Verstehen, Vorbereiten, Umsetzen: Ihr Leitfaden zur NIS-2 Richtlinie
Am 17. Oktober 2024 tritt die NIS-2-Richtlinie in Kraft. Sie bringt strengere Vorgaben für die Cybersicherheit in Unternehmen und betrifft besonders Firmen, die digitale Dienstleistungen anbieten oder in kritischen Bereichen wie Energie, Transport und Gesundheit tätig sind.
Diese Richtlinie stellt betroffene Unternehmen vor große Herausforderungen: Sie erfordert eine eingehende Überprüfung und möglicherweise umfangreiche Anpassungen der bestehenden Sicherheitssysteme. Dies bedeutet nicht nur eine Überprüfung der aktuellen Sicherheitsprotokolle und -infrastrukturen, sondern auch eine Anpassung an die neuesten, deutlich verschärften Standards. Unternehmen müssen sich auf eine detaillierte Analyse ihrer Schwachstellen und Risiken einlassen und sicherstellen, dass ihre Maßnahmen und Strategien den anspruchsvolleren Anforderungen der Richtlinie gerecht werden, um Compliance zu gewährleisten und mögliche Sanktionen zu vermeiden.
Highlights:
- Einführung in die NIS-2-Richtlinie
Was die NIS-2-Richtlinie verändert und ihre Bedeutung ab 17. Oktober 2024 als deutsches Gesetz - Anforderungen und Sanktionen
Ein Überblick über die strengen Sicherheitsanforderungen und möglichen Strafen, ähnlich den Auswirkungen der DSGVO - Risikomanagement
Diskussion über die erforderlichen Cybersicherheitsmaßnahmen und deren Einklang mit aktuellen technologischen Standards - Anwendungsbereich und Unternehmensverantwortung
Bestimmung der betroffenen Unternehmen und die Notwendigkeit eines ganzheitlichen Risikomanagements in allen Unternehmensbereichen - Meldepflichten und Umgang mit Sicherheitsvorfällen
Richtlinien für die Meldung von Sicherheitsvorfällen und detaillierte Berichterstattung über ergriffene Maßnahmen
NIS-2 FAQ
NIS2 ist eine EU-Richtlinie, die die bestehende NIS-Richtlinie ersetzt, die seit 2013 in Kraft ist. NIS steht für Netz- und Informationssicherheit.
Die Richtlinie gilt für die gesamte EU und soll ein hohes und einheitliches Niveau der Cyber- und Informationssicherheit gewährleisten, damit kritische Infrastrukturen und gesellschaftskritische Dienste besser gegen Ausfälle und Cyber-Bedrohungen von außen gewappnet sind.
Die neue NIS2-Richtlinie deckt weitaus mehr Sektoren ab als zuvor. Sie verschärft die Anforderungen an die Aufsicht und führt die Möglichkeit ein, die Unternehmensleitung bei Verstößen gegen das Gesetz persönlich haftbar zu machen.
Die NIS2 deckt weit mehr Bereiche ab als die ursprüngliche NIS-Richtlinie. Alle Akteure innerhalb der kritischen Infrastrukturen sind erfasst, einschließlich ihrer Zulieferer. In der Richtlinie werden 17 Bereiche genannt: Energie, Verkehr, Finanzen (Banken), Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastrukturen, öffentliche Verwaltung, Weltraum, Post, Abfallwirtschaft, Chemikalien, Lebensmittel, digitale Anbieter, Bildung und Forschung.
Kleinere Unternehmen mit weniger als 50 Beschäftigten oder einem Umsatz von weniger als 10 Millionen Euro sind nicht erfasst, aber es gibt einige Ausnahmen. Darüber hinaus obliegt es den lokalen Behörden, festzulegen, wer unter die Richtlinie fällt.
In der Richtlinie wird zwischen "wesentlichen" und "wichtigen" Segmenten unterschieden, und je nachdem, zu welchem Segment Sie gehören, gelten unterschiedliche Anforderungen.
Der Zweck der NIS2-Richtlinie ist vielschichtig, aber ihr Kern ist es, die Sicherheit der EU zu stärken und eine gemeinsame Basis zwischen den Mitgliedstaaten zu gewährleisten. Die Richtlinie deckt sowohl das Verständnis als auch die Umsetzung der Cybersicherheit ab und gilt sowohl für den öffentlichen Sektor als auch für private Akteure.
Die Richtlinie muss zunächst in den jeweiligen Ländern in nationales Recht umgesetzt werden, und die betroffenen Unternehmen erhalten dann eine "Schonfrist", um die Vorschriften einzuhalten. Die NIS2 muss jedoch bis spätestens 2024 in allen betroffenen europäischen Unternehmen, Behörden und Organisationen umgesetzt sein. Danach liegt es in der Verantwortung der lokalen Behörden, die Richtlinie durchzusetzen, ähnlich wie bei der GDPR. In Deutschland muss NIS-2 bis 17. Oktober 2024 umgesetzt werden.
Zu den Anforderungen in NIS2 gehören unter anderem:
- Richtlinien für die Risikoanalyse und die Sicherheit von Informationssystemen
- Vorfallsmanagement (Vorbeugung, Erkennung und Reaktion auf Vorfälle)
- Geschäftskontinuität und Krisenmanagement
- Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte der Beziehungen zwischen Einrichtungen und ihren Lieferanten oder Dienstleistern, wie z. B. Datenspeicher- und -verarbeitungsdienste oder Managed Security Services
- Sicherheit im Zusammenhang mit dem Erwerb, der Entwicklung und der Wartung von Netzwerk- und Informationssystemen, einschließlich der Behandlung und Offenlegung von Schwachstellen
- Richtlinien und Verfahren (Tests und Audits) zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken
Einsatz von Kryptographie und Verschlüsselung.