Was ist NIS 2 und wer ist betroffen?

Die Network and Information Systems (NIS) Directive 2, oder NIS-2-Richtlinie, ist eine EU-weite Vorgabe, die darauf abzielt, die Cybersicherheit in der Europäischen Union zu stärken. Sie beinhaltet Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union und zielt darauf ab, die Resilienz kritischer Infrastrukturen und digitaler Dienste zu verbessern.

Die NIS-2-Richtlinie wurde verabschiedet, um auf die wachsende Bedrohung durch Cyberangriffe und die zunehmende Abhängigkeit von digitalen Technologien in allen Bereichen des täglichen Lebens zu reagieren.

NIS-2 definiert einen Mindeststandard. Sie erlaubt den Mitgliedstaaten jedoch grundsätzlich, strengere Vorschriften zu erlassen und die Vorgaben individuell in nationales Recht zu übertragen.

In Deutschland ist die Umsetzung von Richtlinien der EU-Kommission oft ein komplexer Prozess. Die Verabschiedung eines Gesetzes, erfordert die Zustimmung des Bundestags und des Bundesrats.

Grundsätzlich soll die Richtlinie bis zum 17. Oktober 2024 von der Bundesrepublik Deutschland in nationales Recht umgesetzt werden. Derzeit deutet jedoch Vieles darauf hin, dass das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erst im ersten Quartal 2025 in Kraft treten wird.

Betroffene Unternehmen sind gut beraten, sich bereits im Vorfeld mit der Gesetzgebung zu befassen.

Update 11.12.2024

Der Gesetzesentwurf war bei einer öffentlichen Anhörung des Innenausschusses am 4. November 2024 auf Kritik gestoßen. Obwohl Experten eine zügige Umsetzung der NIS-2-Richtlinie empfehlen, sehen diese Nachbesserungsbedarf beim Gesetzesentwurf. Insbesondere die Rolle des BSI müsse gestärkt werden, aber auch mehr Harmonisierung wird gefordert.

Die vollständige Aufzeichnung der Sitzung steht auf dem YouTube-Kanal des Deutschen Bundestages zur Verfügung.

Bereits am 16. Oktober 2024 hatte der Bundestag einen Antrag der CDU-/CSU-Fraktion zur unverzüglichen Umsetzung der Richtlinie abgelehnt.

Aufgrund der anstehenden Neuwahlen ist aktuell nicht klar, ob der Gesetzesentwurf noch von der aktuellen Regierung verabschiedet wird oder sich dies bis nach den Neuwahlen verzögert.

Grundsätzlich wird weiterhin erwartet, dass das Gesetz Anfang 2025, vermutlich im März, in Kraft tritt.

Alle betroffenen Einrichtungen, also “Besonders wichtige Einrichtungen”, “Wichtige Einrichtungen” sowie “Kritische Betreiber” müssen sich bis spätestens drei Monaten nach Inkrafttreten des NIS2UmsuCG über eine vom BSI und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) eingerichtete Registrierungsmöglichkeit diverse Angaben übermitteln. Das ist im NIS2UmsuCG §33(1) und §33(2) geregelt.

Die Umsetzung der Maßnahmen muss zu einem vom BSI und BBK bei der Registrierung festgelegten Zeitpunkt, jedoch frühestens nach drei Jahren, erfolgen. Anschließend ist die Umsetzung/Einhaltung der Maßnahmen alle drei Jahre dem Bundesamt auf geeignete Weise nachzuweisen (§39(1)).

Betroffene Einrichtungen müssen im Zusammenhang mit NIS2 eine Reihe von Anforderungen erfüllen. Zu den wichtigsten gehören:

Sicherheitskonzept:

• Entwicklung eines umfassenden Sicherheitskonzepts, das die Identifizierung kritischer Infrastrukturen, die Analyse von Bedrohungen und Schwachstellen, die Implementierung von Sicherheitsmaßnahmen sowie die Einhaltung gesetzlicher Anforderungen gemäß der nationalen NIS-2-Gesetzgebung umfasst.
• Festlegung von Sicherheitsrichtlinien, -standards und -verfahren, die die Sicherheit der Informationssysteme und Netzwerke des Unternehmens gewährleisten.

Risikomanagement:

• Durchführung regelmäßiger Risikobewertungen, um potenzielle Bedrohungen und Schwachstellen zu identifizieren, die die Verfügbarkeit, Integrität und Vertraulichkeit der Informationssysteme und Netzwerke gefährden könnten.
• Implementierung von angemessenen technischen und organisatorischen Sicherheitsmaßnahmen zur Risikominderung und Verbesserung der Cyberresilienz des Unternehmens.

Incident-Management:

• Einrichtung eines effektiven Incident-Management-Prozesses zur Erkennung, Bewertung, Eskalation und Behebung von Sicherheitsvorfällen und Bedrohungen.
• Schulung des Incident-Response-Teams und regelmäßige Durchführung von Sicherheitsübungen und Simulationen, um die Reaktionsfähigkeit des Unternehmens auf Sicherheitsvorfälle zu verbessern.

Business Continuity Management:

• Entwicklung eines Business Continuity Management (BCM)-Plans, der sicherstellt, dass das Unternehmen auch bei Sicherheitsvorfällen oder Störungen der Geschäftstätigkeit kontinuierlich arbeiten kann.
• Identifizierung von Schlüsselprozessen und -ressourcen sowie Implementierung von Maßnahmen zur Aufrechterhaltung der Geschäftskontinuität und Wiederherstellung nach einem Sicherheitsvorfall.

Meldewesen einrichten:

• Einrichtung eines klaren Meldewesens für Sicherheitsvorfälle intern wie extern.
• Schulung der Mitarbeiter im Zusammenhang mit der Meldung von Sicherheitsvorfällen und Bedrohungen.

Sicherheit der Supply Chain:

• Überprüfung der Sicherheitspraktiken und -standards von Lieferanten und Dienstleistern, um sicherzustellen, dass die Sicherheit der Supply Chain gewährleistet ist.
• Implementierung von Sicherheitsanforderungen und -prüfungen für Lieferanten und Dienstleister, um das Risiko von Sicherheitsvorfällen und Bedrohungen aus der Supply Chain zu minimieren.

Überwachung und Schulung:

• Kontinuierliche Überwachung der Informationssysteme und Netzwerke des Unternehmens, um Sicherheitsvorfälle frühzeitig zu erkennen und zu mitigieren.
• Schulung der Mitarbeiter über Sicherheitsbest Practices, Risiken und Bedrohungen, um das Bewusstsein und die Sicherheitskompetenz im Unternehmen zu erhöhen.

Die Geschäftsführung spielt eine entscheidende Rolle bei der Schaffung einer Cybersicherheitskultur im Unternehmen und bei der Gewährleistung der Widerstandsfähigkeit gegenüber Cyberangriffen und anderen Sicherheitsbedrohungen. Es ist wichtig, dass sie die Bedeutung von Cybersicherheit verstehen, angemessene Ressourcen bereitstellen und proaktiv Maßnahmen ergreifen, um die Sicherheit der Informationssysteme und Netzwerke des Unternehmens zu stärken.

Ein ISMS ist ein wesentliches Instrument zur Sicherstellung der Informationssicherheit sowie der NIS 2 Compliance in einer Organisation. Ein ISMS umfasst Richtlinien, Prozesse, Verfahren und Technologien, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.

Ein ISMS trägt dazu bei, die Informationssicherheit zu stärken und die Resilienz von Unternehmen gegenüber Cyberangriffen und anderen Sicherheitsbedrohungen zu erhöhen.

Während die NIS-2 -Richtlinie einige spezifische Anforderungen festlegt, bietet die international anerkannte ISO 27001 einen umfassenderen Rahmen für das Informationssicherheitsmanagement. Mit einem ISMS gemäß ISO 27001 schaffen Unternehmen eine solide Basis, um die Anforderungen von NIS 2 zu erfüllen.

CONTECHNET kann Sie während des gesamten Prozesses begleiten. Wir führen mit Ihnen eine Gap-Analyse durch, um Ihre individuellen Lücken zu den NIS-2 -Anforderungen zu identifizieren. Anschließend stellen wir gemeinsam Ihre Roadmap zur Compliance auf.

Egal ob Sie bereits nach ISO 27001 zertifiziert sind – mit unserer ISMS-Software INDITOR® ISO helfen wir Ihnen dabei, die fehlenden Maßnahmen zur NIS-2 -Compliance umzusetzen. 

Zudem bieten wir Ihnen mit INDART Professional®, unserem Notfallplanungs-Modul, eine Software-Lösung, mit der Sie alle wichtigen Themen rund um den Cybernotfall geordnet definieren können und im Ernstfall nur noch ausführen müssen. Sie legen die Vorgaben individuell für Ihr Unternehmen fest und geben so Ihren Mitarbeitenden die nötige Orientierung für den Ernstfall.

Kontaktieren Sie uns und lassen Sie uns über Ihre individuellen Anforderungen sprechen.