NIS-2 ist die zweite Richtlinie über Netz- und Informationssicherheit der Europäischen Union. Ab Oktober 2024 findet sie Anwendung für viele Unternehmen. Dabei bringt sie einige Herausforderungen mit sich. Dazu gehören die Notwendigkeit, die Sicherheitsmaßnahmen von Unternehmen und Behörden zu verbessern, die Einhaltung der neuen Vorschriften sicherzustellen, sowie die Bewältigung von möglichen Auswirkungen auf die Wettbewerbsfähigkeit und Innovation. Es ist wichtig, dass Organisationen sich frühzeitig mit den Anforderungen von NIS-2 auseinandersetzen und entsprechende Maßnahmen ergreifen, um ihre Systeme und Daten zu schützen. 

Um NIS-2 erfolgreich umzusetzen, muss ein Unternehmen verschiedene Maßnahmen ergreifen. Zu diesen gehören unter anderem die Einführung eines angemessenen Sicherheitsmanagementsystems, die Identifizierung und Bewertung von Risiken, die Implementierung von Sicherheitsmaßnahmen entsprechend den Anforderungen der Richtlinie, die Schulung der Mitarbeiter im Umgang mit Sicherheitsvorfällen und die Einrichtung eines Notfallplans für den Fall einer Cyberattacke. Darüber hinaus ist es wichtig, regelmäßige Sicherheitsaudits durchzuführen und sicherzustellen, dass die IT-Infrastruktur den aktuellen Sicherheitsstandards entspricht. 

Verantwortlich für die Feststellung, ob ein Unternehmen NIS-2 unterliegt, sind die Unternehmen selbst. Die Unternehmen werden verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu erhöhen, strengere Sicherheitsstandards zu etablieren und ihre IT-Systeme stets auf dem neuesten Stand zu halten. 

Für wen gilt NIS-2? 

Der Geltungsbereich der neuen NIS-2-Richtlinie geht deutlich über die bisher relevanten Schlüsselunternehmen im Bereich der kritischen Infrastrukturen hinaus. Bei NIS-2 wird dabei zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen unterschieden. Beide Kategorien fallen dabei unter die Regelung der neuen NIS-2-Richtlinie. 

Zu den besonders wichtigen Einrichtungen zählen dabei Unternehmen der folgenden Bereiche: 

  • Energie – Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Wasserstoff, Heizung sowie Ladestationen für die Elektromobilität 
  • Straßen-, Schienen-, Luft– und Schiffsverkehr – dazu zählen auch Reedereien, Hafenanlagen und Flughäfen 
  • Wasser – Trink- und Abwasserversorgungsunternehmen 
  • Digitale Infrastruktur und IT-Dienste – dazu zählen auch Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten sowie Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste 
  • Bank– und Finanzwesen – Kredit, Handel, Markt, Infrastruktur und Versicherungswesen 
  • Gesundheit – Gesundheitsdienstleister, Pharmazeutika, Hersteller medizinischer Geräte, Forschungseinrichtungen 
  • Öffentliche Verwaltung 
  • Raumfahrt 

Unternehmen der folgenden Bereiche gelten als wichtige Einrichtungen

  • Abfallwirtschaft 
  • Post– und Kurierdienste 
  • Chemische Erzeugnisse – Produktion und Vertrieb 
  • Lebensmittel – Produktion und Vertrieb 
  • Hersteller – Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel 
  • Digitale Anbieter – Suchmaschinen, soziale Netzwerke, Online-Marktplätze 
  • Forschungseinrichtungen 

Alle Unternehmen dieser Bereiche, ab einer Mindestgröße, müssen NIS-2 umsetzen: 

  • Mittlere Unternehmen – 50 bis 250 Mitarbeiter, 10 bis 50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR 
  • Große Unternehmen – mehr als 250 Mitarbeiter, mehr als 50 Millionen EUR Umsatz, Bilanzsumme größer als 43 Millionen EUR 

Meldepflichten 

Zentraler Punkt ist die Verschärfung der Meldepflicht. Signifikante Störungen und Cyber-Bedrohungen im Bereich der Netz- und Informationssicherheit müssen der jeweiligen nationalen Cybersicherheits Autorität (Cyber Security Authority) unverzüglich gemeldet werden. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik. Ein Meldeportal soll Online bereitgestellt werden. Gemäß der europäischen NIS-Richtlinie sind Betreiber wesentlicher Dienste verpflichtet, schwerwiegende Vorfälle, die ihre Dienste beeinträchtigen könnten, den nationalen Behörden zu melden:  

  1. Innerhalb von 24 Stunden nach dem Bekanntwerden eines Vorfalls muss ein vorläufiger Bericht übermittelt werden. 
  1. Innerhalb von 72 Stunden muss ein vollständiger Bericht nachgereicht werden, der darüber hinaus auch eine erste Bewertung des Vorfalls enthält. 
  1. Innerhalb von 30 Tagen muss der Abschlussbericht erfolgen, der neben der detaillierten Beschreibung des Vorfalls auch die Art der Bedrohung und die grenzüberschreitenden Auswirkungen enthält. Hieraus kann sich ggf. ein neuer Maßnahmenplan ergeben, der zu erarbeiten ist. 

Auf Anfragen des Bundesamtes für Sicherheit in der Informationstechnik müssen Betreiber kritischer Anlagen bzw. besonders wichtiger oder wichtiger Einrichtungen die erforderlichen Daten unverzüglich und vollständig bereitstellen. Dies betrifft auch technische Details.  

Verpflichtende Maßnahmen 

Besonders wichtige und wichtige Einrichtungen sind verpflichtet, geeignete und wirksame technische sowie organisatorische Maßnahmen zu ergreifen, um Störungen in Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu verhindern oder möglichst gering zu halten.  

Die entsprechenden Unternehmen müssen Risikomanagement durchführen. Dazu gehören 

  • die gründliche Identifizierung und Bewertung potenzieller Gefahren und Bedrohungen für die Informationssicherheit und die Bereitstellung der Dienste und Infrastruktur, 
  • die Implementierung von Sicherheitskontrollen zur Minimierung von Risiken und um die Integrität, Vertraulichkeit und Verfügbarkeit der Informationen und Dienste zu gewährleisten, 
  • eine Erstellung von Notfallplänen. um im Falle von Sicherheitsvorfällen oder Bedrohungen schnell und angemessen handeln zu können, 
  • die ständige Überwachung und Bewertung der implementierten Maßnahmen, um eine dauerhafte Sicherung gewährleisten zu können, 
  • die Einführung von Compliance-Richtlinien und einem Audit-Programm, um sicherzustellen, dass der Schutz der Informationen und der Infrastruktur den gesetzlichen Anforderungen entspricht und alle Sicherheitsrichtlinien eingehalten werden. 

Im Rahmen des Audits muss die Erfüllung der Anforderungen an die NIS-2-Richtlinie geprüft und die Maßnahmen auf ihre Wirksamkeit in Bezug auf Cyberbedrohungen geprüft werden. Dazu gehört die Überprüfung der Netzwerksicherheit, der Zugriffskontrollen, der Datensicherheit, die Wirksamkeit des Notfallplans, die Vollständigkeit der Compliance mit geltenden Datenschutzbestimmungen. 

Unternehmen, welche nach Definition in der Richtlinie als besonders wichtige und wichtige Einrichtungen gelten, sind verpflichtet spätestens drei Monate nach Inkrafttreten der Richtlinie bzw. beim Erreichen des Status Name, Rechtsform, Anschrift, Kontaktdaten und Tätigkeitsgebiete zu melden. 

Vorstände, Geschäftsführer oder vergleichbare Leitungsorgane müssen die Maßnahmen zum Risikomanagement billigen und überwachen. Sie müssen dafür Sorge tragen, dass die Mitarbeiter des Unternehmens an regelmäßigen Bildungsmaßnahmen teilnehmen und über ausreichende Kenntnisse zur Erkennung und Bewertung von Risiken und im Risikomanagement verfügen. Bei einer Pflichtverletzung haften Geschäftsführer und Leitungsorgane prinzipiell uneingeschränkt mit Ihrem Privatvermögen. Diese persönliche Haftung kann nicht abgetreten werden. 

Sanktionen 

Neben den Verpflichtungen für Unternehmen werden mit NIS-2 auch die Sanktionen für die Missachtung der Vorgaben erhöht. Bei besonders wichtigen Einrichtungen können Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.  

Bei wichtigen Einrichtungen beträgt das maximale Bußgeld 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. 

Zusätzlich zu den genannten Bußgeldern haften Geschäftsführer und Leitungsorgane (wie Vorstände) für die Einhalten der Risikomangementmaßnahmen mit Ihrem Privatvermögen mit zusätzlich maximal 2 Prozent des weltweiten Jahresumsatzes neben dem Unternehmensbußgeldern. 

Was ist zu tun? 

Was müssen Unternehmen und die Verantwortlichen im Sinn der NIS-2 nun also tun, um den Anforderungen an die Datensicherheit Genüge zu tun? 

Sie benötigen ein Datensicherheitskonzept. Der Maßnahmenkatalog muss Ihrem aktuellen Reifegrad entsprechen und alle Aufgaben umfassen, bei denen Sie Ihre Datensicherheit und Schutzmechanismen weiter verbessern müssen. Sie benötigen außerdem einen Notfallplan, falls eine Bedrohung auftritt. Mittels einer Kommunikationsmatrix legen Sie Verantwortlichkeiten und Kommunikationswege für den Notfall. Außerdem müssen Sie Ihre Mitarbeiter schulen und regelmäßige Audits durchführen. 

Unser Vorgehen 

Wir beginnen mit einen IT-Datensicherheits-NIS-2 Workshop und betrachten dabei Ihre Konzepte bzgl. Löschung, Back-Up, Archivierung, und Datensicherheit. Für den Workshop wird ein Fragenkatalog beantwortet, der Ihren aktuellen Reifegrad bzgl. Datensicherheit ermitteln soll. Im Workshop werden dann alle Aufgaben betrachtet, die sich daraus ergeben, NIS-2-konform zu arbeiten. Aus dem Workshop heraus erhalten Sie Ihre Datensicherheits-Reifegradanalyse. Nachgelagert bekommen Sie einen Maßnahmenkatalog, einen Notfallplan mit Kommunikationsmatrix und ein Datensicherheits-Konzept sowie eine Roadmap für die Umsetzung der weiteren wichtigen Schritte. 

Außerdem stehen wir Ihnen beim Change und der User-Adoption zur Seite und helfen Ihnen dabei, die Schulungsanforderungen zu erfüllen. Wir helfen Ihnen auch dabei, Ihr Datensicherheitskonzept mit allen Bausteinen stets im Auge zu behalten und interne Audits durchzuführen. 

Fazit 

Die Einführung eines NIS-2-konformen Datensicherheitskonzept ist eine wesentliche und entscheidende Aufgabe für betroffene Unternehmen. Durch die Anforderungen der NIS-2-Richtlinie werden nicht nur die Unternehmen selbst, sondern auch Geschäftsführer und Vorstände persönlich haftend in Verantwortung genommen. Die Entwicklung eines NIS-2-konformen Datensicherheitskonzepts mit Maßnahmenkatalog und Notfallplan ist daher unerlässlich. 

Unsere Beratung bietet umfassende Dienstleistungen, um Sie bei jedem Schritt dieses Prozesses zu unterstützen. Von der ersten Analyse bis zur laufenden Optimierung – wir helfen Ihnen, eine Lösung zu schaffen und Ihre Mitarbeiter fit für die Herausforderungen zu machen, sodass Sie in der Lage sind, die gesetzlichen Anforderungen vollumfänglich zu erfüllen. Nehmen Sie Kontakt mit uns auf, um zu erfahren, wie wir Sie bei der Umsetzung Ihres NIS-2-konformen Datensicherheitskonzepts und aller daraus resultierenden Aufgaben unterstützen können. 

Haben Sie weitere Fragen zur Konzeption oder zur Implementierung? Die HOLAGIL freut sich darauf, Ihre Fragen beantworten zu dürfen und unterstützt Sie gerne dabei, mit den nächsten Schritten fortzufahren. Nehmen Sie jetzt Kontakt zu uns auf, um ab sofort zu finden statt zu suchen.

Jetzt Kontakt aufnehmen

Ingo Höckenschnieder von HOLAGIL ist seit 1994 als Projektleiter in der IT und seit 2012 als Berater für M365 und Governance-Themen unterwegs. Sein Schwerpunkt ist die fachliche Beratung der Einführung und Optimierung von Cloud-Plattformen in Unternehmen und die strategische Aufstellung in der IT bzgl. Governance und Compliance. In seiner Freizeit ist er Autor lustiger und fantastischer Romane und tanzt für sein Leben gern.

You May Also Like