EU-Richtlinie NIS2

WORUM GEHT ES UND WEN BETRIFFT ES?

JETZT AKTIV WERDEN:

DIE EU-NIS2-RICHTLINIE
FÜR MEHR IT-SICHERHEIT KOMMT!

Sie möchten die Security-Resilienz in Ihrem Unternehmen erhöhen und wissen nicht, wie Sie die EU-Network-and-Information-Security-Richtlinie 2.0 – kurz NIS2 – souverän umsetzen können, da auch Ihr Unternehmen verpflichtet ist? Dann haben Sie hier die ersten Antworten und mit dem Netzlink-Team als Ihren IT-Partner bzw. mit unserem IT-Consulting die richtigen Ansprechpartner*innen.

Cyberbedrohungen nehmen täglich drastisch zu, Grund für die EU für unserer aller Schutz, ein Regelwerk und einen neuen Standard für Unternehmen, Lieferketten und IT-Infrastrukturen aufzusetzen und damit allgemeingültige Rahmenbedingungen samt strengere Umsetzungskontrollen, Pflichten oder Sanktionen bei Rechtsverstößen einzuführen. Die NIS2-Richtlinie ergänzt und ersetzt in Teilen die NIS1, die bislang nur für KRITIS-Unternehmen – Betreiber von kritischen Infrastrukturen – galt. Mit der NIS2-Regelung sind nun weitaus mehr Unternehmen und Organisationen betroffen. Bis 17.Oktober 2024 müssen diese Richtlinien in deutsches Recht umgesetzt werden. Bis dato sind rechtzeitig vielfältige und umfassende Security-Anpassungen in der IT-Infrastruktur einzuführen, fest zu verankern und anzuwenden, sodass die Nachweispflicht greifen kann.

Die NIS2-Richtlinie ist mindestharmonisierend bzw. gibt Mindeststandards vor, heißt der deutsche Gesetzgeber kann auch strengere Regeln erlassen. Derzeit wird die BSI-Gesetzgebung general überholt und wird vermutlich noch mehr Kompetenzen auch zum Rechtsvollzug erhalten. Einen guten aktuellen Überblick zu allen Entwicklungen rund um die NIS2 gibt openkritis.de.

Wir schaffen das!


Ermitteln Sie Ihren Handlungsbedarf, bereiten Sie Ihr Unternehmen wirksam vor und
sichern Sie Ihr Fachwissen und die IT Ihres Unternehmens richtig ab!

IST MEIN UNTERNEHMEN BETROFFEN?

WER IST KONKRET GEFORDERT
UND WAS IST NUN ZU TUN?

Gehört Ihr Unternehmen zu einem der im Folgenden aufgeführten Sektoren, werden unterschiedliche Auflagen und Verpflichtungen rechtsbindend.

Wesentliche Sektoren

(Sektoren mit
hoher Kritikalität)

    Unternehmen mit
    mehr als 250 Mitarbeitenden oder

    mehr als 50 Mio. € Umsatz und
    mehr als 43 Mio. € Jahresbilanzsumme

Wichtige Sektoren

(Sonstige
kritischen Sektoren)

    Mittlere Unternehmen mit
    mehr als 50 Mitarbeitenden oder
    mehr als 10 Mio. € Umsatz
    und Jahresbilanzsumme

Gesundheitswesen
  • Gesundheit (Gesundheitsdienstleister, Labore, Medizinforschung, Pharmazeutik, Medizingeräte)
    sowie umsatzstarke Krankenhäuser
Anbieter digitaler Dienste
  • Digitale Dienste (Social Networking Plattformen, Suchmaschinen, Online-Marktplätze)
Raumfahrt
  • Weltraum, hier die Bodeninfrastruktur
 
Chemikalien
  • Chemikalien (Produktion, Herstellung und Handel)
 
  • Öffentliche Verwaltung
    auf zentralen und kommunalen Ebenen
Lebensmittel
  • Lebensmittelproduzenten, -verarbeiter und -händler
 
Energiesektor
  • Energie
Post
  • Post- und Kurierdienste
 
Verkehr
  • Transport (Luftverkehr, Schienenverkehr, Schienenverkehr, Straßenverkehr)
Abfallwirtschaft
  • Abfallbewirtschaft
  • Bank- und Versicherungswesen
  • Verarbeitendes Gewerbe/Herstellung von Waren (Medizinprodukte und In-vitro, DV (Computer), Elektronik, Optik, Elektrische Ausrüstung, Maschinenbau, Kraftwagen und Teile, Fahrzeugbau)
  • Finanzmärkte und Handelsplätze
  • Forschungsinstitute aller anderen Disziplinen
Digitale Infrastruktur
  • Informationstechnologie und Telekommunikation (Internet-Knoten (IXP), DNS (ohne Root)*, TLD Registries*, Cloud Provider, Rechenzentren, CDNs, Vertrauensdienste (TSP)*, Elektronische Kommunikation*)
    * = in NIS2 teils unabhängig der Größe
  • Öffentliche Verwaltung mit entsprechendem Umsatz und Mitarbeitendenanzahl
  • Verwaltung von ITK-Diensten (Managed Service Provider, Managed Security Service Provider)
Abwasser
  • Abwasserentsorgung
Trinkwasser
  • Trinkwasser und Wasserversorgung
 

VON MINDESTVORGABEN BIS ZU ZWINGENDEN AUFLAGEN UND MELDEPFLICHTEN

WAS UMGESETZT WERDEN MUSS

Prioritäten setzen
Risiken managen

Die Sektoren unterscheiden sich in Umfang und Inhalt des gesetzlich vorgeschriebenen Umsetzungsgrades und der Nachweispflichten:

  • Generell gilt, es müssen Mindestvorgaben für ein Incident Management zur Vorbeugung, Erkennung und Behandlung von Sicherheitsvorfällen umgesetzt und eingehalten werden.
  • Prüfen Sie für Ihr Unternehmen, ob weitere Maßnahmen entsprechend einem Gefahren-übergreifenden Ansatz für physische IT-Sicherheit z. B. für den Schutz vor Diebstahl, Feuer, Stromausfall auf Basis einer Risikobewertung anhand von Richtlinien-Vorgaben stattfinden muss.
  • Ein Großteil der von NIS2 betroffenen Unternehmen wird auf Organisationsebene eine fortlaufende Risikoanalyse oder ein Risikomanagementsystem einführen müssen. Darüber hinaus ist ein Information Security Management Systems (ISMS) mit einem unternehmensspezifischem Notfallhandbuch aufzubauen – und –  mehr noch ein Business Continuity Management (BCM) z. B. mit Backup-Management und Disaster Recovery einzubinden.
  • Operative und technische Pflichten stehen ggf. in Ihrem Unternehmen an, beispielsweise ausgearbeitete Konzepte und Verfahren für den Einsatz von Kryptografie und für den Einsatz von Hash- und Verschlüsselungsstandards, für die Nutzung von Prozessen mit Multi-Faktor-Authentifizierung (MFA) sowie nachgewiesene Maßnahmen zur Cyberhygiene, z.B. Passwortsicherheitsrichtlinien.
  • Für viele wird ein Krisenmanagement speziell für IT-Sicherheit obligatorisch und manche Sektoren werden zur Auditierung und Testung für die Effektivitätsmessung von IT-Sicherheitsmaßnahmen verpflichtet sein.
  • Die IT-Sicherheit in der Systemakquisition, -entwicklung und -wartung wird in manchen Organisationen ebenso bindend wie Zugriffskontrollen, Asset Management oder sichergestellte Zero-Trust-Zugriffe von interner versus externer und Remote-Benutzeraktivitäten auf allen Ihren Anwendungen für Identitätssicherheit. On-Premise und Cloud-basierte Ressourcen erhalten eine strengere Zugriffskontrolle.
  • Die IT-Sicherheit liegt stärker, denn je in der Verantwortung aller Mitarbeitenden, wofür Security-Awareness-Trainings notwendig werden.
  • Mit NIS2 muss IT-Sicherheit auch innerhalb von Lieferketten gewährleistet sein, was eine koordinierte Risikobewertung direkter Lieferketten bedeutet. Damit müssen Sie ggf. Ihre Lieferanten und Diensteanbieter zur Informationssicherheit verpflichten, da dies in Überprüfungen und Audits mit abgefragt wird.
  • Mit der NIS2 kommen Meldepflichten bei jeglichen Sicherheitsvorfällen. Dafür müssen Meldungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) geleistet werden:  innerhalb von 24 Stunden muss als Frühwarnung als etwaige Verdachtsmeldung, innerhalb von 72 Stunden als Meldung mit einer ersten konkreten Bewertung der Lage sowie anschließend innerhalb eines Monats diese Bewertung durch einen Abschlussbericht inklusive einer Planung von Abhilfemaßnahmen eingereicht werden.

Sie sehen, es gibt viel zu beachten und zu planen!


Alle für Ihr Unternehmen notwendigen Schritte brauchen Aufklärung,
umfassendes IT-Sicherheits-Know-how, Vorlaufzeit für genaue Analysen und Umsetzungszeit für Implementierungen und Routinen. Darum strukturieren Sie die kommenden Wochen sinnvoll und nutzen Sie die Unterstützung von Netzlink.

SCHÜTZEN SIE IHR UNTERNEHMEN VOR KÜNFTIGEN STRAFEN

BEI NICHTEINHALTUNG DER AUFLAGEN
DROHEN SANKTIONEN

IT-Sicherheit ist Chefsache. Wer Maßnahmen und Nachweise nicht vorweisen kann oder Meldefristen überschreitet, dem drohen Bußgelder in empfindlicher Höhe. Für wesentliche Sektoren werden Bußgelder bis 10 Millionen Euro bzw. 2 % Jahresumsatz fällig. Wichtigen Sektoren drohen Strafen bis 7 Millionen Euro bzw. 1,4 % des Jahresumsatzes. Zudem gibt es einen erweiterten Bußgeldrahmen für Verstöße. Die Geschäftsleitung haftet dem Unternehmen gegenüber persönlich für den entstandenen Schaden. Die Möglichkeit des Unternehmens, die Geschäftsführung von dieser Haftung zu entbinden, besteht NICHT. Insbesondere die wesentlichen Sektoren unterliegen erweiterten Aufsichts- und Durchsetzungsmaßnahmen der zuständigen Behörden. Dies geht mit zusätzlichen Pflichten zur Registrierung Ihrer Dienstleister von Cloudangeboten, Ihrer Rechenzentrums-Dienstleister und Telekommunikations-Dienstleister einher.

Achtung Bußgelder


Bei allen Fragen und Ihrem Handlungsbedarf stehen Ihnen
die NIS2-Expert*innen von Netzlink beratend zur Seite.