NIS2 Richtlinie - Wer ist betroffen? Was Sie jetzt wissen müssen!

Erfahren Sie hier wer von der NIS2 Richtlinie ist betroffen. Wir erklären hier auch was diese NIS 2.0 Richtlinie ist und was sie für Organisationen in Europa bedeutet. Was Unternehmen jetzt wissen müssen, um langfristige Wettbewerbsnachteile und behördliche Strafen zu vermeiden. Geschäftsführer, Vorstände und Geschäftsinhaber sind besonders durch NIS 2 gefährdet.

Die 4 wichtigsten Eckpunkte zu NIS2

  1. NIS2 Richtlinie: sie ist eine überarbeitete Version der NIS Richtlinie. Die Abkürzung NIS steht für Netz- und Informationssicherheit. Sie gilt in Deutschland ab 18. Oktober 2024.
  2. 30.000 Unternehmen in Deutschland werden durch NIS2 zur Umsetzung strenger Anforderungen an ihre Cybersicherheit verpflichtet.
  3. Die NIS2 Richtlinie beinhaltet strengere Strafen für Verstöße. Die deutsche Umsetzung lässt Geschäftsführer privat haften.
  4. Durch die Zertifizierung einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 können die Anforderungen der NIS2 erfüllt werden.

In diesem Artikel erklären wir:

  • Was ist NIS
  • Warum NIS 2 wichtig für Unternehmen in Deutschland, der EU und USA
  • Wer muss NIS berücksichtigen und entsprechende Maßnahmen umsetzen
  • Wie kann man seine Management Systeme zertifizieren, um NIS 2 konform zu sein und empfindliche Bußgelder zu vermeiden?

Was ist NIS2

Die Europäische Union führte in 2016 die erste Version der NIS Richtlinie. Diese wird heute gerne als NIS1 bezeichnet. Damit sollten Organisationen in der EU dazu bewegt werden die kritische Infrastruktur vor Cyberangriffen besser zu schützen. Auslöser waren vermehrte Cyberangriffe und Datendiebstähle sowie Ausfälle bei Unternehmen zuständig für die Versorgung der Bevölkerung.

Die EU verfolgt eine Cybersecurity-Strategie, um besser auf staatliche gelenkte oder terroristische Angriffe auf ihre kritische Infrastruktur vorzubereiten. Als kritische Infrastruktur gilt, z.B. 

  • Wasserversorgung, Kraftwerke, Gasversorgung
  • Transport von Personen und Güter
  • Lebensmittelversorgung
  • Gesundheitssystem (z.B. Krankenhäuser)
  • Telekommunikationsbetreiber (Internet, Telefon, Medien)

NIS2 Richtlinie fördert eine stärkere Cyberresilienz für Europa

Das europäische Parlament unterzeichnete am 14. Dezember 2022 die NIS2 Richtlinie. Daraufhin begannen alle EU Mitgliedsstaaten diese Richtline in nationales recht umzusetzen. Damit sollte die Cyberresilienz Europas deutlich gestärkt werden.

Ein Meilenstein der europäischen Cybersicherheit

Die NIS 2.0 Richtlinie fördert die Widerstandsfähigkeit und den Schutz kritischer Infrastrukturen und digitaler Dienste in der EU. Unternehmen und Behörden haben somit Anforderungen auferlegt bekommen: Sie müssen Risiken bewerten, angemessene Sicherheitsvorkehrungen treffen und auf Sicherheitsvorfälle  reagieren.

Konzerne haben bereits begonnen, sich auf die NIS2 Richtlinie vorzubereiten. Dabei überprüfen sie ihre Informationssicherheit. Viele Unternehmen im Mittelstand sind auch im Geltungsbereich der Richtlinie. Das kann sogar  Zulieferer in der KMU Größe betreffen.

Das ist das Ziel der NIS2

Die NIS2 Richtlinie schafft einen umfassenderen und effektiveren Rahmen für den Schutz kritischer Infrastrukturen und digitaler Dienste. Die Harmonisierung der Standards, die Stärkung des Risikomanagements, die Einführung von Meldepflichten und die Verschärfung der Bußgelder sind das Ergebnis der NIS2 Richtlinie.

Die NIS2 Richtlinie soll einen umfassenderen und effektiveren Schutz der kritischer Infrastrukturen und digitaler Dienste sicherstellen

Wer muss NIS berücksichtigen und entsprechende Maßnahmen umsetzen?

Die NIS2-Richtlinie erzwingt ab 2024 Unternehmen in 18 Sektoren die festgelegten Mindeststandards der Informationssicherheit umzusetzen. Die NIS2-Richtlinie betrifft vornehmlich Unternehmen ab 50 Mitarbeitern und einem 10 Millionen Euro Umsatz. Aufgrund der Lieferkettenregelung werden jedoch auch Unternehmen unterhalb dieser Grenze mit in die Pflicht genommen. NIS bezeichnet Betreiber der Infrastruktur als „Entities“. Zu den „Essential Entities“ gehören Betreiber aus 11 Sektoren und Sonderfälle. Zu den „Important Entities“ gehören 7 Sektoren und mittlere Betreiber aller Sektoren. Die Unterscheidung zwischen „Essential Entities“ und „Important Entities“ bestimmt auch den Umfang der staatlichen Aufsicht. Die Sanktionierungsmöglichkeiten bei Missachtung und Zuwiderhandlung sind abhängig von der Zuordnung des Unternehmens zu der jeweiligen Gruppe.

#1 Kriterium: Die Unternehmensgröße

Die Unternehmensgröße ist ein entscheidender Faktor bei NIS 2. Daher sind Unternehmen mit folgenden Eigenschaften im Anwendungsbereich der NIS-2-Richtlinie sofern Kriterium 2 auch erfüllt ist:

  • mindestens 50 Mitarbeiter und
  • einem Jahresumsatz/einer Jahresbilanz von über 10 Mio. Euro

 

#2 Kriterium: Der Unternehmenssektor

Eine Organisation muss die NIS 2 Vorgaben befolgen,  wenn sie zu einer der 18 Unternehmenssektoren gehört. Der Unternehmenssektor hat einen sehr wichtigen Einfluss, da man hier die kritische Relevanz leichter erkennen kann. Sind beide Kriterien erfüllt, so muss man sich intensiv auf die NIS2-Richtlinie vorbereiten. Die NIS2 kennt aktuell 11 „wesentliche“ („Essential“) und 7 „wichtige“ („Important“) Sektoren.
Diese NIS2-Sektoren ähneln denen der deutschen KRITIS Einstufung (siehe BSI):

  • Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff) – entspricht dem KRITIS-Sektor „Energie“
  • Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr) – KRITIS-Sektor „Transport“
  • Bankwesen (Kreditinstitute) – KRITIS-Sektor „Finanzwesen“‍
  • Finanzmarktinfrastruktur (Handelsplätze, Zentrale Gegenpartien) – KRITIS-Sektor „Finanzwesen“
  • Gesundheit (Gesundheitsdienstleister; EU Labore, Medizinforschung, Pharmazeutik, Medizingeräte) – KRITIS-Sektor „Gesundheit“
  • Trinkwasser (Wasserversorgung) – KRITIS-Sektor „Wasser“
  • Abwässer (Abwasserentsorgung) – KRITIS-Sektor „Wasser“
  • Digitale Infrastruktur (Internet-Knoten (IXP), DNS (ohne Root), TLD Registries, Cloud Provider, Rechenzentren, CDNs, Vertrauensdienste (TSP), Elektronische Kommunikation) – KRITIS-Sektor „IT“, teilweise TKG (Telekommunikationsgesetz)
  • IKT-Dienstleistungsmanagement (B2B) (Managed Service Providers, Managed Security Service Providers) – keine KRITIS-Entsprechung
  • Öffentliche Verwaltungen (Zentralregierung, regionale Regierung) – keine KRITIS-Entsprechung
  • Weltraum (Bodeninfrastruktur) – teilweise KRITIS-Sektor „Transport“‍
  • Post- und Kurierdienste (Postdienste) – teilweise KRITIS-Sektor „Transport“
  • Abfallwirtschaft (Abfallbewirtschaftung) – KRITIS-Sektor „Entsorgung“
  • Herstellung, Produktion und Vertrieb von Chemikalien – KRITIS-Sektor „UBI“ (3) (Unternehmen im besonderen öffentlichen Interesse)
  • Lebensmittelproduktion, -verarbeitung und -vertrieb – KRITIS-Sektor „Ernährung“
  • Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten – KRITIS-Sektor „UBI“ (2)
  • Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke) – KRITIS-Sektor teilweise „TMG“ (Telemediengesetz)
  • Forschung (Forschungsinstitute) – keine KRITIS-Entsprechung

Im Bereich der „wesentlichen Einrichtungen“ sind neue Sektoren hinzugekommen: Abwasserwirtschaft, öffentliche Verwaltung und Weltraumwirtschaft. Zu den „wichtigen Einrichtungen“ zählt der Postsektor, Abfallwirtschaft, Chemieindustrie, Lebensmittelwirtschaft und das produzierende Gewerbe sowie Digitalanbieter. Die „wichtige Einrichtungen“ haben geringere Geldstrafen zu befürchten. Zudem unterliegen sie einer reaktiven (anlassbezogenen) Aufsicht durch die Behörden. Die „wesentlichen Einrichtungen“ erleben die proaktive Aufsicht (ohne Anlass) der Behörden deutlich intensiver als reaktive (anlassbezogenen) Aufsicht bei den „wichtigen Einrichtungen“.

Ausnahmen bei der Einstufung gemäß NIS2

Die Richtlinie hält bestimmte Ausnahmen bereit, um Organisationen zu befreien oder zu verpflichten die NIS Anforderungen einzuhalten. Auch Unternehmen mit geringerer Mitarbeiterzahl und deutlich niedrigerem Jahresumsatz können dazu verpflichtet werden, die von NIS geforderten Sicherheitsmaßnahmen vorzunehmen und ihre Effektivität nachzuweisen. Führt ein „kleines“ Unternehmen kritische Tätigkeiten aus, kann dessen Ausfall signifikante Gefahren für die Bevölkerung auslösen. Die Auswirkungen auf die öffentliche Ordnung oder Systemrisiken sowie grenzüberschreitende Auswirkungen sind einige der Gründe, warum ein solches KMU zur Einhaltung der NIS 2.0 Anforderungen trotzdem verpflichtet werden kann..

Ein Unternehmen unter bestimmten Umständen von der NIS 2 Richtlinie ausgenommen sein. Die NIS2-Richtlinie betrifft nicht staatliche Organisationen im Bereichen wie Verteidigung, nationale Sicherheit, öffentliche Sicherheit und Strafverfolgung. Ebenfalls von der NIS 2 Regelung sind Justiz, Parlamente und Zentralbanken befreit.

Öffentliche Verwaltungen auf zentraler und regionaler Ebene sind nicht von NIS2 befreit und müssen sich daher auf die Anforderungen vorbereiten. Unter Berücksichtigung der in der Öffentlichen Verwaltungen häufigen Mangel an Fachpersonal und Finanzmittel, wird hier NIS 2.0 deutlich zur Herausforderung für Kommunen werden. Mitgliedstaaten können eigenständig entscheiden derartige Einrichtungen auf lokaler Ebene von der NIS Richtlinie zu befreien, um sie deutlich zu entlasten.

Die Bedrohungslage und notwenigen Maßnahmen des Risikomanagement müssen in Einklang gebracht werden.

Uneinheitliche Cybersicherheitsanforderungen der Mitgliedstaaten

Die Europäische Union ist eine sehr vielfältige und kompakte Region. Dadurch treten zwangsläufig sehr unterschiedliche Cybersicherheitsanforderungen je nach Mitgliedstaat auf. Unternehmen und Regierungen sollten auf eine einheitliche Grundlage zurückgreifen, um so effektiver gegen Cyberbedrohungen vorzugehen. Dennoch sind die Mitgliedsländer im Süden und Osten Europas anders strukturiert als es die starken Industrienationen von Zentraleuropa sind. Dadurch entstehen zwangsläufig unterschiedliche Herangehensweisen und Anforderungen an die Organisationen in den jeweiligen Ländern.

Durch die Anwendung der size-cap-Regel schafft NIS 2 ein ausgewogenes Regelwerk. So können Start-ups, mittelständische Unternehmen und Großkonzerne ausgewogen die NIS 2 Richtlinie für sich anwenden. Kleine Unternehmen verfügen selten über die Ressourcen oder das Fachwissen, um komplexe Sicherheitsmaßnahmen zu implementieren. Daher versucht die Richtlinie diese KMUs nicht zu überfordern oder zu lähmen. Große Unternehmen müssen angemessene Sicherheitsvorkehrungen treffen, da sie über die Ressourcen sowie das Personal mit dem erforderlichen Fachwissen verfügen.

Ist die NIS 2.0 eine unnötige Bürokratie aus Brüssel?

Viele Unternehmen beklagen sich über die Kreativität der Brüsseler EU Behörden und Parlamente. Die EU Kommission gerät immer wieder in die Schlagzeilen. Dennoch muss man die Realität akzeptieren wie sie nun mal in nationales Recht umgesetzt wird. Begutachtet man genau die von der EU formulierte NIS 2 Richtlinie, kann man Wege erkennen, wie man 2 Fliegen mit einer Klappe schlagen kann: Mit einer ISO 27001 Zertifizierung macht man sich als kleines oder mittelständische Unternehmen das Leben leichter.

Betrachtet man die Gefahrenlage für Unternehmen, gibt es eigentlich gute Gründe die technische und organisatorische Informationssicherheit zu verbessern. Viele KMUs sind in den letzten 5 Jahren Opfer von Ransomware, Virenattacken oder Hackern geworden. Allein der nachfolgende finanzielle Schaden und der Stress mit dem Finanzamt rechtfertigt eine Investition in ein ISMS Management System.

 

Informationssicherheit erfordert Richtlinien, damit Menschen den richtigen Weg erkennen

NIS2-Compliance umsetzen – ohne Bürokratie, endlosem Frust und Geldverschwendung

Die NIS Richtlinie bedeutet für Unternehmen in erster Linie mehr Kosten. Die aufgewendete Zeit als auch die mit sich führenden Kosten (Berater, Technik, Personal, Umrüstung, etc.) generieren für Unternehmen keinen Umsatz per se.

Um mit NIS tatsächlich eine realistische ROI zu erzeugen, muss man bestimmte Stellschrauben im Unternehmen modifizieren. Dabei wird u.a. der Vertrieb und die Marketingaktivitäten mit neuen Argumentationswerkzeugen ausgestattet. Wir nennen diese auch „Powerful Conversations“, denn hier wird kein Druckmittel geschaffen sondern solche überzeugende Gesprächsführungen eingeführt, die es dem Vertrieb deutlich erleichtert den Umsatz zu steigern. Sie werden sicherlich jetzt darüber grübeln was diese Gesprächsführung mit NIS zu tun hat. Lassen Sie sich überraschen, denn mit der richtigen Schulung können die Vertriebsmitarbeiter auch in anderen Geschäftsbereichen ihren Umsatz nachhaltig steigern.

Mit ISO 27001 Beratung die NIS Anforderungen schneller erfüllen

Um ein ISO 27701 konformes Management System (ISMS) einzuführen, müssen verschiedene Dokumente erstellt werden. Darüber hinaus sind Verfahrensanweisungen so umzusetzen, dass hierbei Sicherheitsmaßnahmen im Unternehmen effektiv greifen können. So kann ein ISMS sehr schnell mehr als 50 komplexe Verfahrensanweisungen enthalten. Um eine sich stetig aufblähende Bürokratie zu vermeiden, muss man pragmatisch an die Einführung von ISO 27001 herantasten. Hier hilft eine ISO 27001 Beratung, um die NIS Anforderungen schneller zu erfüllen. So kann man mit einem vernünftigen Zeitaufwand die komplexen Themen rund um Risikomanagement, Zuständigkeiten, Notfallpläne abarbeiten.

Die ISMS Implementierung erfüllt die Anforderungen der NIS2-Richtlinie

Unternehmen können durch die Implementierung eines ISMS nach ISO 27001 eine nachhaltige Grundlage für ihre Sicherheit schaffen. Dabei erfüllen sie die spezifischen Anforderungen der NIS2-Richtlinie. Ein ISMS nach ISO 27001 unterstützt Unternehmen bei der Identifizierung und Bewertung von Risiken. So ist es leichter geeignete Sicherheitsmaßnahmen vorzugeben und deren Wirksamkeit zu kontrollieren. Diese proaktive Herangehensweise verbessert und stärkt die Informationssicherheit auf eine nachhaltige und wirtschaftlichere Weise. Dabei werden durch regelmäßige Überprüfungen in Form von Audits wichtige Verbesserungsmaßnahmen etabliert.

Durch die Einführung eines ISMS schafft man einen strukturierten Rahmen für die Umsetzung der geforderten Sicherheitsmaßnahmen. Während des Zertifizierungsaudits prüfen Auditoren der Zertifizierungsstelle (z.B. TÜV Nord) , ob die Dokumentation vollständig ist und zu den Unternehmenskontext passt. Die berufenen Auditoren suchen mittels einer strukturieren Vorgehensweisen nach Schwachstellen im Management System. Dabei können sie auch Lücken identifizieren, die das Unternehmen binnen einer maßvollen Frist nachweislich schließen müssen.

Manche Organisationen versuchen aus eigener Kraft ein ISMS einzuführen. Sie erkennen aber schnell, dass es doch aufwendiger ist eine ISMS Dokumentation zu erstellen. Man kann sich in endlosen Komplexitäten verfangen, beim Versuch eine ISO 27001 und NIS 2.0 konforme Dokumentation zu erstellen. Spezialisierte ISO 27001 Berater unterstützen Unternehmen bei der Entwicklung und Implementierung von Richtlinien, Verfahren und Kontrollen. So fällt es der Geschäftsleitung und den Fachbereichen leichter, die Netzwerk- und Informationssicherheit zu gewährleisten. Nach Einführung des ISMS muss die Dokumentation fortlaufend aktualisiert werden. Wartungsverträge für ISMS Dokumentationen entlasten kleinere Unternehmen deutlich. So ist eine kontinuierliche Verbesserung der Informationssicherheit effizienter zu geringeren Kosten realisierbar.