überwacht die Einhaltung und wird dafür haftbar gemacht. In folgenden Bereichen müssen Maßnahmen umgesetzt werden:

• Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
• Bewältigung von Sicherheitsvorfällen
• Aufrechterhaltung des Betriebs (Business Continuity Management – BCM)
• Sicherheit der Lieferkette
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
• Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
• Cyberhygiene und Schulungen im Bereich der Cybersicherheit
• Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung

Welche Sanktionen drohen, wenn ich NIS-2 nicht einhalte?

Verstöße werden je nach Sektor mit unterschiedlichen Geldbußen sanktioniert:

Essenzielle Sektoren: Strafe bis 10 Mio. EUR oder 2% des weltweiten Umsatzes
Wichtige Sektoren: Strafe bis 7 Mio. EUR oder 1,4% des weltweiten Umsatzes

Wie sieht die Timeline aus?

Am 17. Oktober 2024 läuft die Umsetzungsfrist für die EU-Mitglieder aus, d.h. bis dahin muss die NIS-2-Richtlinie in nationales Recht umgesetzt werden. Da ein typischer NIS-2 Complianceprozess bis zu 12 Monaten dauern kann, sollte man schnellstmöglich mit der Evaluation anfangen. Außerdem muss die Geschäftsführung rechtzeitig dafür sorgen, dass alle Sicherheitsmaßnahmen eingehalten und regelmäßig überprüft werden.

Was kann/muss ich tun?

1. Finden Sie heraus, ob Ihre Organisation in den Anwendungsbereich von NIS-2 fällt.
2. Wahrscheinlich erfüllen Sie schon einige der NIS-2 Vorgaben. Dokumentieren/aktualisieren Sie Ihre Prozesse.
3. Überprüfen Sie Ihre Informationssicherheitsinfrastruktur.
4. Setzen Sie ein ISMS (Informationssicherheitsmanagementsystem) ein.
5. Holen Sie sich externe Hilfe, falls nötig.