Neue NIS-2 Cybersecurity-Richtlinie: Welche Unternehmen müssen jetzt reagieren?

Besonders wichtige Unternehmen müssen strengere Sicherheitsvorschriften erfüllen, da ein Sicherheitsvorfall weitreichende Folgen haben und im schlimmsten Fall ganze Staaten lahmlegen könnte. Genau diese Vorschriften soll NIS-2 vereinheitlichen und konkretisieren, um sowohl die Resilienz- als auch Reaktionskapazitäten öffentlicher und privater Stellen der EU zu stärken und dadurch das gemeinsame Cybersicherheitsniveau EU-weit zu erhöhen. Diese Ziele sollten eigentlich bereits mit der 2016 in Kraft getretenen Richtlinie zur Netzwerk- und Informationssicherheit NIS-1 erreicht werden.

Warum musste NIS-1 überarbeitet werden?

Die erste Fassung der EU-Richtlinie für Cybersicherheit NIS hatte in der Praxis einige Probleme:

• Die Regelungen waren nicht länderübergreifend vereinheitlicht
• Die Umsetzung wurde nicht konsequent überwacht
• Die Anforderungen an die Offenlegung von Cyberrisiken wurden zu ungenau gestellt
• Das gebotene Sicherheitsniveau war zu niedrig
• Für den Ernstfall gab es keine gemeinsame Krisenreaktions-Strategie

Diese Mängel sollen durch NIS-2 nun bewältigt werden. Die neue NIS-Richtlinie regelt genau, welche Organisationen als kritische Infrastrukturen gelten und welchem Sektor sie zugeordnet werden. Daneben schließt NIS-2 jetzt mehr Unternehmen ein, schreibt neue Pflichten und strengere Sanktionen vor und verbessert den Risikomanagementansatz. 

Jetzt wird ganz klar festgelegt, wie die Verfahren, Inhalte und Fristen zur Meldung etwaiger Sicherheitsvorfälle auszusehen hat und wie sie in nationales Recht umgesetzt, überwacht und durchgesetzt werden. Des Weiteren soll auch die Zusammenarbeit privater und öffentlicher Einrichtungen im Krisenfall ermöglicht bzw. verbessert werden. Hierfür sollen nationale Computer-Notfallteams (Computer Security Incident Response Teams — CSIRTs) zusammengestellt und ein koordinierter Incident Response Plan festgelegt werden.

Den genauen Wortlaut zur Umsetzung der NIS-2-Richtlinie finden Sie sowohl auf Deutsch als auch auf Englisch im entsprechenden Amtsblatt der Europäischen Union vom 14.12.2022.

Checkliste: Welche Unternehmen sind von der NIS-2-Richtlinie betroffen?

Betroffen sind systemkritische Unternehmen, sog. KRITIS-Unternehmen. Openkritis.de hat die beiden Hauptgruppen betroffener Unternehmen übersichtlich zusammengefasst, die im neuen BSI-Gesetz reguliert werden:

1. Betreiber kritischer Anlagen (KRITIS-Betreiber) § 28 (2–5) müssen mit KRITIS-Methodik die Betroffenheit einzelner Anlagen nach KRITIS-Verordnung feststellen.
2. Besonders wichtige Einrichtungen § 28 (6) und wichtige Einrichtungen § 28 (7) werden primär nach Größe des Unternehmens identifiziert, es gibt dabei mittlere und große Unternehmen:
   1. Mittlere Unternehmen, zwei Möglichkeiten:
      • 50 bis 249 Mitarbeiter und Umsatz weniger 50 Mio. EUR oder Bilanz weniger 43 Mio. EUR oder
      • Weniger 50 Mitarbeiter und Umsatz 10–50 Mio. EUR und Bilanz 10–43 Mio. EUR
   2. Großunternehmen, zwei Möglichkeiten:
      • Mindestens 250 Mitarbeiter oder
      • ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio. EUR

Hinweis: Auch kleine Unternehmen, die in die nachfolgenden Kriterien zur Einordnung "kritischer" und "besonders kritischer" Einrichtungen fallen, können von der neuen NIS-Richtlinie betroffen sein.

Die Europäische Kommission unterscheidet bei den betroffenen Unternehmen zwischen "Sektoren mit hoher Kritikalität" und "sonstige kritische Sektoren". Die entsprechenden Kriterien finden Sie in der nachfolgenden Übersicht.

Besonders kritische Einrichtungen ("Sektoren mit hoher Kritikalität" Anhang I):

1. Energie
   • Elektrizität
   • Fernwärme und -kälte
   • Erdöl
   • Erdgas
   • Wasserstoff
2. Verkehr
   • Luftverkehr
   • Schienenverkehr
   • Schifffahrt
   • Straßenverkehr
3. Bankwesen 
4. Finanzmarktinfrastrukturen
5. Gesundheitswesen 
6. Trinkwasser 
7. Abwasser 
8. Digitale Infrastruktur 
9. Verwaltung von IKT-Diensten (Dienste für Informations- und Kommunikationstechnik, B2B)
10. Öffentliche Verwaltung 
11. Weltraum

Sonstige kritische Einrichtungen ("Sonstige kritische Sektoren" Anhang II):

1. Post- und Kurierdienste
2. Abfallbewirtschaftung
3. Produktion, Herstellung und Handel mit chemischen Stoffen
4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
5. Verarbeitendes Gewerbe/Herstellung von Waren
   • Herstellung von Medizinprodukten und In-vitro-Diagnostika
   • Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
   • Herstellung von elektrischen Ausrüstungen
   • Maschinenbau
   • Herstellung von Kraftwagen und Kraftwagenteilen
   • Sonstiger Fahrzeugbau
6. Anbieter digitaler Dienste
7. Forschung

Eine umfangreichere Tabellenversion mit den Kriterien zur Einordnung "kritischer" und "besonders kritischer" Sektoren finden Sie in den Anhängen I und II des Amtsblatts der EU.

Das NIS-2-Umsetzungsgesetz und daraus entstehende Pflichten für Unternehmen

Seit September 2023 liegt der dritte Gesetzesentwurf zur Umsetzung von EU NIS2 und Stärkung der Cyber­sicherheit (NIS2UmsuCG) vor.

Bei einem Sicherheitsvorfall müssen betroffene Einrichtungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verschiedene Berichte vorlegen. Diese umfassen eine erste Meldung innerhalb von 24 Stunden, eine detaillierte Meldung innerhalb von 72 Stunden und abschließend eine Schlussmeldung nach einem Monat.

Sicherheitsvorfälle beziehen sich auf Ereignisse, welche entweder Informationen von gespeicherten, übermittelten oder verarbeiteten Daten beeinträchtigen oder entsprechende Dienste, welche über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind (gemäß § 2 Abs. 1 Nr. 37 BSIG-E).

Konkret geht es um die Beeinträchtigung der

• Verfügbarkeit, 
• Authentizität,
• Integrität oder
• Vertraulichkeit der beeinträchtigten Daten oder Dienste.
  
  

Pflichten für Unternehmen: IT-Sicherheit gewährleisten und Meldepflicht beachten

Geeignete Maßnahmen zur Gewährleistung der IT-Sicherheit und Risikomanagement

Die Betreiber von betroffenen Einrichtungen werden verpflichtet, gewisse technische und organisatorische Maßnahmen (TOM) zur Gewährleistung der IT-Sicherheit zu ergreifen. Im Detail werden mindestens folgende Maßnahmen vorausgesetzt:

• Risikoanalyse und Sicherheit für IT-Systeme
• Bewältigung von Sicherheitsvorfällen
• Aufrechterhaltung und Wiederherstellung sowie Backup-Management
• Sicherheit der Lieferketten sowie zwischen Einrichtungen und Dienstleistern
• Sicherheit in der Entwicklung, Beschaffung und Wartung sowie Schwachstellen-Management
• Bewertung der Effektivität der IT-Sicherheit und entsprechendes Risiko-Management
• Schulungen zur IT-Sicherheit und Cyberhygiene
• Verschlüsselung und Kryptografie
• Personalsicherheit, Zugriffskontrolle und Anlagen-Management
• Multi-Faktor-Authentifizierung
• Sichere Kommunikation
• Krisen-Management und sichere Notfallkommunikation

Hinweis: Bis zur Verabschiedung des Gesetzes können sich die Details noch ändern.

Meldepflicht für Unternehmen

Sollte sich in einem betroffenen Unternehmen ein Sicherheitsvorfall ereignen, ergibt sich daraus für Unternehmen eine verschärfte Meldepflicht.

1. Innerhalb von 24 Stunden nach Bekanntwerden eines Sicherheitsvorfalls muss ein vorläufiger Bericht an das BSI übermittelt werden.
2. Innerhalb von 72 Stunden muss ein vollständiger Bericht mit einer ersten Bewertung des Vorfalls folgen.
3. Innerhalb eines Monats muss dann ein Abschlussbericht folgen, der den Vorfall und die Art der Bedrohung detailliert beschreibt und grenzüberschreitenden Auswirkungen enthält.
   
   

Sanktionen und Bußgelder: Was müssen Unternehmen bei Nichtbeachtung befürchten?

Um zu verhindern, dass betroffene Organisationen die strengen Regularien nicht einhalten, werden bei Missachtung der Auflagen nicht nur die Meldepflichten, sondern auch die verhängten Sanktionen verschärft. Den Inhalt der Sanktionsvorschriften hat PWC übersichtlich zusammengefasst:

• Bußgeldtatbestände werden mit einem Stufenkonzept bis zu 20 Mio. Euro bestraft
• Sanktionen werden bei fahrlässigem und vorsätzlichem Verschulden verhängt
• Bei wichtigen Einrichtungen kann ein maximales Bußgeld auf 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes verhängt werden
• Bei besonders kritischen Einrichtungen können die Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist
• Zwischen besonders wichtigen Einrichtungen und kritischen Anlagen wird nicht differenziert

"Geschäftsführer haften mit ihrem Privatvermögen."

Der Referentenentwurf des Bundesinnenministeriums sieht vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften. Das Bußgeld kann dabei bis zu 2 Prozent des weltweiten Jahresumsatzes betragen.

Wann tritt NIS-2 in Kraft?

Die neue Directive 2022/2555 (NIS-2) ist auf EU-Ebene bereits seit 2023 wirksam, jedoch müssen die jeweiligen Staaten die Richtlinie erst bis zum 17. Oktober 2024 in nationales Recht umsetzen – spätestens dann müssen Unternehmen auch entsprechende Maßnahmen ergriffen haben.

Bis März 2024 soll das NIS-2-Umsetzungsgesetz verkündet werden. Für Deutschland existiert bereits ein Referentenentwurf für das neue Gesetz (Stand Juli 2023). 

Aufgepasst: Auch kleine Unternehmen können unter NIS-2 fallen

Auch wenn Ihr Unternehmen weniger als 50 Mitarbeiter und unter 10 Mio. Euro Jahresumsatz hat, sollten Sie sich nicht zu früh in falscher Sicherheit wiegen. Kleine Unternehmen können nämlich trotzdem betroffen sein, wenn sie in die weiter oben genannten Kriterien (besonders) kritischer Einrichtungen fallen.

Falls Sie nicht sicher sind, ob Ihr Unternehmen zu den von NIS-2 kritischen Einrichtungen gehört, warten Sie nicht auf Post – ob man selbst unter die Regelung fällt, muss jedes der etwa 30.000 in Deutschland betroffenen Unternehmen in Eigenregie herausfinden.

Ist Ihr Unternehmen z.B. ein Dienstleister oder Lieferant für ein besonders kritisches Unternehmen, ist Ihr Unternehmen automatisch auch als kritisch einzuordnen und muss ebenso strenge Sicherheitsvorkehrungen einhalten.

Compliance: Checkliste zur Umsetzung von NIS-2

1. Überprüfen Sie, ob Ihr Unternehmen von NIS-2 betroffen ist und zu den kritischen Einrichtungen lt. Anhang I bzw. Anhang II zu werten ist
2. Ist Ihr Unternehmen betroffen, informieren Sie die Geschäftsführung und legen Sie fest, wer für die Umsetzung entsprechender Maßnahmen verantwortlich ist
3. Planen Sie die notwendigen Maßnahmen zur Gewährleistung der Cybersicherheit sowie für das Risikomanagement und setzen Sie sie um
4. Erstellen Sie einen Notfallplan für Sicherheitsvorfälle inkl. Aufrechterhaltung des Betriebs, Backup-Management, Systemwiederherstellung und Krisen-Management
5. Richten Sie ein Meldeverfahren ein und legen Sie die Verantwortlichen fest
   
   

Mit DRACOON steht der NIS-2-Compliance Ihrer Daten nichts mehr im Weg

Dateien sicher ablegen, mit Kollegen teilen oder an Unternehmensexterne zu versenden, ist für europäische Unternehmen schon seit Inkrafttreten der DSGVO eine Compliance-Herausforderung. Mit den zusätzlichen Anforderungen der Richtlinie NIS-2 wird es für betroffene Unternehmen ab dem 17. Oktober 2024 nun sogar noch schwieriger.

Genau hier blüht die Enterprise-File-Sync-and-Share-Lösung DRACOON auf – nicht umsonst wurden wir 2023 von der ISG zum 7. Mal in Folge zum Marktführer der sicheren Enterprise File Sharing Services gewählt. DRACOON ermöglicht Unternehmen nicht nur die benutzerfreundliche Zusammenarbeit im Arbeitsalltag, sondern erfüllt auch die strengen Auflagen der neuen Richtlinie NIS-2 sowie die der DSGVO.

Durch unsere Zertifizierungen wie das BSI C5 Typ 2, IDW PS 951, ISO 27001:2013, ISO 27017:2015 und ISO 27018:2019, sind betroffene Unternehmen rechtlich auf der sicheren Seite und können einfach nachweisen, dass sie die hohen KRITIS-Sicherheitsanforderungen einhalten.

• Clientseitige Ende-zu-Ende-Verschlüsselung mit 100-prozentiger Datensouveränität (Zero-Knowledge-Verschlüsselung)
• Granulares Rollen- und Berechtigungsmanagement für Mitarbeiter sowie für externe Gastbenutzern
• Multi-Faktor-Authentifizierung (MFA)
• Made & Hosted 100 % in Germany
• uvm.

Mit der Zero-Trust-Cloud von DRACOON erfüllen Sie alle NIS-2-Auflagen und sind zukunftsfähig aufgestellt. Ihre Daten sind bei uns nachweislich so sicher wie nur möglich und lassen sich im Arbeitsalltag gleichzeitig intuitiv und bequem verwalten.

Benutzerfreundlichkeit ist natürlich eine subjektive Erfahrung. Überzeugen Sie sich gerne selbst und testen Sie DRACOON 14 Tage lang kostenlos oder kontaktieren Sie uns für ein unverbindliches Beratungsgespräch mit unseren Spezialisten.