NIS-2-Richtlinie “Network and Information Security 2”
NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
NIS-2: EU-Richtlinie für Netzwerk- und Informationssicherheit
Da die NIS-2-Richtlinie von der Europäischen Union veröffentlicht wurde, handelt es sich dabei um eine EU-Richtlinie. Die Adressaten bzgl. der NIS-2-Richtlinie sind demnach zunächst einmal die europäischen Mitgliedstaaten und noch nicht die Unternehmen an sich. Die Umsetzung der NIS-2-Richtlinie in nationales Recht wird durch ein nationales Umstzungsgesetz erreicht.
Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates: Die NIS-2-Richtlinie wurde am 27.12.2022 von der Europäischen Union veröffentlicht. Sie enthält Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union.
Zertifikat NIS-2-Experte (TÜV®)
NIS-2 Zertifikat auf Grundlage des Zertifizierungsprogramms NIS-2-Experte (TÜV®)
Die Prüfung (am 11.10.2024) umfasste u.a. folgende Themen:
- Einführung (u.a. in europäische Richtlinien, Rahmenbedingungen und Gesetze)
- Grundlegende Begriffe und Definitionen
- Relevante internationale Standards als Basis der NIS-2-Anforderungen
- Übersicht NIS-2/NIS-2UmsuCG
- Registrierung
- Meldewesen
- Cybersecurity-Maßnahmen
NIS-2: Welche Sektoren sind betroffen?
Die von NIS-2 betroffenen Sektoren finden sich in den Anhängen der NIS-2-Richtlinie. In Anhang I sind die 11 Sektoren der “wesentlichen Einrichtungen” (essential entities) beschrieben, in Anhang II die 7 Sektoren der “wichtigen Einrichtungen” (important entities).
Anhang I (wesentlichen Einrichtungen):
Mind. 250 Mitarbeitende oder über 50 Mio. € Jahresumsatz und über 43 Mio. € Jahresbilanzsumme
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verantwortung von IKT-Diensten
- Öffentliche Verwaltung
- Weltraum
Anhang II (wichtige Einrichtungen):
Mind. 50 Mitarbeitende oder über 10 Mio. € Jahresumsatz und über 10 Mio. € Jahresbilanzsumme
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe / Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Es gelten Ausnahmen für einige Sektoren (z.B. IT & Telekommunikation).
Mit NIS-2 werden für ca. 29.000 Unternehmen in Deutschland die Anforderungen an die Sicherheitsvorkehrungen verschärft!
Die deutsche Wirtschaft ist stark auf eine funktionierende und widerstandsfähige Infrastruktur angewiesen – sowohl physisch als auch digital. Diese Infrastruktur ist entscheidend für Wohlstand, Wachstum und die Fähigkeit, sich an neue Bedingungen anzupassen. In den letzten Jahren hat ihre Bedeutung deutlich zugenommen.
Ziel der NIS-2-Richtlinie:
NIS-2 zielt darauf ab, verpflichtende Maßnahmen für Behörden und Unternehmen einzuführen, um ein einheitlich hohes Niveau der Cybersicherheit in der gesamten Europäischen Union zu gewährleisten.
Dadurch sollen wichtige und besonders kritische Einrichtungen vor Cyberangriffen geschützt und das reibungslose Funktionieren des europäischen Binnenmarktes gesichert werden.
Die zunehmende Vernetzung in Europa und weltweit sowie die Digitalisierung machen die Wirtschaft anfälliger für äußere Einflüsse. Besonders wichtig ist dabei die Sicherheit der Informationstechnik in kritischen Anlagen und bestimmten Unternehmen. Diese ist entscheidend für die Versorgungssicherheit, z.B. bei Strom, Wasser und Abfallentsorgung, und für das Funktionieren der Marktwirtschaft in Deutschland und der EU. Durch die enge Vernetzung innerhalb Deutschlands und der EU entstehen gegenseitige Abhängigkeiten, auch im Bereich der Cybersicherheit.
Die NIS-2-Richtlinie soll dafür sorgen, dass Unternehmen ihre Sicherheitsstandards verbessern und Infrastrukturen besser geschützt werden, um Ausfälle zu verhindern und die Stabilität der Wirtschaft in der EU so gut wie möglich zu sichern. Auf diese Weise sollen wichtige Bereiche wie zum Beispiel die Stromversorgung, Wasserversorgung und Abfallentsorgung auch in Zukunft zuverlässig funktionieren und die Sicherheit im digitalen Raum insgesamt erhöht werden.
Warum sind viele Unternehmen von NIS-2 betroffen, obwohl sie nicht direkt in den Anwendungsbereich der Richtlinie fallen?
Dritte Dienstleister stellen für auftraggebende Unternehmen ein potentiell hohes Risiko dar, weil sich über sie Schwachstellen hinsichtlich der IT- und Informationssicherheit in der (digitalen) Lieferkette auftun können. So könnte sich z.B. ein ungewollter Datenabfluss ereignen, was folglich für den Auftraggeber ein großes Problem darstellen würde.
Das heißt: Sollte man als Dienstleister (oder Zulieferer) einem NIS-2-verplichteten Unternehmen seine Leistungen anbieten (wollen), dann wird der Auftraggeber zukünftig gewisse Bedingungen an den Dienstleister stellen müssen, um den Vorgaben der NIS-2-Richtlinie zu entsprechen.
Unter Maßnahmen zur Sicherheit der Lieferkette sind beispielsweise vertragliche Vereinbarungen mit dem Dienstleister (oder Zulieferer) zu Risikomanagementmaßnahmen, Bewältigung von Cybersicherheitsvorfällen und Patchmanagement zu nennen.
Welche Pflichten ergeben sich für von NIS-2 betroffene Unternehmen?
- Registrierungspflicht (§ 33)
- Meldepflichten (§ 32)
- Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen (§ 38)
- Risikomanagementmaßnahmen (§ 30)