Die NIS-2-Richtlinie (NIS steht für Network and Information Security) ist zwar bereits am 16. Januar 2023 in Kraft getreten, muss aber erst zum 17. Oktober 2024 von betroffenen Unternehmen verpflichtend umgesetzt werden. Die NIS-2-Richtlinie legt verbindliche Cyber Security-Mindeststandards für Betreiber Kritischer Infrastrukturen fest. NIS-2 betrifft mehr Unternehmen als die seit 2016 geltende Richtlinie NIS-1. Ein Blog-Leser hat mich letztens per Mail kontaktiert und regte an, das Thema im Blog aufzugreifen, denn Oktober 2024 sei ja nicht mehr so weit entfernt. IT-Verantwortliche sollten daher handeln und prüfen, ob sie mit der Unternehmens-IT unter die NIS-2-Richtlinie fallen.
Anzeige
NIS-2-Richtlinie der EU
Die NIS-2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die bereits 2022 beschlossen, und im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht wurde. NIS-2 ist am 16. Januar 2023 offiziell EU-weit in Kraft getreten. Die Mitgliedstaaten haben nun bis Oktober 2024 Zeit, NIS-2 in nationales Recht umzusetzen. In Deutschland erfolgt die Umsetzung durch das NIS-2UmsuCG, welches aktuell als Referentenentwurf vorliegt. Ab dem 17. Oktober 2024 gelten die Vorgaben der Richtlinie NIS-2 in allen EU-Ländern.
Ziel der Richtlinie ist die Stärkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit. NIS-2 bildet die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu gehören etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur.
Mit der überarbeiteten Richtlinie sollen die Anforderungen an die Cybersicherheit und die Umsetzung von Cybersicherheitsmaßnahmen zwischen verschiedenen Mitgliedstaaten harmonisiert werden. Dazu werden Mindestvorschriften für einen Rechtsrahmen und Mechanismen für eine wirksame Zusammenarbeit zwischen den zuständigen Behörden der einzelnen Mitgliedstaaten festgelegt. Die Liste der Sektoren und Tätigkeiten, für die Verpflichtungen im Hinblick auf die Cybersicherheit gelten, werden aktualisiert und es werden Abhilfemaßnahmen und Sanktionen festgelegt, um die Durchsetzung zu gewährleisten. Eine Übersicht, warum NIS-2 notwendig wurde, findet sich beispielsweise auf dieser Webseite.
Wer ist von NIS-2 betroffen?
Während nach der alten NIS-1-Richtlinie die Mitgliedstaaten dafür zuständig waren, festzulegen, welche Einrichtungen die Kriterien für die Einstufung als Betreiber wesentlicher Dienste erfüllen, wird mit der neuen NIS 2-Richtlinie ein Schwellenwert für die Größe der Unternehmen eingeführt, der als allgemeine Regel Europa-weit für die Ermittlung beaufsichtigter Einrichtungen dient. Das bedeutet, dass alle mittleren und großen Einrichtungen, die in den von der Richtlinie erfassten Sektoren tätig sind oder unter die Richtlinie fallende Dienste erbringen, in den Anwendungsbereich der Richtlinie fallen. Das für zu einer massiven Ausweitung Zahl der betroffenen Unternehmen, die unter NIS-2 fallen und dann einer erweiterten Berichts und Aufsichtspflicht unterliegen.
Anzeige
Wer fällt unter NIS-2? Quelle: DV-Kontor, zum Vergrößern klicken
Obiger Screenshot zeigt eine Folie aus einem Workshop des DV-Kontor, die aufzeigt, wer künftig als Unternehmen unter den Geltungsbereich der NIS-2-Richtlinie fällt (einfach auf das Bild klicken, um eine vergrößerte Darstellung abzurufen). Dazu gibt es zwei Kriterien: Die Unternehmensgröße, bestehend aus Mitarbeiterzahl und Umsatz sowie Jahresbilanzsumme – sowie der Sektor, in dem das Unternehmen tätig ist. Bei den Sektoren wird noch zwischen wichtigen und wesentlichen Bereich aufgeteilt.
- Wesentliche Einrichtungen unterliegen künftig erweiterten Aufsichts- und Durchsetzungsmaßnahmen der zuständigen Behörden
- Zusätzlich gibt es eine Pflicht zur Registrierung für Dienstleister von Cloudangeboten, Rechenzentrums-Dienstleistern und
Telekommunikations-Dienstleistern
Konkret geht es um inzwischen 18 Sektoren, die dann EU-weit mit gleichen Standards als kritische Infrastruktur eingestuft sind und sich entsprechend rüsten müssen – darunter Gesundheit, Energie und Wasserversorgung, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Transport und Verkehr.
KRITIS-Unternehmen ab 50 Mitarbeitenden und zehn Millionen Euro Jahresumsatz müssen mit der neuen Richtlinie bestimmte Cyber-Security-Pflichten verbindlich umsetzen.
Betreiber digitaler Infrastruktur, darunter Anbieter elektronischer Kommunikation und Domain-Registrare, werden unabhängig von ihrer Größe reguliert – ebenso wie Bereiche der öffentlichen Verwaltung und einige Spezialanbieter von besonderer Wichtigkeit, die etwa in Metropolen oder grenzübergreifend agieren.
Wesentliche Einrichtungen unterliegen der aktiven Kontrolle durch den Gesetzgeber, während wesentliche Einrichtungen einer reaktiven gesetzlichen Kontrolle unterliegen. Herauszuheben ist, dass NIS-2 Sanktionen und Bußgelder vorsieht, die folgende Beträge umfasst:
- 10 Mio. EUR bzw. 2% Jahresumsatzes für wesentliche Einrichtungen
- 7 Mio. EUR bzw. 1,4% Jahresumsatzes für wichtige Einrichtungen
Vor allem gilt, dass die Geschäftsführung / Leitungsebene der von NIS-2 erfassten Unternehmen nun persönlich haftbar sind (wobei das wohl aktuell so nicht mehr direkt im Gesetzentwurf steht). Die Organisationen müssen sich beim BSI registrieren und sicherstellen, dass die Mindestvorgaben in Sachen Cybersicherheit umgesetzt werden. Es gelten bestimmte organisatorische Auflagen (z.B. Risiko-Management, Information Security Managements etc. einführen), und bei Sicherheitsfällen ist das BSI innerhalb von 24 Stunden zu informieren. Zudem muss die Sicherheit innerhalb der Lieferkette gewährleistet werden.
Wo kann ich mich informieren?
Eine erste, schnelle Überprüfung, ob ein Unternehmen unter NIS-2 fällt, lässt sich online über diese interaktive Seite von PwC vornehmen. Wer sich mit der Thematik auseinandersetzen muss oder möchte, kommt nicht um die Details herum. Obige Folie stammt aus einem Workshop des DV-Kontor, der die Kernpunkte und Anforderung von NIS-2 für einen schnellen Überblick heraus arbeitet. Ich hatte bei DV-Kontor nachgefragt und bekam dankenswerterweise die Zustimmung, dass ich das betreffende PDF-Dokument hier im Blog zum Download anbieten darf (auf den DV-Kontor-Seiten gibt es die Daten bisher nicht).
Wie ist der aktuelle Stand?
Auf der Webseite OpenKRITIS finden sich ebenfalls viele Hinweise sowie Download-Links zu NIS-2. Aktuell befindet sich das NIS2-Umsetzungsgesetz im Zustand eines Referentenentwurfs, der bis spätestens Oktober 2024 in nationales Recht umgesetzt werden muss. Aktuell finden da noch einige Verhandlungen statt – ich denke, im Frühjahr 2024 wird der Entwurf final gehen.
Bis dahin werden noch "einige Späne fallen" – speziell der Vorschlag des IT-Planungsrats, dass die Kommunal-IT von der NIS-2-Richtlinie auszunehmen sei (siehe folgende Links) hat schon Wellen geschlagen. Angesichts der aktuellen Cybersicherheitslage kann man über solche Vorschläge nur den Kopf schütteln. Wobei mir aktuell unklar bleibt, ob die Kommunen da überhaupt einen entsprechenden Entscheidungsspielraum haben. So gut wie jede Kommune ist Wasserversorger oder ggf. sogar Energieversorger (Stadtwerke) – fällt also in die betreffenden Sektoren.
Ähnliche Artikel:
NIS-2-Richtlinie zu Cybersicherheit und Resilienz im Amtsblatt der EU veröffentlicht
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen
Anzeige
https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html
Dort gibt es den aktuellen Stand für Deutschland.
Ähm – das hätte man auch schon vor 20 Jahren anfangen können und nicht erst, als die Server in die Brunnen gefallen sind.
Und die Richtlinie verbietet den Einsatz von Software, die durch Telemetrie, Cloud und Update Mechanismen direkt unter dem Einfluss von aussenstehenden Drittstaaten steht? Sonst wäre die Richtlinie sinnlos oder dient nicht dem genannten Zweck?
Die Richtlinie legt den Verantwortlichen bestimmte Pflichten zur Erstellung und Dokumentation (z.B. Risikoabschätzungen) auf. Werden die nicht eingehalten und kommt es zu einem Vorfall, haben die Verantwortlichen ein Problem.
ich glaube der Satz
>> Werden die nicht eingehalten und kommt es zu einem Vorfall, haben die Verantwortlichen ein Problem. <<
trifft es ganz gut worum es überall geht. Man such immer nur einen, den man dann dafür auseinandernehmen kann.
Das es irgendwo vernünftig umgesetzt wird ist eher unwahrscheinlich, schon garnicht in der Verwaltung öder im ÖD. Das Verantwortliche verantwortlich handeln ist immer weniger zu finden, da das Peter Prinzip immer mehr um sich greift, was man ja auch sieht wenn man mal schaut wie viele Cybervorfälle zu stande kommen.
Wer ist verantwortlich wenn der IT-Leiter es will der CEO es aus Kostengründen nicht möchte?
Macht der IT-Leiter dann aus Sicht des CEO weiter Feeetz ist er weg und wird durch Gehorsame ersetzt, ist er ruhig, wird es ihm später um die Ohren fliegen und er ist weg. Somit sind intelligente Leute die IT verstehen und nicht zeit absitzen wollen an solchen Positionen nicht lange zu finden und noch schwerer zu vermitteln, da sie in das gesellschaftliche Konzept (Theater) nicht passen.
Leute wacht doch mal auf!!
Moin,
hier noch eine Artikelreihe bzw. ähnliche Artikel aus dem Blog:
Cyber-Security I: Massive Sicherheitslücken in deutschen Gesundheitsämtern – keinen interessiert es
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen
MfG,
Blackii
@Günter Im Abschnitt "Wer ist von NIS-2 betroffen?":
"Wesentliche Einrichtungen unterliegen der aktiven Kontrolle durch den Gesetzgeber, während wesentliche Einrichtungen einer reaktiven gesetzlichen Kontrolle unterliegen. …".
Ich denke, im zweiten Satzteil sind die "wichtigen Einrichtungen" gemeint.
Und die Überschrift des Artikels müsste eigentlich folgendermaßen lauten?
"NIS2 muss bis 17. Oktober 2024 von KRITIS-Unternehmen umgesetzt werden"
Oder? So lesen es aber mehr.
Ein Beispiel wie "erweiterte Aufsichts- und Durchsetzungsmaßnahmen der zuständigen Behörden" dann aussehen könnte:
https://www.heise.de/news/US-Gesetzesantrag-soll-Ueberwachung-im-Inland-ausweiten-9571668.html
Naja. Bitte nicht von den "Beratern" verrückt machen lassen, die dann von der allgemeinen Stampede profitieren wollen.
Die Folie von DV-Kontor ist mMn Mist und suggeriert Firmen mit 10+ mio Umsatz oder 50+ Mitarbeiter wären von NIS-2 betroffen -> dem ist nicht so: dies trifft nur in Kombination als Anbieter für Vertrauensdienste wie Rechenzentren, Server, CDNs, CAs, DNS zu.
Davon abgesehen: unklar ist mMn Stand heute, wer eigentlich die ganzen Audits der erwarteten 27k Unternehmen in DE durchführen soll…
So ganz verstehe ich deinen Kommentar nun nicht. Der Artikel ist eine Information, sich schlau zu machen. Den Foliensatz von DV-Kontor hatte ich von einem Leser bekommen, mit dem Hinweis, dass ich das Thema mal aufgreifen solle.
Gehst Du das PDF von DV-Kontor durch, wirst Du genau diese Aussagen finden – es gibt Schwellwerte und Sektoren, die bei einer Betroffenheitsprüfung erfüllt sein müssen. Ich habe diesen Foliensatz überflogen und fand ihn für einen schnellen Überblick über die Thematik ganz passend.
Zu deinem "Bitte nicht von den "Beratern" verrückt machen lassen, die dann von der allgemeinen Stampede profitieren wollen.": Zumindest bei DV-Kontor schließe ich deine postulierte Stampede definitiv aus. Als ich nachgefragt habe, ob ich das im Blog zitieren und verwenden darf, waren die erst einmal angep* – ich habe dann auf Bitte mit dem GF ein Telefonat geführt. Und nur weil seine Leute den Blog kannten, kam da grünes Licht, dass ich die PDF hosten und Screenshots von Folien verwenden darf. Nur so viel zu deinen Aussagen.
Zum Thema Audit: Kann ja weder Aufgabe des Blog-Beitrags noch des genannten Anbieters sein, das sicherzustellen. Aber wenn die nationale Umsetzung im Gesetzblatt steht, werden betroffene Organisationen das umsetzen müssen. Am 30. September 2024 zu beginnen, erscheint mir etwas spät.
Aber ich halte die Leserschaft für so souverän, dass sie sich nicht von "Beratern verrückt machen lässt", sondern sich informiert und dann entscheidet.
"Die Folie von DV-Kontor ist mMn Mist und suggeriert Firmen mit 10+ mio Umsatz oder 50+ Mitarbeiter wären von NIS-2 betroffen -> dem ist nicht so: dies trifft nur in Kombination als Anbieter für Vertrauensdienste wie Rechenzentren, Server, CDNs, CAs, DNS zu."
Nein, das ist nicht so. Bin ich in einem der 18 Sektoren tätig und erfülle dazu noch ein Größenkriterium, betrifft mich NIS2. Natürlich In den wesentlichen Sektoren /kritischen Unternehmen dann auch stärker als in den "besonders wichtigen" oder "wichtigen" Unternehmen.
Aber als Grundlage selbst für "wichtige Unternehmen" sind dann Risikomanagement, Business Continuity Management und ISMS Pflicht.
Die Selbst-Registrierung beim BSI sowieso.
Datenschutz, KRITIS, viele/einige der weltlichen Gesetze waren für uns als kirchliches Krankenhaus nicht gültig. Weiß jemand, ob das bei NIS2 anders sein wird; oder wird stattdessen weiterhin die "IT-Sicherheitsverordnung (ITSVO-EKD)" Gültigkeit behalten?
Was auch noch hervorzuheben wäre, tatsächlich trifft die NIS2 dann noch viel mehr. Der etwas als schwammig formulierte Punkt "Supply Chain" muss auch die NIS2 einhalten. Wie hier aber eine tatsächlich Durchsetzung oder Kontrolle genau stattzufinden hat, konnte mir noch niemand beantworten…das wird wahrscheinlich die größte Herausforderung bei der Umsetzung werden.
Zur "Supply Chain" wird man imho abwarten müssen, was letztendlich im Gesetz steht – hab gestern gelesen, dass man da im Referentenentwurf entschärft hat. Aktuell sind die Infos oben aus dem Text und den verlinkten Quellen noch "grobe Richtschnur", wer betroffen sein könnte. Sobald das Gesetz in die Abstimmung geht, wird man genau sehen, wo die Knackpunkte sind.
Hallo Günter,
wer trifft letztlich die Entscheidung zu welcher Branche man gehört? Manchmal ist das ja nicht so eindeutig wie beispielsweise bei einem Krankenhaus oder Energiekonzern.
z.B. Als Zulieferer eines Gerätes, dass von einem NIS-2 betroffenen Unternehmen unter mehreren verwendet wird. Wo ist die Grenze der Branche und wer entscheidet das letztlich?
Ich habe mich gestern ein wenig damit beschäftigt, da unser Unternehmen sich in einer ähnlichen Situation befindet.
Hier befinden sich alle Branchen, welche im aktuellen Entwurf vorgesehen sind (kann sich natürlich noch ändern)
https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html#nis2betreiber
Wenn man nun auf die entsprechende drauf klickt sieht man die dazugehörigen "NACE Codes", diese sind dann hier zu finden:
Dort ist dann ziemlich genau definiert, welche Tätigkeiten unter den jeweiligen Code/Branche fallen.
In unserem Fall zum Beispiel:
Wir produzieren Produkte aus Plastik, unter anderem auch Autoteile.
Theoretisch kann man jetzt sagen, wir sind als verarbeitendes Gewerbe unter "Herstellung von Kraftwagen und Teilen (NACE 29)" zu kategorisieren.
Es stellt sich aber heraus, dass das produzieren von "spezifischer Teile oder spezifischen Zubehörs durch Gießen oder Extrudieren von Kunststoffen" unter Code 22.2 kategorisiert wird.
Somit sind wir nach aktuellem Stand nicht mehr von der Richtlinie direkt betroffen, höchstens noch unter dem Supply Chain Aspekt.
Vielleicht hilft dir das weiter.
Danke, das hat es klarer gemacht. Wenn man sich als Unternehmen nun in mehreren NACE Codes wiederfindet, weil man verschiedene Produkte herstellt? Ist das additiv zu sehen und das Schützenswerteste gewinnt, oder zählt sozusagen das "Hauptprodukt"?
Wer entscheidet im Streitfall z.B. dass ihr in deinem Beispiel nicht doch Nace29 zugeordnet werdet. Natürlich könnte man ja unterstellen, dass ein Unternehmen sich sonst dort einordnet wo es "günstiger" sprich keine NIS2 Relevanz hat.
Naja, entweder produziert ihr die Produkte oder eben nicht.
Das Verhältnis zur Gesamtmasse spielt hier meiner Ansicht nach keine Rolle.
Und bzgl. deines Streitfall Szenarios:
Am Ende werden das wohl Gerichte klären, sofern es jemanden Auffällt bzw. es einen Vorfall im Unternehmen gibt.
Es ist ja eigentlich Glasklar deklariert in unserem Fall.
Wir gießen Autoteile aus Kunststoff wie z.B. eine Armatur Abdeckung.
Diese Tätigkeit findet man in NACE29 so nicht und die Beschreibung der kompletten C Klasse sagt mir, wir gehören zu 22.2.
Sofern ist das für mich eindeutig.
Da das Gesetzt aber noch im Entwurf ist kann sich hier natürlich noch etwas ändern.
Sicherheit hat praktisch keine Relevanz.
Es wird alles so weiterlaufen wie bisher und Kundendaten werden einfach irgendwo gespeichert. Die bisherigen Bestrebungen Gesetze zu erlassen haben nicht zu qualitaetivem Umdenken gefuehrt – eher funktionelle Probleme fallen auf.
Alles im Backend wird so gebaut, dass es gerade so funktioniert – keine Doku, kein Inputvalidierung, keine Sicherheit, ein wenig Obfuscation (damit man die Fehler dem Verursacher nicht nachweisen kann). Backend sieht keiner, ist nur laestig – da wird gemurkst ohne Ende.