Seit Oktober 2024 ist die NIS2-Richtlinie (Network and Information Security Directive) in Kraft. Ziel der Richtlinie ist eine allgemeine Verbesserung der Cybersicherheit in der gesamten Europäischen Union. Doch für Unternehmen bedeutet dies eine erhebliche Verschärfung ihrer IT-Sicherheit. So müssen Firmen fortan eine systematische Risikobewertung ihrer Software wie auch IT-Infrastruktur durchführen. Zugleich müssen auf Basis der Ergebnisse geeignete Sicherheitsmaßnahmen eingeführt werden.
Eine wesentliche Besonderheit der NIS2-Richtlinie betrifft das Management. Dieses wird nun mehr zur Verantwortung gezogen. Denn die Richtlinie fordert, das Top-Management aktiv in die Überwachung und Umsetzung der Security Controls einzubinden. Die Richtlinie geht sogar noch einen Schritt weiter. Führungskräfte dürfen nun bei Sicherheitsverstößen persönlich haftbar gemacht werden. Somit wird das Thema Cybersecurity zur zentralen Aufgabe für die Unternehmensführung.
Die NIS2-Richtlinie im Detail
Die NIS2-Richtlinie ist nicht vollkommen neu. Vielmehr handelt es sich um eine Weiterentwicklung der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Zu den wesentlichen Veränderungen, besser gesagt Erweiterungen, gehört die Ausweitung des Anwendungsbereichs auf mehr Sektoren und Unternehmen:
Während die alte NIS-Richtlinie kritische Infrastrukturen wie Energie-, Transport-, Gesundheitswesen und Finanzdienste betraf, sind in der NIS2-Richtlinie nun auch digitale Dienstleisterwie Cloud-Service-Anbieter oder Online-Marktplätze, Post- und Kurierdienste, öffentliche Verwaltungenund das Abfallmanagement enthalten?.
Außerdem werden die betroffenen Unternehmen in "wesentliche" und "wichtige" Unternehmen kategorisiert.
Zu den "wesentlichen Unternehmen" gehören all diejenigen, die kritische Dienste anbieten. Kritisch in dem Sinne, dass deren Ausfall erhebliche gesellschaftliche oder wirtschaftliche Folgen hätten.
"Wichtige Unternehmen" hingegen sind all die, deren Ausfall weniger kritische Folgen hätte.
Unabhängig von der Kategorie müssen nun aber alle betroffenen Unternehmen detaillierte Cybersicherheitsmaßnahmen umsetzen.
Auch sind alle Firmen verpflichtet, Cyberattacken oder Hackerangriffe nach Bekanntwerden binnen 24 Stunden zu melden und zusätzlich innerhalb 72 Stunden einen genauen Bericht dazu vorzulegen?.
Diese Unternehmen sind von der NIS 2-Richtline betroffen
In Deutschland sind diese Unternehmen direkt von NIS2 betroffen:
Betreiber kritischer Anlagen (KRITIS)
Besonders wichtige Einrichtungen
Wichtige Einrichtungen
Bundeseinrichtungen
Zu den Betreibern kritischer Anlagen gehören:
Alle Energieversorger, die Strom, Gas oder Öl bereitstellen und mindestens 500.000 Personen versorgen.
Alle Gesundheitsdienstleister, Krankenhäuser und andere Einrichtungen des Gesundheitswesens.
Transportdienste, darunter Betreiber von Flughäfen, Eisenbahnen und Häfen.
Unternehmen im Bereich der Wasserwirtschaft, die für die Versorgung mit Trinkwasser und die Entsorgung von Abwasser verantwortlich sind.
Besonders wichtige Einrichtungen sind:
Große Unternehmen mit mehr als 250 Mitarbeitern oder einem Jahresumsatz von mehr als 50 Millionen Euro und einer Bilanzsumme über 43 Millionen Euro.
Sonderfälle wie Anbieter von Vertrauensdiensten, Top-Level-Domain-Registrare (TLD), Domain-Name-System-Anbieter (DNS) und Telekommunikationsanbieter, die besondere Dienstleistungen erbringen.
Einrichtungen sind:
Mittlere Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz über 10 Millionen Euro sowie einer Bilanzsumme von mehr als 10 Millionen Euro.
Anbieter von Diensten, die Vertrauen in digitale Transaktionen geben, wie beispielsweise elektronische Signaturen.
Bundeseinrichtungen
Dazu gehören bestimmte staatliche Einrichtungen, die für die Erbringung wesentlicher staatlicher Dienstleistungen zuständig sind.
Im Zweifel bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Unternehmen eine Betroffenheitsprüfung zu NIS2 an.
Die Umsetzung von NIS2
Um die Anforderungen von NIS2 zu erfüllen, müssen die betroffenen Unternehmen:
Zunächst ihre IT-Systeme und Daten einer gründlichen Risikobewertung unterziehen. Das soll helfen, potenzielle Bedrohungen und Schwachstellen zu identifizieren. Dafür muss die Risikobewertung aber regelmäßig aktualisiert werden.
Basierend auf den Ergebnissen der Risikobewertung sind die Unternehmen außerdem verpflichtet, spezifische Sicherheitsrichtlinien auszuarbeiten. In den Richtlinien sollten technische Maßnahmen wie Verschlüsselungstechnologien zur Sicherung sensibler Daten und die Einführung von Multi-Faktor-Authentifizierung (MFA) enthalten sein, um einen Zugriff unbefugter Dritter zu verhindern.
Zur Einrichtung der technischen Maßnahmen gehören außerdem:
Datenverschlüsselung
Multi-Faktor-Authentifizierung
Regelmäßige Sicherheitsupdates
4. Zu den Organisatorische Maßnahmen gehören:
Schulung der Mitarbeiter und Sensibilisierung in regelmäßigen Abständen.
Protokolle für das Incident Management
Damit Sicherheitsvorfälle schnell erkannt, gemeldet und behoben werden können, muss ein Incident-Management-System eingerichtet werden. Dazu zählt auch die Pflicht, Vorfälle innerhalb bestimmter Fristen an die zuständigen Behörden zu melden.
Für Betreiber kritischer Anlagen oder Infrastrukturen (KRITIS) besteht fortan eine dreijährige Prüfpflicht. Andere Einrichtungen unterliegen einer Dokumentationspflicht und können stichprobenartig von den Behörden überprüft werden.
Erweiterung der staatlichen Aufsicht
Außerdem legt die NIS2-Richtlinie verstärkt einen Fokus auf die verstärkte staatliche Aufsicht - speziell bei kritischen Infrastrukturen. Diese Aufsicht ist für die Kontrolle der Umsetzung der Direktive zuständig. Dafür müssen sich alle betroffenen Unternehmen bei den zuständigen Behörden registrieren lassen. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Ebenfalls ein zentraler Aspekt der Ausweitung der staatlichen Aufsicht ist die Nachweispflicht über die Einhaltung der Sicherheitsvorgaben der Unternehmen im Rahmen von NIS2. Die Nachweise können durch interne und externe Audits, Prüfberichte und andere Dokumentationen erfolgen.
Außerdem hat das BSI fortan die Befugnis, unangekündigte Inspektionen durchzuführen, Nachweise und Informationen anzufordern sowie Sicherheitsvorfälle zu untersuchen. Das Inspektionsrecht obliegt auch anderen zuständigen Behörden.
Zusätzlich dazu fördert die NIS2-Richtlinie die Zusammenarbeit innerhalb der EU zwischen den verschiedenen nationalen Behörden. Mit dieser Kooperation erhofft man sich eine einheitliche Durchsetzung der Richtlinie und eine grenzübergreifende Bekämpfung der Cybergefahr.
Auf der folgenden Seite erfahren Sie, worauf Unternehmen aufgrund der NIS2-Richtlinien achten müssen, wenn Sie TeamViewer für den Remote-Zugriff einsetzen.