NIS-2-Richtlinie: Das kommt auf betroffene Unternehmen zu
Die NIS-2-Richtlinie (Network and Information Security Directive) ist eine EU-weite Regelung zur Cyber- und Informationssicherheit. Zur Stärkung von Unternehmen und kritischen Infrastrukturen gegenüber Cyberattacken und IT-Störungen gibt es neue Vorgaben und Pflichten, die in Kürze zu erfüllen sind.
Was ist die NIS-2-Richtlinie und ab wann gilt sie?
Die NIS-2-Richtlinie (Network and Information Security) ist eine EU-weite Regelung zur Cyber- und Informationssicherheit von Unternehmen und Instituten. Diese Regelungen werden derzeit in ein nationales Recht überführt und sollen in Kürze für die Unternehmen und Institutionen unmittelbar gelten.
Ein Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz NIS2UmsuCG) wurde im Mai veröffentlicht. Aktuelle Informationen zum Gesetzgebungsverfahren und Umsetzungsstand finden Sie auf den Webseiten des BMI.
Welche Unternehmen sind von NIS-2 betroffen?
Alle Unternehmen müssen eigenständig prüfen, ob sie von den Regelungen betroffen sind. Eine behördliche Information erfolgt nicht!
Auf der Website der Aufsichtsbehörde, dem Bundesamt für Sicherheit in der Informationstechnik, gibt es ein Webtool “NIS-2-Betroffenheitsprüfung”, das bei der Einschätzung unterstützt, jedoch nicht verbindlich ist.
Auf der Website der Aufsichtsbehörde, dem Bundesamt für Sicherheit in der Informationstechnik, gibt es ein Webtool “NIS-2-Betroffenheitsprüfung”, das bei der Einschätzung unterstützt, jedoch nicht verbindlich ist.
Wird eine Betroffenheit vom Unternehmen selbst festgestellt, besteht eine Registrierungspflicht des Unternehmens beim Bundesamt für Sicherheit in der Informationstechnik (BSI). In bestimmten Fällen kann das BSI eine Betroffenheit auch anordnen.
Ein Unternehmen ist betroffen, wenn es
- die Schwellenwerte (Anzahl Mitarbeiter oder Jahresumsatz/Jahresbilanzsumme) überschreitet UND
- in einem bestimmten Sektor tätig ist
Wie wirkt sich NIS-2 auf Unternehmen aus?
Je nach Einstufung der Unternehmen müssen Maßnahmen, Registrierungs-, Dokumentations- oder Unterrichtungspflichten für mehr IT-Sicherheit erfüllt werden. Dabei müssen besonders wichtige Einrichtungen mehr erfüllen, als sogenannte wichtige Einrichtungen.
Besonders wichtige Einrichtungen: (Sektoren mit hoher Kritikalität)
Schwellenwert:
- Einrichtungen ab 250 Mitarbeitende ODER
mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme in den Bereichen:
Sektoren:
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur (ohne Rücksicht auf Schwellenwert)
- Verwaltung von IKT-Diensten (B2B)
- Öffentliche Verwaltung (ohne Rücksicht auf Schwellenwert)
- Weltraum
- Anbieter öffentlicher TK-Netze und TK-Dienste
Wichtige Einrichtungen: (Sonstige kritische Sektoren)
Schwellenwert:
- Einrichtungen ab 50 Mitarbeitende ODER
mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme
Sektoren:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe / Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
- Mittlere Unternehmen der besonders wichtigen Einrichtungen (bei Erfüllung der Schwellenwerte 50-249 Mitarbeiter und 10 Millionen Euro Jahresbilanzsumme)
Was muss ein betroffenes Unternehmen konkret tun?
- Betroffene Unternehmen müssen sich eigenständig bei einer Behörde registrieren
(Details zum Meldevorgang sind aktuell noch nicht veröffentlicht) – (§§ 33, 34) - Einhaltung von Melde- und Dokumentationspflichten für erhebliche Sicherheitsvorfälle
(z. B. Erstmeldung des Vorfalls innerhalb 24 h nach Kenntnis; eine erste Bewertung des Vorfalls innerhalb von 72 h nach Kenntnis.) – (§32) - Ergreifung von operativen Maßnahmen und Anforderungen
Diese variieren je nachdem, ob ein Unternehmen als „Betreiber kritischer Anlagen”, „Besonders wichtige Einrichtung” oder „Wichtige Einrichtung” eingestuft wird. Daher ist es empfehlenswert, das NIS2UmsuCG als betroffenes Unternehmen sorgfältig zu analysieren und die erforderlichen Maßnahmen für sich herauszuarbeiten.
Pflichten für alle betroffenen Unternehmen sind unter anderem:
- Risikomanagementmaßnahmen, Business Continuity Management, dazu gehört z. B. der Einsatz technischer Maßnahmen wie Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
- Maßnahmen zur Aufrechterhaltung und Wiederherstellung, Back-up-Management, Krisenmanagement
- Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
- Unterrichtungspflichten
- Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter
Welche Folgen drohen bei Nichtbeachtung?
Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen von einer Aufsichtsbehörde. Diese verfügen über Kontroll- und Weisungsrecht bei der Fristeinhaltung. Zudem existiert eine persönliche Haftung der Geschäftsführer.
Wo finde ich weitere Hilfestellungen?
Fragen und Antworten (FAQ) zu NIS-2 vom BSI
NIS-2 - Was tun?
Entscheidungsbaum der NIS-2-Betroffenheitsprüfung des BSI
Fragen und Antworten (FAQ) zu NIS-2 vom BSI
NIS-2 - Was tun?
Entscheidungsbaum der NIS-2-Betroffenheitsprüfung des BSI