NIS-2-Richtlinie: Was Unternehmen 2024 wissen müssen
Das Thema NIS2 ist derzeit allgegenwärtig: Kaum vergeht ein Tag, ohne dass neue Einladungen zu Webinaren, Schulungen oder Veranstaltungen rund um diese Richtlinie in den Postfächern landen. Die Informationsflut scheint unerschöpflich, und viele Unternehmen sowie Fachleute stehen vor der Herausforderung, den Überblick zu behalten. Hinter den zahlreichen Ressourcen und Veranstaltungen verbirgt sich jedoch weit mehr als nur ein weiteres EU-Regulierungsthema. Im Kern geht es um die Definition von Sicherheitsstandards und die Stärkung der Resilienz unserer digitalen Infrastruktur. Dieser Beitrag beleuchtet die Hintergründe und Ziele von NIS2, erklärt die konkreten Auswirkungen der Richtlinie und beantwortet die zentrale Frage: Was steckt wirklich hinter NIS2, und welche Anforderungen müssen Betreiber und Zulieferer in der Lieferkette beachten?
Der aktuelle Stand: November 2024
Seit dem 16. Januar 2023 ist die sogenannte NIS-2-Richtlinie der Europäischen Union in Kraft getreten, ursprünglich noch im Jahr 2024. Das nationale deutsche „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ scheint nach aktuellem Zeitplan und unabhängig von der derzeit hitzigen Politdebatte wie geplant im März 2025 in Kraft zu treten. Die Bundesregierung hat den Gesetzentwurf am 25. Juli 2024 beschlossen und durchläuft derzeit das Gesetzgebungsverfahren. So zumindest das aktuelle Politbarometer, auf das sich auch der aktuelle Heise-Beitrag zum Thema bezieht.
Was ist die NIS-2-Richtlinie?
Die NIS2-Richtlinie ist die überarbeitete Fassung der ursprünglichen EU-Cybersicherheitsrichtlinie (NIS1) aus dem Jahr 2016. Sie geht deutlich weiter als der Vorgänger und verpflichtet Organisationen nun dazu, ihre Sicherheitsprozesse und -technologien umfassend zu standardisieren und zu optimieren. Ein ganzheitlicher Ansatz ist unerlässlich: Isolierte Sicherheitslösungen und Teildisziplinen reichen nicht mehr aus – sie können sogar kontraproduktiv wirken, da sie Komplexität und Risiken erhöhen.
Ziel von NIS2 ist es, eine durchgängige, standardisierte Sicherheitsstruktur in der gesamten Organisation zu etablieren.
Um die Vorgaben der NIS2-Richtlinie in nationales Recht umzusetzen, müssen alle EU-Mitgliedstaaten die Richtlinie in ihre eigenen Gesetzgebungen integrieren, was bis zum 18. Oktober 2024 geschehen sein sollte. Deutschland setzt die NIS2-Richtlinie mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (kurz: NIS2UmsuCG„) in nationales Recht um. Der Gesetzentwurf, der bereits das Bundeskabinett passiert hat und noch vom Bundestag verabschiedet werden muss, baut das deutsche IT-Sicherheitsgesetz grundlegend um und erweitert die Cybersicherheitspflichten. Nach der Umsetzung müssen rund 29.500 Unternehmen aus verschiedenen Branchen strengere Cybersicherheitsmaßnahmen einführen, um ihre Prozesse und die Meldung von Vorfällen systematischer zu handhaben.
Die Anfänge der NIS-Richtlinie 2016
Die ursprüngliche Richtlinie zur Netz- und Informationssicherheit (NIS1), offiziell als NIS-Richtlinie 2016/1148 bekannt, war die erste europaweite Regelung zur Verbesserung der Cybersicherheit und wurde 2016 eingeführt. Sie zielte darauf ab, Mindeststandards für die Sicherheit kritischer digitaler Infrastrukturen wie Energie, Gesundheit, Finanzen und Verkehr in allen EU-Mitgliedstaaten zu schaffen. NIS 1 verpflichtete Unternehmen in diesen Sektoren, ihre IT-Sicherheit zu verbessern, Sicherheitsvorfälle zu melden und mit nationalen Behörden zusammenzuarbeiten, um das Risiko großflächiger IT-Ausfälle zu minimieren.
Hauptkritikpunkt an NIS1 war der große Interpretationsspielraum der europäischen Richtlinie, der dazu führte, dass die Anforderungen und Standards von Land zu Land unterschiedlich waren und international tätige Unternehmen vor Herausforderungen stellten.
Die Richtlinie galt nur für bestimmte „wesentliche Dienste“ und bestimmte Anbieter digitaler Dienste (z. B. Online-Marktplätze und Suchmaschinen), während viele andere wichtige Branchen, wie z. B. IT-Dienstleister, nicht erfasst wurden (siehe Grafik NIS(2016)). Diese Beschränkung wurde als unzureichend erachtet, da immer mehr andere Bereiche kritische Funktionen für Wirtschaft und Gesellschaft erfüllen.
Erhalten Sie eine kostenlose, individuelle Status-Analyse Ihrer aktuellen Sicherheitsstruktur und deren NIS2-Konformität.
Kostenloser NIS2-Ready-CheckNIS1 enthielt keine strikten Anforderungen an die Umsetzung der Maßnahmen und keine standardisierten Sanktionen für Verstöße. Dies führte dazu, dass einige Unternehmen die Vorschriften nur teilweise umsetzten, da die Konsequenzen bei Nichteinhaltung als überschaubar angesehen wurden.
Ein weiterer Kritikpunkt war das Fehlen einer zentralen EU-weiten Koordinierungsstelle für große, grenzüberschreitende Cybervorfälle. Die Mitgliedstaaten waren auf ihre eigenen Kapazitäten angewiesen, was das Krisenmanagement bei größeren Vorfällen erschwerte. Diese Schwächen führten zur Einführung von NIS2, das strengere und einheitlichere Standards, einen größeren Geltungsbereich und stärkere Durchsetzungsmechanismen vorsieht.
NIS2UmsuCG: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
NIS2UmsuCG (im folgenden und im allgemein Sprachgebrauch als NIS-2 bezeichnet), dient in Deutschland als Umsetzungsinstrument der europäischen Richtlinie NIS-2. Sofern das Gesetzungsgebungsverfahren im Zeitplan abgeschlossen werden kann tritt NIS2UmsuCG zu März 2025 in Kraft.
Welche Unternehmen sind von der NIS-2-Richtlinie betroffen?
NIS2UmsuCG ist aber keineswegs für alle Unternehmen gleich relevant – grundsätzlich muss das es aber für Unternehmen oder Zulieferer der folgenden Bereiche relevant:
NIS2- und KRITIS-Sektoren
- Energie (Strom, Gas, Fernwärme, Öl, neu Energietechnologie)
- Bankwesen (Finanzen und Versicherungen inkl. Infrastrukturen und unterstützende Systeme)
- Digitale Infrastruktur (Rechenzentren, Cloud-Provider; Managed Services; Cloud-Provider)
- Trinkwasser (Versorger, Aufbereiter; Infrastrukturen)
- Verkehr (jegliche Art der Transport und Verkehrsbereiche)
- Gesundheitswesen (Krankenhäuser, Behörden, Pharmazeutische Unternehmen, Hersteller und Betreiber von medizinischen Geräten))
- Anbieter digitaler Dienste von CDN, DNS & Zertifikate (auch Marktplätze und soziale Netzwerke)
- Abfallwirtschaft (-Sammlung, -Verwertung, Deponien sowie digitale Systeme zur Abfallwirtschaft)
Seit NIS 2.0 involviert
- öffentliche Verwaltung (regionale-, nationale und Internationale Verwaltung inkl. deren digitalen Dienste und Plattformen)
- Abwasserwirtschaft (Versorger, Aufbereiter; Infrastrukturen)
- Weltraum (Infrastruktur und Dienste zur Satelletenkommunikation, weltraumbasierte Teechnologie)
- Post- & Kurierdienste (Logistikunternhmen)
- Forschung (Institute und Universitäten; Forschungseinrichtungen im Bereich Technologie und Gesundheit)
- Produktion, Handel & Verarbeitung (Verarbeitende Gewerke in der Automobil-, Maschinenbau-, Elektronik- oder Konsumgüterindustrie)
- Verwalter von IKT-Dienste (Cloud-Computing-Dienste, Softwareanbieter und -dienste, IT-Sicherheitsdienstleister
- Anbieter digitaler Dienste (siehe oben)
Eine ausführliche Beschreibung bietet hierzu diese Seite.
Ein Zulieferer dieser Unternehmen ist nicht direkt betroffen – indirekt werden die Zulieferer ihre Services aber durch die in Artikel 24 (Lieferketten-Sicherheit) hingewiesen, dass Organisationen sicherstellen müssen, dass Sicherheitsmaßnahmen innerhalb ihrer Lieferkette und bei Drittanbietern durchgesetzt werden. Hier sind Service-Level-Agreements ein praktisches Werkzeug, um diese Sicherheitsanforderungen vertraglich festzulegen.
Innerhalb der Branchen unterscheidet NIS-2 drei Größenklassen von Unternehmen. Auch hier sind Unternehmen dieser Branche mit weniger Beschäftigten nicht von NIS-2 betroffen.
Unterschiede zwischen den Größenkategorien: Besonders wichtige Betriebe haben strengere Meldepflichten und Sanktionsmöglichkeiten.
Quick-Check: NIS-2-Betroffenheitsprüfung
Sind sie sich nicht sicher, ob sie betroffen sind oder nicht? So ist die Betroffenheitsprüfung des BSI zu empfehlen.
Was müssen betroffene Unternehmen tun?
Die erste Aufgabe einer Organisation ist die selbstständige Einstufung/Klassifizierung als „besonders wichtige Einrichtung“ oder „wichtige Einrichtung“ innerhalb von 3 Monaten nach Inkrafttreten des nationalen Gesetzes.
Die Prüfung/Auditierung von NIS-2 wird durch das BSI selbst im Rahmen bestehender Audits z. B. nach ISO 27001 durchgeführt: (ISO 27001 deckt 70% ab) oder in Form von Stichproben durchgeführt. Besonders wichtige Einrichtungen müssen alle 3 Jahre die Einhaltung der Anforderungen durch ein Audit nachweisen. Selbstverständlich werden auch anlassbezogene Audits nach einem Vorfall und/oder bei begründetem Verdacht auf einen Verstoß durchgeführt.
Die folgende Tabelle gibt einen Überblick:
Die Folgen bei Nichtbeachtung: Sanktionen und Haftung
Die NIS2-Richtlinie sieht eine Reihe von Sanktionen vor, um sicherzustellen, dass Unternehmen und Organisationen die Sicherheitsanforderungen einhalten. Die Sanktionen sind darauf ausgelegt, die Einhaltung der Vorschriften zu fördern und Verstöße zu ahnden. Sie umfassen sowohl administrative Maßnahmen als auch finanzielle Strafen.
Die NIS2-Richtlinie legt konkrete Sanktionen fest, um die Einhaltung der Sicherheitsanforderungen zu gewährleisten und Verstöße wirksam zu ahnden. Diese Sanktionen betreffen sowohl finanzielle Strafen als auch administrative Maßnahmen, die von den nationalen Behörden durchgesetzt werden.
Finanzielle Sanktionen
Die NIS2-Richtlinie sieht empfindliche Geldbußen vor, die sich nach der Schwere des Verstoßes und der Art der betroffenen Organisation richten. Es wird unterschieden zwischen:
Wesentlichen Einrichtungen
- Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Wichtigen Einrichtungen
- Strafen von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Administrative Maßnahmen
Die zuständigen Behörden der Mitgliedstaaten können im Falle von Verstößen gegen die NIS2-Richtlinie folgende Maßnahmen ergreifen:
- Ermahnungen oder Verwarnungen an die betroffene Organisation.
- Anordnungen zur Behebung von Mängeln, einschließlich der Verpflichtung zur Umsetzung spezifischer Sicherheitsmaßnahmen.
- Beschränkung oder Einstellung bestimmter Tätigkeiten, bis die Anforderungen erfüllt sind.
- Verpflichtung zur Vorlage zusätzlicher Prüfberichte, um die Einhaltung nachzuweisen.
Grundlegende Anforderungen der NIS 2 für Unternehmen
Im Rahmen der NIS2-Richtlinie sind Unternehmen verpflichtet, eine Vielzahl von technischen, organisatorischen und personellen Maßnahmen zu ergreifen, um die Cyber-Sicherheit und Resilienz ihrer IT-Systeme zu gewährleisten. Dies betrifft nicht nur die Risikomanagementprozesse, sondern auch die kontinuierliche Anpassung und Verbesserung der Sicherheitsmaßnahmen.
Im Folgenden werden die wesentlichen Anforderungen aus den Bereichen Technologie, Organisation, Personen und Prozesse zusammengefasst.
Organisatorische Maßnahmen:
Zu den zentralen Anforderungen von NIS2 gehört die Etablierung eines ganzheitlichen und systematischen Risikomanagements, das nicht nur Risiken identifiziert, sondern auch angemessene Sicherheitsmaßnahmen entwickelt. Hierzu zählen vor allem die Implementierung eines Managementsystems für Risiko, Informationssicherheit und Governance (GRC), das auf alle Geschäftsbereiche angewendet wird. Unternehmen müssen eine Risiko-Richtlinie entwickeln, die regelmäßige Überprüfungen und eine transparente Berichterstattung an das Management umfasst. Im Falle eines Sicherheitsvorfalls wird von den Unternehmen erwartet, dass sie innerhalb von 24 Stunden den Vorfall melden, um die Auswirkungen auf die Geschäftstätigkeit zu minimieren.
Ein weiteres zentrales Element ist das Business Continuity Management (BCM). Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz fordert die Unternehmen auf konkrete Notfallmaßnahmen, Backupkonzepte und Wiederanlauf- und Wiederherstellungspläne aufstellen, um im Falle eines Krisenszenarios die Geschäftsfortführung zu sichern. Dies umfasst auch die Beschaffung und Entwicklung von IT-Systemen. Entsprechend sind bei der Auswahl von IT-Produkten und -Dienstleistungen klare Sicherheitsanforderungen zu definieren und einzuhalten. Beispiele hierfür sind Sicherheitszertifizierungen und -standards sowie die Sicherheit der Lieferkette und die Minimierung von Sicherheitsrisiken durch Dritte (durch SLAs wie oben beschrieben). Dazu gehört auch die Etablierung eines starken Supply Chain Management, das vertragliche Cybersicherheitsanforderungen mit Lieferanten und Partnern integriert. Diese Anforderungen sollten Bestandteil der Verträge sein, um die gesamte Lieferkette gegen Sicherheitsbedrohungen abzusichern.
Technologische Maßnahmen:
Neben den technologischen Unterstützung der organisatorischen Maßnahmen fordert NIS2 klare technologische Maßnahmen zu den Bereichen:
- Zugriffs- und Identitätsmanagement -hierzu zählt es z.B.: die Implementierung von Identitätsverwaltungslösungen sowie der Einsatz von Multi-Faktor-Authentifizierung (MFA) ist unerlässlich, um den Zugang zu kritischen Systemen zu sichern.
- Kryptografie ist eine weitere wichtige Anforderung. Unternehmen müssen Konzepte für den Einsatz von Verschlüsselung entwickeln und sicherstellen, dass alle Kommunikationsverbindungen entsprechend geschützt sind.
- Netzwerksicherheit – NIS2 verlangt die Implementierung spezifischer Netzwerksicherheitsmaßnahmen, um unbefugte Zugriffe und Angriffe abzuwehren. Dazu gehören: Firewalls, Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) zur Überwachung und Absicherung von Netzwerken, Implementierung von Virtual Private Networks (VPNs) für den sicheren Fernzugriff auf Unternehmensressourcen,regelmäßige Sicherheitsanalysen und Penetrationstests, um Schwachstellen in der Netzwerkarchitektur zu identifizieren.
- Patch-Management und Systemaktualisierungen – Unternehmen müssen sicherstellen, dass alle IT-Systeme regelmäßig auf Sicherheitslücken überprüft und mit den neuesten Sicherheitsupdates und Patches versehen werden, Dies umfasst Betriebssysteme, Anwendungen und Infrastrukturkomponenten, um sicherzustellen, dass bekannte Schwachstellen schnell geschlossen werden.
Personelle Sicherheitsmaßnahmen (MENSCHEN):
Im Bereich der personellen Sicherheit spielen zwei zentrale Konzepte eine entscheidende Rolle: der Faktor Mensch und die Sicherheitskultur. Diese beiden Aspekte sind von grundlegender Bedeutung, da die Mitarbeitenden als erste Verteidigungslinie gegen Cyberbedrohungen agieren. Daher ist es wichtig, eine Sicherheitskultur zu etablieren, die alle Mitarbeitenden in den Sicherheitsprozess einbindet und das Bewusstsein für Risiken stärkt. Ein positives Sicherheitsumfeld fördert ein proaktives Verhalten und trägt dazu bei, Sicherheitslücken frühzeitig zu erkennen und zu schließen.
Ein weiterer wichtiger Ansatz ist die Human Centric Security, bei der die menschliche Dimension in den Vordergrund gestellt wird. Dies bedeutet, dass Sicherheitsmaßnahmen nicht nur technische Lösungen umfassen, sondern auch auf die Bedürfnisse und das Verhalten der Nutzer zugeschnitten sind.
Ein konkretes Beispiel für Human Centric Security im Zusammenhang mit der NIS2-Umsetzung sowie dem Cybersicherheitsstärkungsgesetz ist die Forderung nach einer sicherheitsbewussten Unternehmenskultur und Schulungen für Mitarbeitende, um das menschliche Element in der Cybersicherheit zu stärken und sorgt dafür, dass die Mitarbeitenden nicht nur als potenzielle Schwachstellen betrachtet werden, sondern als aktive Teilnehmer im Schutz der IT-Infrastruktur und der sensiblen Daten.
Prozess- und Qualitätsmanagement:
Die Wirksamkeit der Sicherheitsmaßnahmen muss regelmäßig überprüft werden. Dies umfasst die Bewertung und Verbesserung der Cybersicherheitsmaßnahmen sowie die Überprüfung der Wirksamkeit der Managementsysteme. Alle durchgeführten Sicherheitsmaßnahmen müssen dokumentiert und nachvollziehbar sein, um im Falle von Audits oder Prüfungen den Nachweis erbringen zu können, dass alle Anforderungen von NIS2 erfüllt werden.
Durch diese umfassende Integration technischer, organisatorischer und personeller Maßnahmen stellt NIS2 sicher, dass Unternehmen ihre IT-Infrastrukturen und -Prozesse gegen Cyberangriffe und andere Sicherheitsrisiken absichern und die Resilienz ihres Betriebs kontinuierlich verbessern. Die konsequente Umsetzung dieser Anforderungen ist nicht nur ein rechtliches Gebot, sondern auch ein wesentlicher Baustein für die langfristige Sicherheit und Stabilität in einer zunehmend digitalisierten Welt.
Wie wichtig ist sichere Kommunikation unter der NIS-2-Richtlinie?
Insgesamt zielt NIS2 aber auch darauf ab, eine neue Kultur der Cybersicherheit zu fördern, in der sichere Kommunikation als Grundlage für den Schutz kritischer Infrastrukturen angesehen wird. Organisationen müssen daher ihre Kommunikationssicherheitsmaßnahmen kontinuierlich überprüfen und an neue Bedrohungen anpassen, um die Anforderungen der Richtlinie zu erfüllen.
Beispiele hierfür sind nicht nur der Einsatz sicherer Ende-zu-Ende-Verschlüsselungstechnologien in Instant Messaging- und Kollaborationsplattformen wie Microsoft Teams oder Slack. Auch die Nutzung sicherer E-Mail-Kanäle durch Verschlüsselungstechnologien wie S/MIME oder PGP (Pretty Good Privacy) oder der Einsatz von VPN-Technologien, die eine sichere und verschlüsselte Verbindung für die Kommunikation zwischen Standorten, mobilen Geräten und dem Unternehmensnetzwerk ermöglichen, sind hier zu nennen.
Schritt-für-Schritt-Anleitung: Wie Sie mit der Umsetzung der NIS2 starten
Die Umsetzung der NIS2-Richtlinie erfordert ein strukturiertes und strategisches Vorgehen, das Unternehmen Schritt für Schritt an die gesetzlichen Anforderungen heranführt und nachhaltige Cybersecurity-Lösungen etabliert. Unser Beratungsansatz umfasst sieben klar definierte Phasen, die individuell auf Ihre Organisation zugeschnitten werden:
Phase 1: Status quo ermitteln
Der erste Schritt besteht darin, den aktuellen Stand Ihrer Organisation im Hinblick auf die Anforderungen der NIS2-Richtlinie zu analysieren. Mit einem umfassenden NIS2-Assessment werden Ihre Prozesse, Systeme und Sicherheitsmaßnahmen überprüft. Diese Analyse zeigt Schwachstellen und Handlungsbedarf auf und bildet die Grundlage für das weitere Vorgehen.
Phase 2: Maßgeschneiderte Strategie entwickeln
Basierend auf den Ergebnissen des Assessments entwickeln wir eine individuelle Strategie, die exakt auf Ihre Organisation und deren Anforderungen zugeschnitten ist. Diese Strategie stellt sicher, dass die NIS2-Vorgaben effizient und nachhaltig erfüllt werden, ohne Ihre Betriebsabläufe unnötig zu belasten.
Phase 3: Zielarchitektur definieren
In dieser Phase erarbeiten wir eine Sicherheitsarchitektur, die den Schutzbedarf Ihrer Prozesse, Systeme und kritischen Assets berücksichtigt. Die Zielarchitektur bildet das Fundament für eine robuste Cybersicherheitsstrategie und gewährleistet den wirksamen Schutz vor Bedrohungen.
Phase 4: Maßnahmenplanung erstellen
Aufbauend auf der Zielarchitektur erstellen wir eine priorisierte Maßnahmenplanung. Dabei werden Risiken Ihrer Organisation analysiert und die Maßnahmen entsprechend ihrer Dringlichkeit strukturiert. Diese systematische Herangehensweise sorgt für eine zielgerichtete und effiziente Umsetzung.
Phase 5: Veränderungsprozess einleiten
Der eigentliche Veränderungsprozess beginnt mit der schrittweisen Umsetzung der geplanten Maßnahmen. Wir begleiten Ihre Organisation dabei kontinuierlich, überwachen den Fortschritt und stellen sicher, dass die Zielarchitektur termingerecht erreicht wird.
Phase 6: Integration in den Regelbetrieb
Nach der erfolgreichen Umsetzung werden die Maßnahmen in den Regelbetrieb integriert. Dabei werden die Sicherheitsmaßnahmen fortlaufend überprüft, optimiert und durch Nachweisführung dokumentiert, um die Anforderungen der Aufsichtsbehörden dauerhaft zu erfüllen.er könnte man auch einfach eine Art Checkliste einbinden. Gerne das nehmen, was besser passt
.
NIS2-Beratung mit der group24 AG
Mit der NIS2-Richtlinie stehen Unternehmen vor der Chance, ihre Cybersicherheitsstrategie auf ein neues Level zu heben. Unser group24 – NIS2-Ready-Check gibt Ihnen Klarheit über den aktuellen Stand Ihrer Sicherheitsmaßnahmen und zeigt konkrete Schritte auf, wie Sie Ihre IT-Infrastruktur optimal auf die neuen Anforderungen vorbereiten können.