NIS2 FAQ - Enobyte

Was ist NIS2?

Die NIS2-Richtlinie (geänderte Netzwerk- und Informationssystems-Richtlinie) ist ein Gesetz, das von der EU zur Verstärkung der Cybersicherheit eingeführt wurde und die überarbeitete Version der NIS-Richtlinie darstellt. Sie fordert eine verstärkte Sicherheitsvorkehrung für Betreiber kritischer Infrastrukturen und digitaler Dienstleister, wobei der Anwendungsbereich ausgeweitet wurde. Dadurch werden mehr Unternehmen und Organisationen verpflichtet, Risikomanagement und die Meldung von Vorfällen zu übernehmen. Die Strafen bei Verstößen wurden ebenfalls verschärft.

Die Mitgliedstaaten mussten die Richtlinie bis Oktober 2024 in nationales Recht umsetzen. In einigen Ländern gibt es jedoch Verzögerungen, und die Umsetzung des Gesetzes verläuft nicht überall reibungslos. Daher ist es für Unternehmen wichtig, zu überprüfen, ob sie von der NIS2 betroffen sind, und den Fortschritt in den einzelnen Ländern zu beobachten, um frühzeitig entsprechende Maßnahmen zu ergreifen.

Welche Organisationen müssen der NIS2-Richtlinie entsprechen?

Die NIS2-Richtlinie richtet sich an Unternehmen und Organisationen, die in bestimmten Bereichen tätig sind und als „wesentlich“ oder „wichtige Akteure“ betrachtet werden. Im Wesentlichen sind dies Organisationen, die kritische Infrastrukturen betreiben oder essentielle digitale Dienste bereitstellen.

NIS2 gilt grundsätzlich für Organisationen, die:

In einem der 18 als „wesentlich“ definierten Sektoren tätig sind, wie etwa Energie, Gesundheitswesen, Verkehr oder digitale Infrastruktur.
Mehr als 50 Mitarbeiter oder einen Jahresumsatz von mehr als 10 Millionen Euro haben.
Bestimmte Infrastrukturbetreiber sind unabhängig von der Unternehmensgröße betroffen, wie z.B. DNS-Dienste, TLD-Registrare und Anbieter von zertifizierten Vertrauensdiensten.

Darüber hinaus umfasst die NIS2-Richtlinie auch zusätzliche Anforderungen für Organisationen, die kritische Infrastrukturen oder digitale Dienste bereitstellen, um sicherzustellen, dass diese Organisationen ihre Cybersicherheitsvorkehrungen verbessern und kontinuierlich Risiken managen.

Was sind die Strafen bei der Nichtbefolgung der NIS2-Richtlinie?

Die NIS2-Richtlinie fordert von den betroffenen Organisationen, ihre Cybersicherheitsmaßnahmen zu verstärken. Bei Verstößen können strenge Maßnahmen, einschließlich Geldstrafen, verhängt werden. Artikel 34 der Richtlinie regelt die Höchstgrenzen für Geldstrafen wie folgt:

Wesentliche Unternehmen (Major Entities): Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Wichtige Unternehmen (Important Entities): Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Darüber hinaus wird in der NIS2-Richtlinie die Verantwortung der Führungsebene hervorgehoben. Die Mitgliedstaaten müssen gegebenenfalls rechtliche Rahmenbedingungen schaffen, um die individuelle Verantwortung der Führungskräfte zu klären. Das bedeutet, dass nicht nur das Unternehmen, sondern auch Vorstände und Geschäftsführer für Verstöße verantwortlich gemacht werden können. Daher ist die Umsetzung der NIS2 nicht nur eine Frage der IT-Sicherheit, sondern betrifft auch die Governance und das Risikomanagement auf Unternehmensebene.

Was sind die Regeln zur Meldung von Vorfällen nach NIS2?

Artikel 23 der NIS2-Richtlinie verlangt, dass betroffene Unternehmen bei einem schwerwiegenden Cybervorfall unverzüglich, ohne unangemessene Verzögerung, schrittweise die zuständigen Behörden oder CSIRT (Computer Security Incident Response Team) informieren. Die Meldung muss wie folgt erfolgen:

Frühwarnung (innerhalb von 24 Stunden)
Erstmeldung (innerhalb von 72 Stunden)
Endmeldung (innerhalb eines Monats)

Diese Verpflichtung gilt auch dann, wenn keine personenbezogenen Daten betroffen sind. Es können auch zusätzliche Berichte erforderlich sein. Je nach nationalem Recht kann es notwendig sein, auch Kunden zu benachrichtigen oder den Vorfall öffentlich bekannt zu machen, insbesondere in den Bereichen Finanzwesen, Versicherung und IT-Kommunikation. In Deutschland wird die Meldepflicht durch die Änderungen des BSI-Gesetzes verstärkt.

Was ist der Unterschied zwischen NIS und NIS2?

NIS2 ist eine verstärkte und erweiterte Version der 2016 eingeführten NIS-Richtlinie, mit dem Ziel, das Cybersicherheitsniveau in der gesamten EU zu erhöhen. Die vier wichtigsten Verstärkungen sind:

Erweiterung des Anwendungsbereichs

Die Zahl der betroffenen Organisationen und Sektoren wurde erheblich erweitert. Alle mittelgroßen und großen Unternehmen sind grundsätzlich betroffen, einschließlich wichtiger Infrastrukturen und digitaler Dienstleister. Sektoren wie Gesundheitswesen, Lebensmittel, Abfallwirtschaft, Forschung und öffentliche Kommunikation sind nun ebenfalls eingeschlossen.

Verpflichtungen und Verantwortlichkeiten der Unternehmensführung

Die Unternehmensleitung ist nun direkt für Cybersicherheitsmaßnahmen verantwortlich. Schulungen für Führungskräfte und die Möglichkeit, bei Verstößen persönliche Haftung zu tragen, wurden ebenfalls festgelegt.

Verschärfung der Vorfallmelderegelungen

Bei schwerwiegenden Sicherheitsvorfällen müssen Unternehmen innerhalb von 24 Stunden eine Frühwarnung, innerhalb von 72 Stunden einen Zwischenbericht und innerhalb eines Monats einen Endbericht einreichen. Dies gilt unabhängig davon, ob personenbezogene Daten betroffen sind.

Verstärkung der Risikomanagementmaßnahmen

Es wird ein umfassendes, risikobasiertes Sicherheitsmanagement gefordert, einschließlich technischer und organisatorischer Maßnahmen.

Welche Cybersicherheitsmaßnahmen verlangt NIS2?

Artikel 21 der NIS2-Richtlinie fordert, dass betroffene Organisationen „angemessene technische und organisatorische Maßnahmen“ ergreifen, um Cybersicherheitsrisiken zu managen. Zu diesen Maßnahmen gehören unter anderem:

Risikomanagement
Vorfallbehandlung
Geschäftskontinuität und Datensicherung
Sicherheitsmaßnahmen für die Lieferkette
Sicherheit beim Erwerb, der Entwicklung und der Wartung von ICT, Schwachstellenmanagement
Bewertung der Wirksamkeit der Maßnahmen
Cybersicherheitshygiene und Schulung
Kryptografie und Verschlüsselung
Personelle Maßnahmen und Zugriffskontrollen
Multi-Faktor-Authentifizierung und sichere Kommunikationsmittel für Notfälle

Verantwortung der Unternehmensführung
Die Entscheidungen über diese Maßnahmen und die Bereitstellung der erforderlichen Ressourcen liegen eindeutig in der Verantwortung der Unternehmensführung. Das bedeutet, dass Cybersicherheit nicht nur ein IT-Problem ist, sondern eine zentrale Managementaufgabe darstellt.

Wie weit ist die Umsetzung der NIS2-Richtlinie in den nationalen Gesetzen?

Die Mitgliedstaaten mussten die NIS2-Richtlinie bis Oktober 2024 in nationales Recht umsetzen. Der Fortschritt variiert jedoch je nach Land. Derzeit sind folgende Fortschritte bekannt:

Länder, die Gesetze verabschiedet haben (7 Länder):

Belgien, Italien, Kroatien, Lettland, Litauen, Rumänien, Ungarn

Länder, die Gesetzesentwürfe eingereicht oder in Prüfung sind (12 Länder):

Deutschland, Österreich, Finnland, Niederlande, Polen, Schweden, Zypern, Tschechien, Luxemburg, Bulgarien, Griechenland, Slowakei

Länder, die noch keinen Entwurf veröffentlicht haben:

Frankreich, Spanien, Irland, Malta, Slowenien, Dänemark, Estland