Mit der NIS 2 Richtlinie der EU möchte die Europäische Union ein hohes gemeinsames Cybersicherheitsniveau schaffen. Offiziell heißt die Vorgabe übrigens Richtlinie (EU) 2022/2555. 

Mit NIS 2 wird allerdings auch der Vorgänger NIS, die Richtlinie (EU) 2016/1148, aufgelöst. Das damalige Ziel wurde erreicht: der Aufbau von Cybersicherheitskapazitäten und die Verbesserungen der Security in Schlüsselsektoren. Allerdings ist noch genügend Luft nach oben. Aus diesem Grund wurde der Nachfolger mit der NIS 2 Direktive ins Leben gerufen.

Da es sich hier wie bei der Whistleblowing Richtlinie um eine EU Richtlinie handelt, muss diese in nationales Recht umgesetzt werden. Bei Verordnungen (zum Beispiel der DSGVO) muss kein nationales Recht mehr in Kraft gesetzt werden. Deadline für die Umsetzung als Gesetz ist der 17. Oktober 2024. Bis dahin müssen die Mitgliedsstaaten die Anforderungen in ein nationales Recht übertragen haben.

In diesem Beitrag möchte ich den Schwerpunkt auf die Inhalte der NIS 2 Richtlinie setzen. Natürlich gehe ich auch auf die brandheiße Frage nach den betroffenen Unternehmen ein. Den Inhalten der Umsetzung durch ein nationales Gesetz werden wir einen eigenen Artikel widmen.

Bitte beachten Sie daher: Der Artikel bezieht sich nur auf die Inhalte der EU Richtlinie. Nationale Umsetzungsvorschläge werden NICHT berücksichtigt. Diese werden in einem eigenen Beitrag behandelt!

Auf den Punkt gebracht: EU NIS 2 Richtlinie

Warum gibt es eigentlich die EU NIS 2 Richtinie?

Hat uns NIS denn nicht schon gereicht? Wie schon eingangs erwähnt, ging es beim Vorgänger primär darum, Kapazitäten, Ressourcen und Know-How im Bereich Cybersecurity in den Mitgliedsstaaten aufzubauen. Nachdem dieses Ziel größtenteils erreicht wurde, wurde aber auch der Bedarf an weiteren Aufgaben offensichtlich. Zudem gab es natürlich wieder die Streber und die, die sich eben so durchgemogelt haben. Am Ende ist das Niveau der Anforderungen in jedem Land anders geworden.

Das große Ziel der NIS 2 Direktive ist ein funktionierender Binnenmarkt. Dieser kann nur sichergestellt werden, wenn die Mitgliedsstaaten sowohl ein einheitliches Verständnis als auch Anforderungsniveau der Cybersecurity Maßnahmen haben. Nun wird auch klarer zentral vorgegeben, welche Sparten überhaupt unter diese gesetzlichen Anforderungen fallen. Es kann sein, dass selbst Klein- und Kleinstunternehmen die Vorgaben umsetzen müssen.

Schön ist, dass in den Erwägungsgründen klar genannt wird, dass es eigentlich nicht nur eine Pflicht der kritischen Sektoren sein sollte, sich um das Thema Informationssicherheit anzunehmen. Jedes Unternehmen oder jede Einrichtung muss dazu beitragen, ein gesamtheitliches Niveau der Cybersicherheit zu erreichen. Dazu soll ein dem sensiblen Charakter des Unternehmens angemessenes Risikomanagement Teil des Unternehmens sein. Das war aber jetzt wirklich nur der Wunsch-Absatz. Pflicht ist das keine.

Umsetzung der NIS 2 Richtlinie in nationales Recht

Die Mitgliedstaaten sind verpflichtet, die EU NIS 2 Richtlinie in nationales Recht umzusetzen. Deadline für das nationale Gesetz ist der 17. Oktober 2024. Nach Artikel 40 der Richtlinie prüft die EU Kommission bis zum 17. Oktober 2027 die Einhaltung dieser Richtlinie und dann alle 36 Monate wieder. Was das im Detail für die nationalen Prüfungen der Unternehmen bedeutet, wird jeder Mitgliedsstaat selbst festlegen.

Na, dann, erst mal ausruhen und zurücklehnen. Wir haben ja noch genügend Zeit, oder?

Ich habe gerade ein Déjà-vu. Genauso fühlt es sich an mit den Proben der Kinder in der Schule. Warum soll ich denn heute schon mit dem Lernen beginnen, wenn die Probe erst in zwei Wochen angesetzt ist? Und jedes Mal kommen wir dann doch zum Ergebnis, dass die Zeit schon ganz sinnvoll war. Rechtzeitig beginnen schadet sicherlich nicht. Dafür kann man es dann im Unternehmen – oder als Schüler – tatsächlich etwas ruhiger angehen lassen.

Wer sind die von NIS 2 betroffenen Unternehmen?

Starten wir doch mit dem Wichtigsten. Diese Frage brennt Ihnen wohl unter den Nägeln. Es wird in der Richtlinie zwischen wesentlichen und wichtigen Einrichtungen unterschieden. Zu deutsch: Wichtig und super wichtig!

Die Auswahl wurde nach gesellschaftlicher und wirtschaftlicher Tätigkeit, die von entscheidender Bedeutung sind, getroffen. Allerdings wurden auch klar Strafermittlungsbehörden bzw. Institutionen, die zum Schutz der öffentlichen Ordnung und Sicherheit (…) dienen, ausgenommen.

„Mitgegangen – mitgefangen“ wurde ebenfalls ausgehebelt. Das bedeutet, dass verbundene oder Partnerunternehmen nicht zwingend in den Sektor fallen müssen, selbst wenn ein verbundenes Unternehmen als kritische Einrichtung identifiziert wurde.

Selbst entscheiden können die Länder auch, ob die regionale öffentliche Verwaltung oder Bildungseinrichtungen als kritischer Sektor gelten sollen.

Auswahl anhand der Unternehmensgröße

Grundsätzlich werden Klein- und Kleinstunternehmen von der NIS 2 Richtlinie ausgenommen. Trotzdem gibt es einige Tätigkeiten, die die Unternehmensgröße aushebeln. Hierbei handelt es sich um folgende (siehe Artikel 2 der EU NIS 2 Richtlinie):

• Erbringung von Diensten
  • Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten;
  • Vertrauensdiensteanbieter;
  • Namenregister der Domäne oberster Stufe und Domänennamensystem-Diensteanbieter;
• Single Source Anbieter eines kritischen Dienstes;
• Wenn sich eine Störung des Dienstes wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte;
• Wenn eine Störung ein Systemrisiko nach sich ziehen könnte (ggf. mit internationalen Auswirkungen);
• Wenn eine Einrichtung regional oder national von besonderer Bedeutung ist (das ist quasi die Joker- Karte – allgemeiner könnte man es kaum formulieren)
• Öffentliche Verwaltung der Zentralregierung oder erhebliche Auswirkungen auf gesellschaftliche und wirtschaftliche Tätigkeit
• Wenn die Einrichtung unter die EU Direktive 2022/2557 fällt, also als kritische Infrastruktur gilt.
• DNS Registrierungsdienste

Betroffene wesentliche Sektoren der NIS 2 Richtlinie

• Energie
  • Elektrizität
  • Fernwärme und -kälte
  • Erdöl
  • Erdgas
  • Wasserstoff
• Verkehr
  • Luftverkehr
  • Schienenverkehr
  • Schiffahrt
  • Straßenverkehr
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• Verwaltung von IKT-Diensten (B2B)
• öffentliche Verwaltung
• Weltraum (Betreiber von Bodeninfrastrukturen)

Wichtige Sektoren als kritische Einrichtungen

• Post- und Kurierdienste
• Abfallbewirtschaftung
• Produktion, Herstellung und Handel mit chemischen Stoffen
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Verarbeitendes Gewerbe / Herstellung von Waren
  • Medizinprodukte und In-vitro-Diagnostika
  • Datenverarbeitungsgeräte, elektronische und optische Erzeugnisse
  • elektrische Ausrüstungen
  • Maschinenbau
  • Kraftwagen und Kraftwagenteile
  • sonstiger Fahrzeugbau
• Anbieter digitaler Dienste
• Forschung

Die Liste ist lang, aber zusätzlich gibt es in der originalen Richtlinie noch eine weitere Detaillierung. Erst mal keine Panik, wenn Sie sich hier wiederfinden.

Gerne helfen wir Ihnen bei der Frage, ob Sie mit Ihrem Unternehmen ggf. unter die kritischen Einrichtungen fallen. Nehmen Sie dazu gerne Kontakt mit uns auf. Schreiben Sie uns eine e-Mail.

NIS 2 Inhalte im Überblick

Bevor ich ins Detail gehe, hier ein kurzer Überblick über die wesentlichen Inhalte der EU NIS 2 Richtlinie.

• Nationale Cybersicherheitsstrategie
• Rolle der Behörden bei Cybersicherheitsvorfällen
• Cybersecurity Incident Response Team (CSIRT)
• Europäische Schwachstellendatenbank
• Verpflichtung der Leitung
• Risikomanagement
• Meldung von Vorfällen
• Sanktionen und Bußgelder

Im folgenden gehe ich auf einige der genannten Inhalte detaillierter ein. Den Schwerpunkt in diesem Beitrag setze ich auf die Punkte, die Sie direkt betreffen. Die Implementierung von CSIRTeams oder der Schwachstellendatenbank sind Aufgaben der Behörden. Aus diesem Grund beschreibe ich diese Punkte nachfolgend nicht detaillierter.

Wie sich im Referentenentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung in Deutschland (kurz NIS2UmsuCG) zeigt, sind viele der Inhalte des neuen Gesetzes sehr nahe an den Vorgaben der EU NIS 2 Richtlinie.

Cyberhygiene

Diesen Punkt möchte ich herausheben, auch wenn er nur indirekt in der Richtlinie erwähnt wird. Ich finde den Begriff schön.

Gemeint ist damit die Umsetzung von Maßnahmen, über die man sowieso nicht diskutieren sollte. Sichere Passwörter, Backup, Berechtigungskonzepte…. Also all das, was jeder eigentlich umgesetzt haben sollte, egal ob es sich um eine wichtige oder wesentliche Einrichtung handelt.

Cyberhygiene sollte so alltäglich sein wie die tägliche Körperhygiene. Daher ist diese Wortschöpfung auch sinnbildlich gut gewählt.

Nationale Cybersicherheitsstrategie nach der NIS 2 Richtlinie

Strategische Security Ziele sollte jedes Unternehmen verabschieden. Ebenso ist es Pflicht für die Mitgliedsstaaten. Unter anderem soll die nationale Cybersicherheitsstrategie folgende Punkte abdecken:

• Ziele und Prioritäten des Landes
• Mechanismus zur Ermittlung der relevanten Anlagen und Bewertung der Cybersicherheitsrisiken
• Verhalten bei Sicherheitsvorfällen, einschließlich der Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor
• Sensibilisierung der Bürgerinnen und Bürger des Landes
• Cybersicherheit in der Lieferkette
• Offenlegung von Schwachstellen
• Verfügbarkeit, Vertraulichkeit und Integrität des offenen Internets
• Förderung der Technologien, um auf dem neusten Stand zu bleiben
• Erhöhung der Cybersicherheit bei KMU, die von dieser Richtlinie ausgenommen sind

Verpflichtung der Leitung

So heißt es in der Norm. Die EU NIS 2 Richtlinie drückt sich mit „Governance“ etwas traniger aus. Unterm Strich bedeutet es dasselbe.

Am Ende – bzw. hier eher am Anfang – muss das Management dahinter stehen, wenn in Sachen Verbesserung der Cybersecurity angepackt wird. Kein ISMS funktioniert, wenn die Leitung es nicht mitträgt.

Die Leitung muss das Risikomanagement beauftragen und entsprechend der identifizierten Risiken reagieren (Risikobehandlungsplan).

Aber nicht nur Risikomanagement wird explizit erwähnt. Auch das Thema Security Awareness ist ein high Level Verantwortungsbereich. Regelmäßige Schulungen und Trainings zur Risikoidentifizierung und zur allgemeinen Sensibilisierung im Umgang mit Informationssicherheit anzubieten ist eine Führungsaufgabe.

Wie schön, dass wir Ihnen hier mit unserer großen Erfahrung an Schulungen, Workshops und Online-Awareness-Trainings viele Tools zur Verfügung stellen können.

NIS 2 fordert ein Cybersecurity Risikomanagement

Erfreulich, dass es an dieser Stelle nichts Neues gibt, das erarbeitet werden muss. Dass Risikomanagement das zentrale Element der Informationssicherheit ist, wissen wir ja bereits. Kein ISMS funktioniert ohne Asset- und Risk Analysis.

Die EU setzt in ihrer NIS 2 Richtlinie ebenfalls das Risikomanagement in den Mittelpunkt der Cybersicherheit. Es wird allerdings darauf hingewiesen, dass selbst die Risikoanalyse verhältnismäßig sein soll. Es soll also vermieden werden, dass der Aufwand für die Risikoidentifizierung höher als deren Mehrwert ist.

Unsere Erfahrung zeigt, dass die tatsächlichen Risiken sowieso meist bei den Verantwortlichen bekannt sind. Häufig sind diese Risiken nicht schematisch mit Bewertung von Schaden und Eintrittswahrscheinlichkeit dokumentiert. Dieser dokumentierte Ansatz ist zwar in der Praxis erst mal nicht so beliebt, trotzdem aber sehr sinnvoll. Gut, dass auch NIS 2 dies so sieht.

Die EU verweist auch auf gängige ISO Normen, unter anderem die ISO 27001 Reihe, wenn es um die Umsetzung des Risikomanagements im Unternehmen geht. Perfekt oder? Besonders gut am risikoorientierten Ansatz gefällt mir, unnötiges vom notwendigen zu trennen.

Cybersecurity Risikomanagement in der Lieferkette

Beim Lesen des Gesetzestextes überliest man die Auswirkung dieser Anforderung. Allerdings geht auch bereits die Version 2022 der ISO 27001 auf die Lieferkette stärker ein als noch ihr Vorgänger.

Es soll damit sichergestellt werden, dass Vorfälle bei Dienstleistern oder anderen Auftragnehmern nicht dazu führen, dass am Ende kritische Einrichtungen stillstehen. Ich wage nur bedingt einen Blick in die Glaskugel. Aber da wir ja als Nation „Vorsicht“ betitelt werden, kann ich mir gut vorstellen, dass die gesetzlichen Anforderungen der nationalen NIS2UmsuCG Umsetzung an einigen Stellen durch die Auftraggeber (nicht zwingend durch das Gesetz) an die Auftragnehmer weitergegeben werden.

Ähnliches sieht man aktuell gerade in der Automobilindustrie. Die Anforderungen der VDA ISA / TISAX® werden Jahr für Jahr tiefer in der Lieferkette durchgereicht. So könnte es auch mit diesen Anforderungen kommen.

Meldepflicht bei Sicherheitsvorfällen

Eine der wichtigsten Verpflichtungen für Unternehmen im Rahmen der NIS 2 Richtlinie ist die Meldepflicht bei Sicherheitsvorfällen. Im offiziellen Text wird von Berichtspflicht gesprochen. Unternehmen sind verpflichtet, ernsthafte Sicherheitsvorfälle an die zuständigen nationalen Behörden zu melden. Diese Anforderung zielt darauf ab, die Transparenz zu erhöhen und eine effektive Reaktion auf Sicherheitsvorfälle zu ermöglichen.

Gemeldet werden müssen Vorfälle, die erhebliche Auswirkung auf die Erbringung ihrer Dienste haben. Zu beachten ist bei der Meldung auch, ob es sich um einen Vorfall handelt, der grenzüberschreitende Auswirkungen hat.

Laut Artikel 23 der NIS 2 Richtlinie definiert Absatz (3), wann es sich um einen erheblichen Sicherheitsvorfall handelt:

• Bei schwerwiegenden Betriebsstörungen der Dienste oder finanziellen Verlusten für die betreffende Einrichtung

• Bei Beeinträchtigung natürlicher oder juristischer Personen durch erhebliche materielle oder immaterielle Schäden

Meldefristen für Sicherheitsvorfälle

Hier wurde ein mehrstufiges Meldesystem definiert. Eine Frühwarnung muss sofort nach Kenntnisnahme des Vorfalls oder spätestens innerhalb von 24 Stunden durchgeführt werden.

Eine detailliertere bzw. aktualisierte Meldung muss innerhalb von 72 Stunden nachgereicht werden.

Der abschließende Bericht des Vorfalls muss mit konkreten Maßnahmen und weiteren Inhalten bis spätestens einen Monat nach Kenntnisnahme des Vorfalls abgegeben werden.

Sanktionen bei Verstößen gegen die NIS 2 Richtlinie

Die NIS 2 Richtlinie sieht auch Sanktionen für Unternehmen vor, die gegen ihre Verpflichtungen verstoßen. Diese können Geldstrafen, aber auch andere Maßnahmen umfassen. Der genaue Umfang der Sanktionen hängt von der Schwere des Verstoßes und den spezifischen Umständen ab.

Ähnlich wie bei der DSGVO sind konkrete finanzielle Werte als Bußgeldobergrenze angegeben. Entweder 10.000.000 Euro oder 2% des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens. 

Ausblick auf die Umsetzung im Unternehmen

Auch wenn die nationalen Gesetze noch einige individuelle Ausprägungen mit sich bringen werden, kann ganz klar eine Umsetzungsempfehlung gegeben werden.

Wer die Inhalte der NIS 2 Richtlinie mit offenen Augen liest, weißt, dass ein ISMS, also ein Managementsystem für Informationssicherheit so ziemlich alle Anforderungen abdecken wird. In den Erwägungsgründen der Richtlinie wird direkt auf ISO Normen und explizit die ISO 27000 Reihe verwiesen.

Ich weiß, dass man in Richtlinien, Normen und Gesetze viel hineininterpretieren kann. Wenn Sie uns folgen, wissen Sie, dass wir praxis- und lösungsorientiert arbeiten. Nicht immer ist es zweckmäßig, das hundertzwanzigste Formular auch noch auszufüllen. Wir unterstützen Sie mit unserer Erfahrung dabei, die richtigen Unterlagen zu implementieren und sinn- und vertrauensvoll Ihr ISMS mit Ihnen zu implementieren.

Ich hoffe, ich konnte Ihnen mit diesem Beitrag einen verständlichen Überblick über die Inhalte der EU NIS 2 Richtlinie geben. Ich freue mich über Ihren Kommentar zum Beitrag.

Wünschen Sie Unterstützung bei der Umsetzung in Ihrem Unternehmen? Vereinbaren Sie einen kostenlosen Ersttermin für ein erstes Gespräch oder melden Sie sich für unseren Newsletter an, um auf dem neuesten Stand zu bleiben.

Bleiben wir in Kontakt – Anmeldung zum Newsletter