EU-Richtlinie NIS2
WORUM GEHT ES UND WEN BETRIFFT ES?
JETZT AKTIV WERDEN:
DIE EU-NIS2-RICHTLINIE
FÜR MEHR IT-SICHERHEIT KOMMT!
Sie möchten die Security-Resilienz in Ihrem Unternehmen erhöhen und wissen nicht, wie Sie die EU-Network-and-Information-Security-Richtlinie 2.0 – kurz NIS2 – souverän umsetzen können, da auch Ihr Unternehmen verpflichtet ist? Dann haben Sie hier die ersten Antworten und mit dem Netzlink-Team als Ihren IT-Partner bzw. mit unserem IT-Consulting die richtigen Ansprechpartner*innen.
Cyberbedrohungen nehmen täglich drastisch zu, Grund für die EU für unserer aller Schutz, ein Regelwerk und einen neuen Standard für Unternehmen, Lieferketten und IT-Infrastrukturen aufzusetzen und damit allgemeingültige Rahmenbedingungen samt strengere Umsetzungskontrollen, Pflichten oder Sanktionen bei Rechtsverstößen einzuführen. Die NIS2-Richtlinie ergänzt und ersetzt in Teilen die NIS1, die bislang nur für KRITIS-Unternehmen – Betreiber von kritischen Infrastrukturen – galt. Mit der NIS2-Regelung sind nun weitaus mehr Unternehmen und Organisationen betroffen. Bis 17.Oktober 2024 müssen diese Richtlinien in deutsches Recht umgesetzt werden. Bis dato sind rechtzeitig vielfältige und umfassende Security-Anpassungen in der IT-Infrastruktur einzuführen, fest zu verankern und anzuwenden, sodass die Nachweispflicht greifen kann.
Die NIS2-Richtlinie ist mindestharmonisierend bzw. gibt Mindeststandards vor, heißt der deutsche Gesetzgeber kann auch strengere Regeln erlassen. Derzeit wird die BSI-Gesetzgebung general überholt und wird vermutlich noch mehr Kompetenzen auch zum Rechtsvollzug erhalten. Einen guten aktuellen Überblick zu allen Entwicklungen rund um die NIS2 gibt openkritis.de.
Ermitteln Sie Ihren Handlungsbedarf, bereiten Sie Ihr Unternehmen wirksam vor und
sichern Sie Ihr Fachwissen und die IT Ihres Unternehmens richtig ab!
IST MEIN UNTERNEHMEN BETROFFEN?
WER IST KONKRET GEFORDERT
UND WAS IST NUN ZU TUN?
Gehört Ihr Unternehmen zu einem der im Folgenden aufgeführten Sektoren, werden unterschiedliche Auflagen und Verpflichtungen rechtsbindend.
Wesentliche Sektoren
hoher Kritikalität)
Unternehmen mit
mehr als 250 Mitarbeitenden oder
mehr als 50 Mio. € Umsatz und
mehr als 43 Mio. € Jahresbilanzsumme
Wichtige Sektoren
kritischen Sektoren)
Mittlere Unternehmen mit
mehr als 50 Mitarbeitenden oder
mehr als 10 Mio. € Umsatz
und Jahresbilanzsumme
- Gesundheit (Gesundheitsdienstleister, Labore, Medizinforschung, Pharmazeutik, Medizingeräte)
sowie umsatzstarke Krankenhäuser
- Digitale Dienste (Social Networking Plattformen, Suchmaschinen, Online-Marktplätze)
- Weltraum, hier die Bodeninfrastruktur
- Chemikalien (Produktion, Herstellung und Handel)
- Öffentliche Verwaltung
auf zentralen und kommunalen Ebenen
- Lebensmittelproduzenten, -verarbeiter und -händler
- Energie
- Post- und Kurierdienste
- Transport (Luftverkehr, Schienenverkehr, Schienenverkehr, Straßenverkehr)
- Abfallbewirtschaft
- Bank- und Versicherungswesen
- Verarbeitendes Gewerbe/Herstellung von Waren (Medizinprodukte und In-vitro, DV (Computer), Elektronik, Optik, Elektrische Ausrüstung, Maschinenbau, Kraftwagen und Teile, Fahrzeugbau)
- Finanzmärkte und Handelsplätze
- Forschungsinstitute aller anderen Disziplinen
- Informationstechnologie und Telekommunikation (Internet-Knoten (IXP), DNS (ohne Root)*, TLD Registries*, Cloud Provider, Rechenzentren, CDNs, Vertrauensdienste (TSP)*, Elektronische Kommunikation*)
* = in NIS2 teils unabhängig der Größe
- Öffentliche Verwaltung mit entsprechendem Umsatz und Mitarbeitendenanzahl
- Verwaltung von ITK-Diensten (Managed Service Provider, Managed Security Service Provider)
- Abwasserentsorgung
- Trinkwasser und Wasserversorgung
VON MINDESTVORGABEN BIS ZU ZWINGENDEN AUFLAGEN UND MELDEPFLICHTEN
WAS UMGESETZT WERDEN MUSS
Die Sektoren unterscheiden sich in Umfang und Inhalt des gesetzlich vorgeschriebenen Umsetzungsgrades und der Nachweispflichten:
- Generell gilt, es müssen Mindestvorgaben für ein Incident Management zur Vorbeugung, Erkennung und Behandlung von Sicherheitsvorfällen umgesetzt und eingehalten werden.
- Prüfen Sie für Ihr Unternehmen, ob weitere Maßnahmen entsprechend einem Gefahren-übergreifenden Ansatz für physische IT-Sicherheit z. B. für den Schutz vor Diebstahl, Feuer, Stromausfall auf Basis einer Risikobewertung anhand von Richtlinien-Vorgaben stattfinden muss.
- Ein Großteil der von NIS2 betroffenen Unternehmen wird auf Organisationsebene eine fortlaufende Risikoanalyse oder ein Risikomanagementsystem einführen müssen. Darüber hinaus ist ein Information Security Management Systems (ISMS) mit einem unternehmensspezifischem Notfallhandbuch aufzubauen – und – mehr noch ein Business Continuity Management (BCM) z. B. mit Backup-Management und Disaster Recovery einzubinden.
- Operative und technische Pflichten stehen ggf. in Ihrem Unternehmen an, beispielsweise ausgearbeitete Konzepte und Verfahren für den Einsatz von Kryptografie und für den Einsatz von Hash- und Verschlüsselungsstandards, für die Nutzung von Prozessen mit Multi-Faktor-Authentifizierung (MFA) sowie nachgewiesene Maßnahmen zur Cyberhygiene, z.B. Passwortsicherheitsrichtlinien.
- Für viele wird ein Krisenmanagement speziell für IT-Sicherheit obligatorisch und manche Sektoren werden zur Auditierung und Testung für die Effektivitätsmessung von IT-Sicherheitsmaßnahmen verpflichtet sein.
- Die IT-Sicherheit in der Systemakquisition, -entwicklung und -wartung wird in manchen Organisationen ebenso bindend wie Zugriffskontrollen, Asset Management oder sichergestellte Zero-Trust-Zugriffe von interner versus externer und Remote-Benutzeraktivitäten auf allen Ihren Anwendungen für Identitätssicherheit. On-Premise und Cloud-basierte Ressourcen erhalten eine strengere Zugriffskontrolle.
- Die IT-Sicherheit liegt stärker, denn je in der Verantwortung aller Mitarbeitenden, wofür Security-Awareness-Trainings notwendig werden.
- Mit NIS2 muss IT-Sicherheit auch innerhalb von Lieferketten gewährleistet sein, was eine koordinierte Risikobewertung direkter Lieferketten bedeutet. Damit müssen Sie ggf. Ihre Lieferanten und Diensteanbieter zur Informationssicherheit verpflichten, da dies in Überprüfungen und Audits mit abgefragt wird.
- Mit der NIS2 kommen Meldepflichten bei jeglichen Sicherheitsvorfällen. Dafür müssen Meldungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) geleistet werden: innerhalb von 24 Stunden muss als Frühwarnung als etwaige Verdachtsmeldung, innerhalb von 72 Stunden als Meldung mit einer ersten konkreten Bewertung der Lage sowie anschließend innerhalb eines Monats diese Bewertung durch einen Abschlussbericht inklusive einer Planung von Abhilfemaßnahmen eingereicht werden.
Sie sehen, es gibt viel zu beachten und zu planen!
Alle für Ihr Unternehmen notwendigen Schritte brauchen Aufklärung,
umfassendes IT-Sicherheits-Know-how, Vorlaufzeit für genaue Analysen und Umsetzungszeit für Implementierungen und Routinen. Darum strukturieren Sie die kommenden Wochen sinnvoll und nutzen Sie die Unterstützung von Netzlink.
SCHÜTZEN SIE IHR UNTERNEHMEN VOR KÜNFTIGEN STRAFEN
BEI NICHTEINHALTUNG DER AUFLAGEN
DROHEN SANKTIONEN
IT-Sicherheit ist Chefsache. Wer Maßnahmen und Nachweise nicht vorweisen kann oder Meldefristen überschreitet, dem drohen Bußgelder in empfindlicher Höhe. Für wesentliche Sektoren werden Bußgelder bis 10 Millionen Euro bzw. 2 % Jahresumsatz fällig. Wichtigen Sektoren drohen Strafen bis 7 Millionen Euro bzw. 1,4 % des Jahresumsatzes. Zudem gibt es einen erweiterten Bußgeldrahmen für Verstöße. Die Geschäftsleitung haftet dem Unternehmen gegenüber persönlich für den entstandenen Schaden. Die Möglichkeit des Unternehmens, die Geschäftsführung von dieser Haftung zu entbinden, besteht NICHT. Insbesondere die wesentlichen Sektoren unterliegen erweiterten Aufsichts- und Durchsetzungsmaßnahmen der zuständigen Behörden. Dies geht mit zusätzlichen Pflichten zur Registrierung Ihrer Dienstleister von Cloudangeboten, Ihrer Rechenzentrums-Dienstleister und Telekommunikations-Dienstleister einher.
