NIS-2-Richtlinie: Anforderungen an IT-Sicherheit

Sind Sie von NIS-2 betroffen? Jetzt prüfen!
Die NIS-2-Richtlinie ist der europäische Rechtsrahmen für Betreiber Kritischer Infrastrukturen (KRITIS) und legt Mindeststandards an die Cyber Security innerhalb der EU fest.


Auf dieser Seite finden Sie alles, was Sie rund um NIS-2 wissen müssen. 
 

Was ist die NIS-2-Richtlinie?

Die EU-Richtlinie NIS-2 („The Network and Information Security Directive“)  zielt darauf ab, die Widerstandsfähigkeit von Kritischen Infrastrukturen (KRITIS) gegenüber Cyberbedrohungen zu stärken und das Cybersicherheitsniveau innerhalb der EU zu erhöhen

Mit NIS-2 kommen auf viele Unternehmen und Organisationen neue Verpflichtungen sowie umfangreiche Sicherheitsmaßnahmen zu. Betroffen sind in erster Linie kritische Infrastrukturen und digitale Dienste in der EU, die eine Reihe an Mindestanforderungen erfüllen müssen, um die eigenen Systeme und Netzwerke gegen Cyberangriffe abzusichern.

Wann tritt NIS-2 in Kraft?

Stichtag 17. Oktober 2024

Die neue EU-Richtlinie trat am 16. Januar 2023 in Kraft. Spätestens bis zum 17. Oktober 2024 ist sie ohne Übergangsfristen von den Mitgliedsstaaten in nationales Recht zu überführen. Hierfür liegt mit dem NIS-2- Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ein Referentenentwurf des Bundesinnenministeriums vor.

Das NIS2UmsuCG dient Unternehmen als Leitfaden, an dem sie sich im Rahmen der Umsetzung orientieren können. Es enthält explizite Angaben dazu, welche Anforderungen wie und von wem umzusetzen sind. 

Wer ist von NIS-2 betroffen?

NIS-2 gilt für Firmen ab 50 Mitarbeitenden und 10 Mio. Euro Umsatz in 18 festgelegten Sektoren. Entscheidend dafür, ob ein Unternehmen von der Richtlinie betroffen ist, sind demnach die beiden Kriterien Unternehmensgröße und Unternehmenssektor. Darüber hinaus gibt es einige Sonderfälle.

  

↓ Sind auch Sie von NIS-2 betroffen? Jetzt prüfen! ↓


Disclaimer: Die Nutzung des NIS-2 Betroffenheits-Checks erfolgt auf eigenes Risiko. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen. Jegliche Handlungen, die auf den Inhalten und Aussagen des NIS-2 Betroffenheits-Checks basieren, liegen in der Verantwortung des Nutzers. Die bereitgestellten Informationen in diesem NIS-2 Betroffenheits-Check dienen ausschließlich zu Informationszwecken und stellen keine rechtliche oder sonstige Beratung dar. Durch die Nutzung des NIS-2 Betroffenheits-Checks erklären Sie sich mit diesen Bedingungen einverstanden. 

Sie benötigen Unterstützung bei der Umsetzung von NIS-2?

  

Jetzt Kontakt aufnehmen

NIS-2: Wesentliche & wichtige Einrichtungen

NIS-2 definiert in Anhang I und II der EU-Direktive 18 betroffene Sektoren, die sich wie folgt in wichtige und besonders wichtige bzw. wesentliche Einrichtungen unterteilen lassen: 

Wesentliche Einrichtungen


  • – Unternehmen ab 250 Mitarbeitenden oder
    – Unternehmen über 50 Mio. EUR Umsatz und Bilanz über 43 Mio. EUR
    – Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber)
    – Sonderfälle, z.B. qualifizierte Vertrauensdienste, DNS oder TK-Anbieter

Betroffene Sektoren: 

 Energie
 Verkehr
■ Bankwesen
 Finanzmarktinfrastrukturen
 Gesundheitswesen
■ Trinkwasser

 Abwasser
 Digitale Infrastruktur
 Verwaltung von ITK-Diensten (B2B)
 Öffentliche Verwaltung
 Weltraum

Wichtige Einrichtungen


  • – Unternehmen ab 50 Mitarbeitenden oder
    – Unternehmen über 10 Mio. EUR Umsatz und Bilanz über 10 Mio. EUR
    – Spezielle Einrichtungen, z.B. Vertrauensdienste
     

Betroffene Sektoren: 

 Post- & Kurierdienste
 Abfallbewirtschaftung
 Chemikalien (Produktion, Herstellung und Handel)
 Lebensmittel (Produktion, Verarbeitung und Vertrieb)
 Verarbeitendes Gewerbe/Herstellung von Waren
 Anbieter digitaler Dienste
■ Forschung

NIS-2 aufs Ohr: Das Wichtigste in 15 Minuten

Anforderungen nach NIS-2, die betroffene Unternehmen umsetzen müssen

Gemäß NIS-2-Richtlinie müssen betroffene Unternehmen mindestens die folgenden Maßnahmen umsetzen, um ihre Widerstandsfähigkeit gegenüber Angriffen zu erhöhen und Sicherheitsvorfälle möglichst zu verhindern bzw. deren Auswirkungen gering zu halten.
 

Risikomanagement

Überwachung von Maßnahmen zur Minimierung von Cyberrisiken
 

Wirksamkeit

Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
 

Verantwortlichkeit des Managements

Sicherstellung der Umsetzung von rechtlichen Anforderungen
 

Supply Chain

Ausfallsicherheit der Lieferkette

 

Policies

Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
 

Schulungen

Cyberhygiene und Schulungen im Bereich der Cybersicherheit
 

Vorfallbewältigung

Prävention, Detektion und Bewältigung von Sicherheitsvorfällen
 

Kryptografie

Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung

Einkauf

Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
 

Personal, Zugriff & Asset-Management

Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Assets
 

Business Continuity

Aufrechterhaltung des Betriebs (wie Backup-Management und Wiederherstellung nach einem Notfall) und Krisenmanagement
 

Authentifizierung & Kommunikation

Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme

Mit diesen Leistungen unterstützen wir Sie, die NIS-2-Anforderungen zu erfüllen


Ist Ihr Unternehmen NIS-2 betroffen?

Überblick im Dschungel der IT-Regulierung & Gesetzgebung

 
Brüssel stärkt die Resilienz gegen Cyberangriffe – und das mit einer komplexen und  anspruchsvollen Agenda in der Regulierung. Die Anforderungen wachsen und ebenso die Strafen bei Missachtung. Aber ist Ihr Unternehmen wirklich betroffen. Wir klären auf.
 

  • Online: NIS-2 Betroffenheits-Check
  • Erstberatung

  


Von NIS-1 auf NIS-2

Und wie groß muss Ihr Sprung sein?


Als bereits NIS-1 betroffenes KRITIS-Unternehmen sind Sie schon gut in Fragen IT-Sicherheit aufgestellt. Ab Oktober 2024 gelten jedoch die teils deutlich erhöhten Anforderungen der NIS-2. Was steht auf der Habenseite und was gilt es noch zu tun? Wir bringen Licht ins Dunkel.
 

  • Deltaprüfungen 

  • Voraudits 

  


Langstreckenqualtäten gefragt

Rechtzeitig vorbereiten und durchhalten!


Je nach Umsetzung der NIS-2 Direktive in nationale Gesetzgebung können sich die Fristen zum Nachweis der Umsetzung der Mindestanforderungen von EU-Land zu EU-Land unterscheiden. Doch eines gilt für alle: die Maßnahmenimplementierung benötigt Zeit und viel Eigenengagement. Wir bringen Sie auf den richtigen Umsetzungspfad in diesen Themenbereichen:

 

  • §8a Audits/§10 Audits
  • ISO 27001, auch auf Basis von IT-Grundschutz
  • Business Continuity Management (ISO 22301)
  • EUCS/ISO 27001 für Cloud
  • Vorfallbewältigung
  • NESAS


Nur die halbe Miete

Auch auf die Lieferkette kommt es an!


Betreiber einer KRITIS-Infrastruktur sind nach der NIS-2 verpflichtet, für die Ausfallsicherheit ihrer Lieferketten zu sorgen. Auf Lieferantenseite bedeutet das: IT-Systeme, Devices und Komponenten so zu entwickeln und zu fertigen, dass sie die hohen Anforderungen an IT-Sicherheit erfüllen – und ganz besonders bei deren Einsatz in einer kritischen Infrastruktur. Wir erbringen den Nachweis für die in der NIS-2 geforderten Pflichten.
 

  • Beschleunigte Sicherheitszertifizierung (BSZ)
  • Audits nach IEC 62443-X
  • SQ (EN303645 od. harmonisierter Standard)
  • Common Criteria (EU CC)
  • „CSC“ (EN303645 + Cloud)
  • GSMA NESAS

Verschärfung der Sanktionen

Die NIS-2-Richtlinie bringt verschärfte Strafen und Sanktionen mit sich. Diese orientieren sich an der EU-Datenschutz-Grundverordnung (EU-DSGVO). 

  • Für wesentliche Einrichtungen können die Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen (abhängig davon, welcher Betrag höher ist)
  • Bei wichtigen Einrichtungen liegt das maximale Bußgeld bei 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

Geschäftsleitungen müssen die Einhaltung der IT-Sicherheitsmaßnahmen überwachen. Werden Pflichten verletzt, droht eine Binnenhaftung der Geschäftsleitung gegenüber der Einrichtung. 

Zudem sind staatliche Kontrollen vorgesehen, um die Einhaltung zu überprüfen. 

Meldepflicht von Sicherheitsvorfällen

Erhebliche Sicherheitsvorfälle müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Es gelten folgende Fristen: 

  • Innerhalb von 24 Stunden: Erstmeldung des Sicherheitsvorfalls mit der Angabe, ob der Vorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenz­überschreitende Auswirkungen haben könnte
  • Innerhalb von 72 Stunden: Bestätigung bzw. Aktualisierung der Erstmeldung, inklusive einer Bewertung des Vorfalls (Schweregrad, Auswirkungen, Kompromittierung)
  • Innerhalb eines Monats: Abschlussbericht mit ausführlicher Beschreibung sowie Angaben zu Ursachen, Maßnahmen und grenzüberschreitenden Auswirkungen
Die Umsetzung der neuen NIS-2-Richtlinie bietet KRITIS-Betreibern und der öffentlichen Hand die Chance, sich in Fragen IT-Sicherheit robust aufzustellen. TÜV NORD GROUP begleitet sie auf diesem Weg. Europaweit!

– Axel Lange, Leiter Marketing & Sales bei TÜVIT

 

Sie haben Fragen? Wir helfen gerne!

  

Carsten Keil

Senior Sales Manager

+49 160 8885406
c.keil@tuvit.de