Was ist die NIS2 Richtlinie?
Die NIS2 Richtlinie wurde 2023 verabschiedet, um den Schutz kritischer Infrastrukturen auf europäischer Ebene zu verbessern. Sie erweitert die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und verpflichtet Unternehmen, ihre Schutzmaßnahmen für Informationssicherheit und Resilienz gegen Cyberangriffe zu verstärken, höhere Sicherheitsstandards zu etablieren und ihre IT-Systeme stets auf dem aktuellen Stand zu halten. NIS steht für Netzwerk und Informationssicherheit, bzw. Network and Information Security. Die verpflichtenden Maßnahmen und Meldepflichten zur Verbesserung der Cybersicherheit in der EU werden bis Oktober 2024 in nationales Recht umgesetzt.
Folgende Pflichten legt die Richtlinie für alle Mitgliedstaaten fest
- Verabschiedung nationaler Cybersicherheitsstrategien
- Etablieren eines Notfallmanagements und zentrale Anlaufstellen für Cybersicherheit
- Pflichten für das Cybersicherheitsrisikomanagement
- Berichtspflichten für kritische Einrichtungen (aufgeführt in Anhang I oder II)
- Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen
- Aufsichts- und Durchsetzungspflichten für die Mitgliedstaaten
Welche Unternehmen sind von NIS2 betroffen?
Die neue NIS2 Richtlinie bezieht weit mehr Unternehmen ein als die bisherigen kritischen Infrastrukturen. Sowohl die Branchen als auch die Größen wurden erweitert, so dass nun auch kleinere Unternehmen im Geltungsbereich sind. Betroffen sind Unternehmen ab 50 Mitarbeitenden und einem Jahresumsatz von 10 Millionen Euro. Untergliedert werden die Unternehmen in “Wesentliche” und “Wichtige” Einrichtungen verschiedener Branchen. Schätzungen gehen davon aus, dass allein in Deutschland rund 30.000 Unternehmen von NIS2 betroffen sein werden.
Sektor Lebensmittelwirtschaft (Produktion, Verarbeitung und Vertrieb von Lebensmitteln):
Bäckereien sind gemäß Anhang 2 von NIS2 betroffen, wenn sie Betreiber einer wichtigen Einrichtung sind, also Unternehmen des Großhandels oder der Lebensmittelindustrie. (https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555&qid=1687268912734#d1e32-143-1)
Was muss mit NIS2 umgesetzt werden?
Zu den in NIS2 definierten Risikomanagementmaßnahmen für die Cybersicherheit gehören:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Vorgehensweisen und Prozesse zur Bewältigung von IT-Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Bis wann müssen Unternehmen NIS2 umsetzen?
Ab dem 18. Oktober 2024 gelten Meldepflichten und Vorgaben zu notwendigen Sicherheitsmaßnahmen. Unternehmen werden darüber nicht informiert, sondern müssen selbst prüfen, ob sie NIS2 relevant sind. Ziehen Sie hier fachkundige Unterstützung hinzu und lassen Sie sich beraten.
Betroffene Unternehmen müssen sich bei der nationalen Behörde registrieren lassen. Details hierzu sind noch nicht festgelegt. Dennoch liegt die Verantwortung bei der Geschäftsführung, die die Umsetzung der Maßnahmen überwachen muss und bei Verstößen haftet. Es geht um Risikoanalyse, Risikomanagement, um Prävention, Erkennung und Bewältigung von Sicherheitsvorfällen, immer mit dem Ziel der Aufrechterhaltung der Geschäftskontinuität. Hinzukommt die Verpflichtung, selbst an Schulungen teilzunehmen sowie diese den Mitarbeitenden anzubieten.
Melde- und Berichtspflicht bei Vorfällen
Sicherheitsvorfälle müssen von den betroffenen Unternehmen gemeldet werden. Die in der Richtlinie vorgesehenen Fristen können sich im deutschen Umsetzungsgesetz noch ändern, eine schnelle Reaktionsfähigkeit wird jedoch erforderlich sein. Details zum Ablauf und zur Meldestelle werden noch folgen.
- Innerhalb von 24 Stunden ab Kenntnis des Vorfalls: Frühwarnung
- Innerhalb von 72 Stunden ab Kenntnis des Vorfalls: Meldung (erste Bewertung des Vorfalls und deren Auswirkungen)
- Spätestens nach einem Monat: Abschlussbericht (ausführliche Beschreibung des Vorfalls, der Ursachen sowie Abhilfemaßnahmen)
Es ist sehr empfehlenswert, für die NIS2-Umsetzung fachkundige Unterstützung hinzuziehen. Gerne informieren wir Sie individuell und auf Ihre Bedürfnisse abgestimmt.
Telefon: +49 (0)7431 950-555
E-Mail: vertrieb[at]compdata.de
Dieses Thema könnte Sie auch interessieren: Im Falle von IT-Sicherheitsvorfällen ermöglicht eine redundante IT-Infrastruktur deutlich kürzere Ausfallzeiten und damit eine höhere Verfügbarkeit der Arbeitsumgebung von Unternehmen.
Sichere IT-Infrastruktur hilft, Ausfallzeiten zu verkürzen