NIS2 Richtlinie 2024: NIS 2 Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau
Die NIS2-Richtlinie, die bis zum 17. Oktober 2024 umgesetzt werden soll, stellt eine bedeutende Überarbeitung der Cybersicherheitsvorschriften in der Europäischen Union dar. Ziel ist es, die Sicherheit von Netz- und Informationssystemen zu verbessern, kritische Infrastrukturen zu schützen und eine robuste Incident-Response-Fähigkeit sicherzustellen. Dieser Leitfaden hilft Unternehmen, die wichtigsten Aspekte der NIS2-Richtlinie, ihre Anforderungen und Schritte zur Einhaltung zu verstehen.
Neue Regelungen für mehr Cybersicherheit in der EU 2024
Mit der NIS2-Richtlinie sollen die bestehenden Cybersicherheitsvorschriften der EU deutlich erweitert und verschärft werden. Die neue Richtlinie richtet sich an eine breitere Palette von Unternehmen und Organisationen und beinhaltet strengere Anforderungen an die Sicherheit von Netz- und Informationssystemen. Ziel ist es, die Resilienz gegenüber Cyberbedrohungen zu erhöhen und sicherzustellen, dass sowohl öffentliche als auch private Einrichtungen besser auf Sicherheitsvorfälle vorbereitet sind. Die NIS2-Richtlinie fordert die EU-Mitgliedstaaten auf, bis Oktober 2024 umfassende Cybersicherheitsmaßnahmen umzusetzen und zu harmonisieren. Dies schließt die Verpflichtung zur Durchführung regelmäßiger Risikobewertungen, zur Implementierung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen sowie zur Meldung von Sicherheitsvorfällen innerhalb festgelegter Fristen ein. Unternehmen werden dazu angehalten, proaktive Schritte zur Stärkung ihrer Cybersicherheitsinfrastruktur zu unternehmen und eine engere Zusammenarbeit mit nationalen und europäischen Cybersicherheitsbehörden zu fördern. Durch diese Maßnahmen soll die Sicherheit und Widerstandsfähigkeit der kritischen Infrastrukturen in der
Wozu NIS2?
Mit der neuen Cybersicherheitsgesetzgebung NIS 2 werden für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen gelten. Die NIS2-Richtlinie soll bis 17. Oktober 2024 in den EU-Mitgliedstaaten umgesetzt werden.
Was bedeutet NIS?
NIS steht für die Sicherheit der Netz- und Informationssysteme und Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau. Die derzeit geltenden Regelungen betreffen vorwiegend Unternehmen der kritischen Infrastruktur und Anbieter digitaler Dienste. Die NIS Cooperation Group unterstützt die strategische Zusammenarbeit und den Informationsaustausch zwischen den EU-Mitgliedstaaten.
Ab wann gelten die neuen Regelungen für Unternehmen?
Die Regelungen gelten voraussichtlich ab 18, nachdem sie gesetzlich in Kraft getreten sind. Oktober 2024. Es sind keine weiteren Übergangsfristen vorgesehen, das heißt, die Verpflichtungen gelten ab diesem Zeitpunkt. Unternehmen sollten frühzeitig mit der Umsetzung der Regelungen beginnen, da die geforderten Maßnahmen entsprechende Vorlaufzeit benötigen.
Was ist das Ziel von NIS2 Richtlinie?
Die Cybersicherheits-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern. Der Anwendungsbereich der NIS-Richtlinie wird mit NIS2 auf einen weit größeren Teil der Wirtschaft ausgeweitet.
Wer ist von der NIS2-Richtlinie betroffen?
Betroffen sind große und mittlere Unternehmen aus folgenden Sektoren, die ein hohes gemeinsames Cybersicherheitsniveau gewährleisten müssen.
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Öffentliche Verwaltung
- Weltraum
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie
- Lebensmittel
- verarbeitendes/herstellendes Gewerbe
- Anbieter digitaler Dienste
- Forschung
Ab welcher Unternehmensgröße gilt es als Groß oder Mittel?
Ein Unternehmen gilt als groß, wenn es mehr als 250 Mitarbeiter hat oder einen Jahresumsatz von mehr als 50 Millionen Euro erwirtschaftet. Mittelgroße Unternehmen haben 50 bis 250 Mitarbeiter und einen Jahresumsatz von 10 bis 50 Millionen Euro.
Sind auch kleine Unternehmen bzw. KMUs betroffen?
Kleinunternehmen sind grundsätzlich nicht im direkten Anwendungsbereich der NIS2-Richtlinie. Sie können jedoch betroffen sein, wenn sie eine Schlüsselrolle in bestimmten Sektoren spielen oder Teil der Lieferkette wesentlicher Einrichtungen sind. Dies bedeutet, dass auch kleine und mittlere Unternehmen (KMUs) geeignete Sicherheitsmaßnahmen umsetzen müssen, um die Integrität und Sicherheit der gesamten Lieferkette zu gewährleisten und mögliche Schwachstellen zu minimieren.
Besondere Bedeutung des Gesundheitssektors
Der Gesundheitssektor steht bei der Umsetzung der NIS2-Richtlinie besonders im Fokus. Krankenhäuser, Pharmaunternehmen und andere Gesundheitseinrichtungen verarbeiten und speichern eine enorme Menge sensibler Daten und betreiben kritische Systeme, die für das Wohl der Patienten unerlässlich sind. Angriffe auf diese Systeme können verheerende Auswirkungen haben, einschließlich der Beeinträchtigung der Patientenversorgung und der Gefährdung von Menschenleben. Daher müssen Einrichtungen im Gesundheitswesen strenge Cybersicherheitsmaßnahmen ergreifen, um den Schutz dieser sensiblen Daten und Systeme sicherzustellen. Dies umfasst regelmäßige Risikobewertungen, die Implementierung robuster Sicherheitsprotokolle und die Schulung des Personals im Umgang mit Cyberbedrohungen.
Was sind wesentliche Einrichtungen und was sind wichtige Einrichtungen?
- Wesentliche Einrichtungen: Große Unternehmen aus den oben genannten Sektoren.
- Wichtige Einrichtungen: Mittlere Unternehmen dieser Sektoren.
Unterschiede zwischen wesentlichen und wichtigen Einrichtungen
Wesentliche Einrichtungen unterliegen strengeren Anforderungen und höheren Bußgeldern im Vergleich zu wichtigen Einrichtungen gemäß der neuen Richtlinie. Beide Kategorien müssen jedoch umfangreiche Sicherheitsmaßnahmen und Meldepflichten erfüllen.
Was gilt für die „Digitale Infrastruktur“?
Unternehmen der digitalen Infrastruktur müssen besondere Maßnahmen zur Sicherstellung der Netz- und Informationssicherheit ergreifen. Dazu gehören Risikomanagement, Incident-Response-Strategien und Maßnahmen zur Sicherstellung der Betriebskontinuität.
Was gibt die Richtlinie für Unternehmen vor bei der Umsetzung von NIS2?
Betroffene Einrichtungen müssen sich binnen drei Monaten nach Inkrafttreten des NISG 2024 registrieren. Es sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten. Die Leitungsorgane haben die Einhaltung der Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen.
Risikomanagementmaßnahmen
| Maßnahme | Beschreibung |
|---|---|
| Risikopolitik | Regelmäßige Bewertungen der Sicherheitsrisiken von Informationssystemen. |
| Incident Handling | Verfahren zur Erkennung, Analyse und Meldung von Sicherheitsvorfällen. |
| Business Continuity | Backup-Management und Notfallwiederherstellungspläne. |
| Lieferkettensicherheit | Sicherheitsmaßnahmen für Beziehungen zu Lieferanten und Dienstleistern. |
| Netzwerksicherheit | Richtlinien für die Beschaffung, Entwicklung und Wartung sicherer Netzwerksysteme. |
| Cyberhygiene | Grundlegende Cybersicherheitspraktiken und Schulungen für Mitarbeiter. |
| Kryptografie | Einsatz von Verschlüsselung zum Schutz sensibler Daten. |
| Zugangskontrolle | Implementierung von Multi-Faktor-Authentifizierung und sicheren Zugangsprotokollen. |
Was bedeutet „Sicherheit der Lieferkette“?
Unternehmen müssen die Cybersicherheitsrisiken innerhalb ihrer Lieferkette bewerten und managen. Dies umfasst die Sicherheitsmaßnahmen für Beziehungen zu direkten Lieferanten und Dienstleistern sowie die Überprüfung der Sicherheitspraktiken und -produkte dieser Lieferanten.
Welche Berichtspflichten sind zu beachten?
Bei erheblichen Cybersicherheitsvorfällen gibt es ein dreistufiges Meldeverfahren an das zuständige CSIRT (Cybersecurity Incident Response Team):
- Unverzüglich, innerhalb von 24 Stunden: Frühwarnung
- Unverzüglich, innerhalb von 72 Stunden: Meldung
- Spätestens einen Monat nach Frühwarnung: Abschlussbericht
Sollte es zu einer Verletzung des Schutzes personenbezogener Daten kommen, sind zusätzlich die Melde- und Berichtspflichten nach DSGVO zu beachten.
Was passiert, wenn Unternehmen die Regelungen nicht einhalten?
Nicht-Einhaltung der NIS2 kann zu erheblichen Strafen führen:
- Bußgelder: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes für wesentliche Einrichtungen; bis zu 7 Millionen Euro oder 1,4% für wichtige Einrichtungen.
- Weitere Sanktionen: Vorübergehende Dienstunterbrechungen, rechtliche Schritte und Reputationsschäden sind mögliche Folgen eines Vorfalls.
Vergleich NIS1 vs. NIS2
| Merkmal | NIS1 | NIS2 |
|---|---|---|
| Anwendungsbereich | Betreiber wesentlicher Dienste und digitale Dienste | Erweiterte Sektoren einschließlich wichtiger Einrichtungen |
| Risikomanagement | Allgemeine Anforderungen | Detailliertere und spezifischere Anforderungen |
| Meldepflichten | Meldepflicht innerhalb von 72 Stunden | Frühwarnung innerhalb von 24 Stunden, detaillierte Berichte innerhalb von 72 Stunden |
| Strafen | Nationale Bußgelder | Strengere Bußgelder bis zu 10 Millionen Euro oder 2% des globalen Umsatzes |
| Governance | Grundlegende Anforderungen an Management | Erhöhte Verantwortlichkeit und Haftung des Managements basiert auf der neuen Richtlinie. |
| Lieferkettensicherheit | Weniger betont | Stärkere Betonung und spezifische Anforderungen |
NIS2 Anlaufstelle in Deutschland
In Deutschland wird die NIS2-Richtlinie durch das IT-Sicherheitsgesetz (IT-SiG) umgesetzt. Unternehmen müssen sich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) wenden, um detaillierte Anweisungen und Unterstützung zu erhalten. Das BSI bietet umfangreiche Ressourcen und Leitfäden zur Umsetzung der NIS2-Anforderungen und unterstützt Unternehmen bei der Implementierung der erforderlichen Sicherheitsmaßnahmen.
NIS2 Anlaufstelle in Österreich
In Österreich wird die NIS2-Richtlinie durch das Netz- und Informationssystemsicherheitsgesetz (NISG 2024) umgesetzt. Die zuständige Behörde ist der Bundesminister für Inneres, der auch die technischen, operativen und organisatorischen Anforderungen festlegt. Unternehmen können sich an das Bundesministerium für Inneres oder die WKO (WKO Online Ratgeber) wenden, um spezifische Anweisungen und Hilfestellungen zur Umsetzung der NIS2-Richtlinie zu erhalten.
NIS2 im Gesundheitswesen, bei Anbietern digitaler Dienste und in der Forschung
Gesundheitswesen
Im Gesundheitswesen müssen Krankenhäuser, Pharmaunternehmen und andere Gesundheitseinrichtungen strenge Cybersicherheitsmaßnahmen umsetzen, um Patienteninformationen und kritische Systeme zu schützen.
Anbieter digitaler Dienste
Anbieter digitaler Dienste, einschließlich Cloud-Dienste und Online-Plattformen, müssen sicherstellen, dass ihre Systeme vor Cyberangriffen geschützt sind und Ausfallzeiten minimiert werden.
Forschung
Forschungseinrichtungen, die mit sensiblen Daten arbeiten, müssen umfassende Sicherheitsmaßnahmen implementieren, um die Integrität und Vertraulichkeit ihrer Forschungsprojekte zu gewährleisten.
Wie gehe ich bei der Umsetzung der NIS2 Richtlinie vor?
Derzeit sind noch keine konkreten Maßnahmen vorgeschrieben; der Bundesminister für Inneres hat mit Verordnung Risikomanagementmaßnahmen in den Bereichen der Anlage 3 hinsichtlich technischer, operativer und organisatorischer Anforderungen festzulegen. Derzeit (Status: Ende April 2024) wird in Arbeitsgruppen an der Ausarbeitung für Empfehlungen gearbeitet, die diesen Verordnungen zugrunde gelegt werden sollen.
Bereits jetzt können (und sollten) Sie Ihr Unternehmen aber auf die Umsetzung von Risikomanagementmaßnahmen vorbereiten, indem Sie nationale und internationale Sicherheitsstandards nach dem Stand der Technik implementieren. Zertifizierungen, Best Practices, ISO-Normen, die Empfehlungen der Agentur der Europäischen Union für Cybersicherheit (ENISA) sowie die Maßnahmen nach dem bisher geltenden NISG bieten eine grundlegende Basis zur Orientierung. Daneben können (und sollten) interne Prozesse analysiert, erforderlichenfalls verbessert und dokumentiert werden.
Besonders im Gesundheitswesen ist die Einhaltung der NIS2-Richtlinie von entscheidender Bedeutung. Die IT-Spezialisten von Labuniq stehen Laboren, Ärzten und Krankenhäusern bei der Umsetzung der Richtlinie zur Verfügung. Gemeinsam mit unserer spezialisierten Partner-Rechtsanwaltskanzlei gerne bei der Einschätzung der Anwendbarkeit des NISG 2024 auf Ihr Unternehmen, bei der Erarbeitung eines Cybersicherheitskonzepts und bei der frühzeitigen Umsetzung zielgerichteter Risikomanagementmaßnahmen. Wir helfen Ihnen, nationale und internationale Sicherheitsstandards zu implementieren, Ihre internen Prozesse zu analysieren und zu verbessern sowie geeignete Maßnahmen zu erarbeiten und umzusetzen. Unsere Experten bieten individuelle Workshops und umfassende Unterstützung, um sicherzustellen, dass Ihr Unternehmen die Anforderungen der NIS2-Richtlinie erfüllt und die Sicherheit Ihrer sensiblen Daten gewährleistet ist. Kontaktieren Sie uns für eine maßgeschneiderte Beratung und Unterstützung.