NIS-2 im Überblick

Die NIS-2-Richtlinie (EU 2022/2555) ist der aktuelle EU-weite Rechtsrahmen zur Stärkung der Cybersicherheit. Sie erweitert die Anforderungen und den Geltungsbereich gegenüber der bisherigen NIS-Richtlinie deutlich. Unternehmen und Organisationen aus zahlreichen Sektoren – darunter Energie, Verkehr, Gesundheit, digitale Dienste und viele weitere – müssen unter anderem umfassende Maßnahmen zur IT-Sicherheit umsetzen und Sicherheitsvorfälle melden.

• Bildet eine einheitliche Compliance Anforderung für Organisationen
• Dient der Verbesserung der Cybersicherheit in der europäischen Wirtschaft
• Gilt für deutlich mehr Unternehmen und Organisationen als bisher

Betroffen sind Unternehmen aus relevanten Sektoren, die mindestens 50 Mitarbeitende beschäftigen oder mehr als 10 Millionen Euro Jahresumsatz erzielen. Zu den relevanten Sektoren zählen:

• Energie
• Transport und Verkehr
• Gesundheit
• digitale Infrastruktur und Dienste
• verarbeitendes Gewerbe usw.

Für Konzerne gilt die Betrachtung auf Konzernebene bzw. unter Einbeziehung aller verbundenen Unternehmen. Bei der Prüfung, ob ein Unternehmen unter NIS-2 fällt (z. B. mehr als 50 Mitarbeitende oder über 10 Mio. Euro Jahresumsatz), werden also nicht die einzelnen Tochtergesellschaften betrachtet, sondern die Werte des gesamten Konzerns berücksichtigt. So können auch kleinere Einheiten von NIS-2 betroffen sein. Durch die höhere Komplexität der Unternehmensstruktur ist meist eine detailliertere Betroffenheitsanalyse sinnvoll, um festzustellen, welche Unternehmen tatsächlich unter die Regelungen nach NIS-2 fallen.

Unternehmen und Organisationen kritischer Infrastrukturen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf das Gemeinwesen, die öffentliche Sicherheit oder die Versorgung der Bevölkerung hätte, sind weiterhin von NIS-2 betroffen. Dazu zählen:

• Energie (z. B. Strom, Gas, Öl)
• Wasser (Trinkwasserversorgung, Abwasserentsorgung)
• Ernährung (Lebensmittelproduktion und -versorgung)
• Informationstechnik und Telekommunikation (IT, Internet, Mobilfunk, Festnetz)
• Transport und Verkehr (Bahn, Luftfahrt, Schifffahrt, Straßenverkehr)
• Gesundheit (Krankenhäuser, Labore, Arzneimittelversorgung)
• Finanz- und Versicherungswesen (Banken, Börsen, Versicherungen)
• Staat und Verwaltung (öffentliche Verwaltung, Regierungsstellen)
• Digitale Infrastruktur (z. B. Cloud-Anbieter, Rechenzentren, Internetknoten, DNS)
• Postdienste (neu durch NIS-2)
• Weltraum/Raumfahrt (neu durch NIS-2)

NIS-2 wird in Deutschland durch das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) umgesetzt. Das BSIG bildet den rechtlichen Rahmen für IT-Sicherheit in Deutschland und regelt die Aufgaben und Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Zur Erfüllung der NIS-2-Anforderungen müssen Unternehmen eine Vielzahl technischer und organisatorischer Sicherheitsmaßnahmen umsetzen. Dazu zählen der Einsatz moderner IT-Sicherheitslösungen wie Firewalls, Intrusion Detection und Verschlüsselung, aber auch organisatorische Maßnahmen wie Zugangskontrollen und ein effektives Berechtigungsmanagement. Regelmäßige Updates und Patch-Management sind ebenso verpflichtend wie die Erstellung und Pflege von Notfall- und Wiederherstellungsplänen. Unternehmen müssen Prozesse zur schnellen Erkennung und Meldung von Sicherheitsvorfällen einrichten und ihre Mitarbeitenden regelmäßig zu IT-Sicherheitsthemen schulen. Eine lückenlose Dokumentation aller Sicherheitsmaßnahmen und Prozesse ist ebenfalls erforderlich, um ein hohes Schutzniveau zu gewährleisten.

Im Rahmen von NIS-2 sind Unternehmen verpflichtet, ein umfassendes Risikomanagement zu etablieren. Dazu gehört, IT- und Cyberrisiken systematisch zu identifizieren und zu bewerten. Auf Basis dieser Analysen müssen geeignete Maßnahmen entwickelt und umgesetzt werden, um die Risiken zu minimieren. Das Risikomanagement sollte sich am Risikoprofil des Unternehmens orientieren und muss regelmäßig aktualisiert werden. Alle durchgeführten Risikoanalysen und getroffenen Maßnahmen sind sorgfältig zu dokumentieren, um Transparenz und Nachvollziehbarkeit zu gewährleisten.

Der Meldeprozess ist mehrstufig aufgebaut. So wird eine schnelle Information der Behörden und eine koordinierte Reaktion auf Cybervorfälle ermöglicht. Unternehmen sind verpflichtet, diesen Prozess einzuhalten und alle relevanten Informationen fristgerecht zu liefern.

• Innerhalb der ersten 24 Stunden: Spätestens innerhalb von 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls muss eine erste Meldung („Early Warning“) an das BSI erfolgen. Diese Initialmeldung enthält erste Informationen zum Vorfall, auch wenn noch nicht alle Details bekannt sind.
• Innerhalb von 72 Stunden: Innerhalb von 72 Stunden nach Kenntniserlangung über den Vorfall muss ein ausführlicherer Bericht nachgereicht werden. Dieser enthält eine Bewertung des Vorfalls, erste Analysen, bereits ergriffene Maßnahmen und eine erste Einschätzung der Auswirkungen.
• Zwischenmeldung: Ggf. fordert das BSI in einer Nachfrage weitere Informationen.
• spätestens nach 1 Monat: Spätestens einen Monat nach der Erstmeldung ist ein Abschlussbericht einzureichen. Dieser Bericht fasst die Ursachen, den Verlauf, die getroffenen Maßnahmen und die Lehren aus dem Vorfall zusammen. Informieren der Kunden: Bei erheblichen Vorfällen kann das BSI (besonders) wichtige Einrichtungen anweisen, ihre Kunden über den Sicherheitsvorfall zu informieren.

Das neue BSIG sieht vor, dass Mitglieder der Geschäftsleitung (Vorstände, Geschäftsführer) persönlich für die Einhaltung der NIS-2-Pflichten verantwortlich sind. Sie müssen aktiv dafür sorgen, dass angemessene Sicherheitsmaßnahmen und Prozesse im Unternehmen umgesetzt werden. Bei grober Pflichtverletzung oder fehlender Überwachung kann eine persönliche Haftung entstehen – auch zivilrechtlich (Schadensersatz) oder strafrechtlich, falls z. B. grobe Fahrlässigkeit vorliegt.

Bei Verstößen gegen die NIS-2-Anforderungen (z. B. fehlende Sicherheitsmaßnahmen, verspätete Meldungen, fehlende Registrierung) drohen empfindliche Bußgelder. Die Höchstgrenzen der Bußgelder liegen bei:

• Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für besonders wichtige Einrichtungen.
• Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes für wichtige Einrichtungen.
• Zusätzlich können weitere aufsichtsrechtliche Maßnahmen wie Anordnungen, Zwangsgelder oder die Veröffentlichung von Verstößen verhängt werden.

Um Verstöße und damit einhergehenden Bußgeldern oder anderen Sanktionen zu vermeiden, sollten frühzeitig klare und nachhaltige Strukturen implementiert und gelebt werden.

• Verantwortlichkeiten klar definieren: Legen Sie Zuständigkeiten für IT-Sicherheit und NIS-2-Compliance in der Geschäftsleitung und im Unternehmen eindeutig fest.
• Risikomanagement etablieren: Risiken regelmäßig identifizieren, bewerten und geeignete Maßnahmen ableiten.
• Sicherheitsmaßnahmen: Führen Sie technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik ein und aktualisieren Sie diese regelmäßig.
• Schulungen: Mitarbeitende und Führungskräfte sollten regelmäßig zu Cybersicherheit und Meldepflichten geschult werden.
• Dokumentation: Alle Maßnahmen, Prüfungen und Entscheidungen sorgfältig dokumentieren, um im Ernstfall die Erfüllung der Pflichten nachweisen zu können.
• Interne und externe Audits: Lassen Sie IT-Sicherheit und Compliance regelmäßig durch interne oder externe Experten überprüfen.
• Notfallmanagement: Entwickeln Sie Pläne für den Umgang mit Sicherheitsvorfällen und Krisen und testen Sie diese regelmäßig.

Die NIS-Richtlinie 2015 (EU 2016/1148, Richtlinie zur Netz- und Informationssicherheit) war der erste europaweite Rechtsrahmen zur Verbesserung der Cybersicherheit in kritischen Infrastrukturen. Ziel der NIS-Richtlinie war es, Unternehmen aus Bereichen wie Energie, Verkehr und Gesundheit zu verpflichten, Mindeststandards für IT-Sicherheit einzuhalten und Sicherheitsvorfälle zu melden. Die Vorgaben der NIS-Richtlinie bilden bis heute die Grundlage für den Schutz digitaler Systeme und die Einhaltung von Compliance-Anforderungen in Unternehmen.

• Die erste EU-weite Richtlinie zur Netz- und Informationssicherheit
• In Deutschland wurde die NIS-Richtlinie durch das IT-Sicherheitsgesetz 2015 umgesetzt
• Ziel: Verbesserung der Cybersicherheit in kritischen Infrastrukturen (z. B. Energie, Verkehr, Gesundheit)