Die NIS2-Richtlinie: Europas Schritt zur einheitlichen IT-Sicherheit

27. September 2023 von Robin Hensel, Vera Franz

Die IT-Sicherheit ist heute ein zentrales Anliegen für Unternehmen und Institutionen auf der ganzen Welt. Cyberangriffe nehmen ständig zu und werden immer ausgefeilter. Die Europäische Union hat dies erkannt und reagiert mit der NIS2-Richtlinie, die am 14. Dezember 2022 auf europäischer Ebene verabschiedet wurde.

In diesem Blogbeitrag möchten wir Ihnen einen Überblick über die NIS2-Richtlinie geben, ihre Ziele und Auswirkungen auf Unternehmen in Europa.

Einführung und Ziele der NIS2-Richtlinie

Die NIS2-Richtlinie, kurz für Network and Information Systems Directive 2, wurde am 14. Dezember 2022 auf europäischer Ebene verabschiedet. Die Mitgliedsländer haben bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Das Hauptziel dieser Richtlinie ist die Schaffung eines einheitlichen IT-Sicherheitsstandards in Europa.

Die Anwendung der NIS2-Richtlinie erstreckt sich auf Einrichtungen in spezifischen Sektoren, die mehr als 50 Mitarbeiter beschäftigen. Es gibt jedoch bestimmte Vorgaben, die unabhängig von der Unternehmensgröße gelten.

Sektoren und Kernanforderungen

Die NIS2-Richtlinie unterteilt die betroffenen Sektoren in zwei Anhänge:

Die NIS2-Richtlinie führt auch den Begriff "Betreiber wesentlicher Dienste" ein, der in der deutschen Umsetzung als "Kritische Infrastrukturen" bezeichnet wird. Die "wichtigen Einrichtungen" oder diejenigen, die in "sonstigen kritischen Sektoren" tätig sind, sind hingegen neu.

Eine zentrale Anforderung an beide Einrichtungen ist die Umsetzung "geeigneter und verhältnismäßiger technischer, operativer und organisatorischer Maßnahmen" nach dem aktuellen Stand der Technik. Hierbei wird besonders die "systemische Analyse" betont, die den "menschlichen Faktor" und die Auswirkungen von Cybersicherheitsvorfällen auf die Gesellschaft und die Wirtschaft berücksichtigt.

Umsetzung in Deutschland und gefahrenübergreifender Ansatz

In Deutschland wird die Umsetzung der NIS2-Richtlinie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erwartet, das voraussichtlich im Frühjahr 2024 verabschiedet wird. Dieses Gesetz erweitert bestehende Gesetze, wie das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG).
Die NIS2-Richtlinie verlangt einen "gefahrenübergreifenden Ansatz", der physische Gefahren wie Diebstahl, Feuer, Überschwemmungen sowie Telekommunikations- oder Stromausfälle berücksichtigt. Parallel dazu wird eine Richtlinie zur Resilienz kritischer Einrichtungen eingeführt, die sich auf die physische Sicherheit konzentriert.

Exkurs: Hintergrund und Bedeutung des NIS2-Umsetzungsgesetzes

Die moderne Wirtschaft Deutschlands ist heute stärker denn je auf funktionierende und resiliente Infrastrukturen angewiesen, sowohl im physischen als auch im digitalen Bereich. Dies gilt besonders vor dem Hintergrund der zunehmenden Digitalisierung aller Lebensbereiche und der engen Vernetzung mit europäischen Partnern. Die NIS2-Richtlinie der EU, auch als Richtlinie (EU) 2022/2555 bekannt, hat das Ziel, ein hohes gemeinsames Cybersicherheitsniveau in der Union sicherzustellen und die Sicherheit und Resilienz der Informationstechnik in kritischen Anlagen und bestimmten Unternehmen zu gewährleisten.

Aktuelle Bedrohungen und Anpassungen

Besonders bemerkenswert ist die Tatsache, dass die IT-Sicherheitslage in Deutschland in jüngster Zeit aufgrund verschiedener Faktoren, einschließlich geopolitischer Entwicklungen wie dem russischen Angriff auf die Ukraine, erheblich zugespitzt hat. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf Ransomware-Angriffe, Schwachstellenausnutzung, unsichere Online-Server und Abhängigkeiten von der IT-Lieferkette als einige der größten Bedrohungen hin.

Darüber hinaus haben sich neue Bedrohungen ergeben, insbesondere im Bereich Hacktivismus und Supply-Chain-Angriffe, die eine erhebliche Herausforderung darstellen. Störungen und Angriffe in der Lieferkette sind nicht mehr vereinzelt, sondern Teil des unternehmerischen Alltags geworden. Angesichts dieser Bedrohungen ist es von entscheidender Bedeutung, die Wirtschaft in Deutschland widerstandsfähiger zu machen.

Schwerpunkte des NIS2-Umsetzungsgesetzes

Das NIS2-Umsetzungsgesetz, das in Deutschland erlassen wird, zielt darauf ab, den Ordnungsrahmen, der mit dem IT-Sicherheitsgesetz und dem IT-Sicherheitsgesetz 2.0 eingeführt wurde, zu erweitern und an die Anforderungen der NIS2-Richtlinie anzupassen. Die wesentlichen Schwerpunkte des Gesetzes sind:

1. Einrichtungskategorien: Das Gesetz führt die von der NIS-2-Richtlinie vorgegebenen Einrichtungskategorien ein, die eine signifikante Ausweitung des bisherigen Anwendungsbereichs mit sich bringen.
2. Mindestsicherheitsanforderungen: Der Katalog der Mindestsicherheitsanforderungen, wie in der NIS-2-Richtlinie festgelegt, wird in das BSI-Gesetz übernommen und je nach Kategorie differenziert, um die Verhältnismäßigkeit zu wahren.
3. Meldepflicht bei Vorfällen: Die bisherige einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt, wobei der bürokratische Aufwand für die Einrichtungen minimiert wird.
4. Aufsichtsmaßnahmen: Das Gesetz erweitert das Instrumentarium des BSI zur Durchführung der von der NIS-2-Richtlinie vorgesehenen Aufsichtsmaßnahmen.
5. Informationsmanagement in der Bundesverwaltung: Es werden nationale Anforderungen an das Informationsmanagement der Bundesverwaltung gesetzlich verankert, um die Sicherheit und Resilienz in diesem Bereich zu erhöhen.
6. CISO Bund: Die Einführung eines Chief Information Security Officer (CISO) Bund wird als zentraler Koordinator für Informationssicherheitsmaßnahmen in der Bundesverwaltung vorgesehen.
7. Bußgeldregime: Das Bußgeldregime wird überarbeitet und differenziert, basierend auf den Einrichtungskategorien.
8. Übersichtliche Struktur des BSI-Gesetzes: Das BSI-Gesetz wird einer übersichtlicheren Struktur unterzogen, um die Umsetzung und Einhaltung der Cybersicherheitsvorgaben zu erleichtern.

Das NIS2-Umsetzungsgesetz ist entscheidend für die Stärkung der Cybersicherheit in Deutschland und trägt dazu bei, den Wirtschaftsstandort widerstandsfähiger gegenüber neuen und komplexen Bedrohungen zu machen.

Anforderungen gemäß § 30 Abs. 4 BSIG-E

Das deutsche Gesetz zur Umsetzung der NIS2-Richtlinie definiert klare Anforderungen in § 30 Abs. 4 BSIG-E. Diese umfassen:

1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme.
2. Bewältigungsstrategien für Sicherheitsvorfälle.
3. Personalsicherheit, Zugriffskontrolle und Anlagenmanagement.
4. Einsatz von Multi-Faktor- und kontinuierlicher Authentifizierung, gesicherte Kommunikation und Notfallkommunikationssysteme.
5. Betriebsaufrechterhaltung, Backup, Wiederherstellung und Krisenmanagement.
6. Lieferkettensicherheit durch klare vertragliche Vereinbarungen.
7. Sicherheitsmaßnahmen für IT-Systeme, Komponenten und Prozesse, inklusive Schwachstellenmanagement.
8. Bewertung der Wirksamkeit von Cybersicherheits-Risikomanagement.
9. Grundlagen der Cyberhygiene und Cybersicherheitsschulungen.
10. Einsatz von Kryptografie und Verschlüsselung.

Unternehmen müssen geeignete Maßnahmen ergreifen, um Cybersicherheitsrisiken zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu vermeiden. Dazu gehören die Implementierung von Sicherheitskonzepten, die Schulung von Mitarbeitern und die Sicherung der Lieferkette.

Verantwortlichkeiten und Haftung der Geschäftsführung

Die NIS2-Richtlinie führt eine klare Haftungsregelung für die Geschäftsführung ein. Nach § 38 BSIG-E muss die Geschäftsleitung das Cyberrisikomanagement billigen und überwachen. Die Beauftragung Dritter zur Erfüllung dieser Verpflichtungen ist nicht zulässig. Bei Nichteinhaltung der Verpflichtungen haften die Geschäftsleiter persönlich. In besonders schwerwiegenden Fällen kann das BSI der Geschäftsleitung sogar die Leitungsaufgaben untersagen.

Meldepflichten und Adressatenänderungen

Die NIS2-Richtlinie führt einen vierstufigen Meldeprozess für Sicherheitsvorfälle ein (§ 31 BSIG-E):

1. Erstmeldung innerhalb von 24 Stunden.
2. Aktualisierung innerhalb von 72 Stunden.
3. Zwischenmeldungen auf BSI-Ersuchen.
4. Abschlussmeldung innerhalb eines Monats.

Die Adressatenkategorien wurden erheblich erweitert, was bedeutet, dass mehr Unternehmen von den Meldepflichten betroffen sein werden.

Wie können sich Unternehmen vorbereiten?

Um sich auf die Auswirkungen der NIS2-Richtlinie vorzubereiten, sollten Unternehmen folgende Schritte befolgen:

• Klären Sie, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist, indem Sie einen NIS2-Check durchführen.
• Planen Sie Budget und Ressourcen für die Umsetzung ein.
• Bestimmen Sie eine Person im Unternehmen, die für die Umsetzung der Regelungen verantwortlich ist.
• Führen Sie eine Risikoanalyse durch und identifizieren Sie Lücken in Bezug auf die NIS2-Anforderungen.
• Entwickeln Sie Maßnahmen und setzen Sie diese um.
• Stellen Sie die Geschäftskontinuität sicher und überprüfen Sie regelmäßig.

Die NIS2-Richtlinie stellt eine wichtige Entwicklung in der IT-Sicherheit dar und erfordert die aktive Beteiligung von Unternehmen, um die Cybersicherheit in Europa zu stärken. Die Einhaltung der Richtlinie ist nicht nur eine rechtliche Verpflichtung, sondern auch ein Schutz vor zunehmenden Cyberbedrohungen. Sollten Sie also eine Überprüfung wünschen, ob Ihr Unternehmen von der Richtlinie betroffen ist, zögern Sie nicht, unser Kontaktformular zu verwenden. Gerne helfen wir Ihnen auch mit unserem ausgiebigen Leistungsportfolio bei der praktischen Umsetzung dieser Richtlinie in Ihrem Unternehmen.