Zielsetzung
Die „Network and Information Security (NIS) Directive“ wurde im Jahr 2016 von der EU verabschiedet. NIS1 hatte zum Ziel, die europäische IT-Sicherheit grundsätzlich zu stärken und kritische Infrastrukturen besser zu schützen. NIS2 ist deren Weiterentwicklung. Die Richtlinie wurde am 14. Dezember 2022 vom Europäischen Parlament verabschiedet und trat am 16. Januar 2023 in Kraft. Sie soll die Widerstandsfähigkeit von Unternehmen und nationalen Institutionen innerhalb der EU branchenübergreifend nochmals deutlich erweitern und Mindeststandards harmonisieren.
Angesichts des stetigen Wandels in der digitalen Landschaft wurde deutlich, dass ein breiterer Ansatz für mehr Cybersicherheit notwendig ist. Zudem ist es unerlässlich, dass die Mitgliedstaaten ihre Zusammenarbeit in diesem Bereich verbessern. NIS2 soll dabei unterstützen, indem es einheitliche Standards und Verfahren festlegt. Insgesamt verschärft die Richtlinie die bestehenden Anforderungen erheblich. Betroffene müssen vielfältige technische und organisatorische Schutzmaßnahmen ergreifen. Außerdem wird Cybersicherheit zur Management-Aufgabe, da die Geschäftsleitung die zentrale Verantwortung für das Risikomanagement und die Umsetzung der Maßnahmen trägt.
Wer ist betroffen?
NIS2 gilt für Organisationen, Unternehmen und Einrichtungen aus insgesamt 18 Sektoren, mit min. 50 Mitarbeitenden und/oder min. 10 Mio. € Jahresumsatz und -bilanz. Damit wurde der Geltungsbereich erheblich erweitert. Ein Großteil der mittleren und großen Unternehmen ist betroffen. Zudem bezieht sich NIS2 auf einen unternehmensweiten Anwendungsbereich, gilt also ohne spezifische Einschränkungen auf bestimmte Teile der Organisation. Dies ist ein Hauptunterschied zu BSI-Vorgaben. Es gibt aber auch Faktoren, die unabhängig von der Unternehmensgröße bestehen. Diese betreffen z. B. kritische Tätigkeiten oder Auswirkungen auf die öffentliche Ordnung.
Anforderungen
In den folgenden Bereichen sind Maßnahmen umzusetzen:
- Risikoanalyse und Sicherheit für Informationssysteme
- Sicherheit der Lieferkette
- Bewertung der Effektivität von Cybersicherheit und Risikomanagement-Maßnahmen
- Sicherheit des Personals
- Konzepte für die Zugriffskontrolle
- Management von Anlagen
- Bewältigung von Sicherheitsvorfällen
- Sicherheit in der Entwicklung sowie Beschaffung und Wartung
- Schulungen zur Cybersicherheit und -hygiene
- Multi-Faktor-Authentifizierung
- Aufrechterhaltung und Wiederherstellung
- Backup-Management
- Krisen-Management
- Management von Schwachstellen
- Einsatz von Kryptografie und Verschlüsselung
- gesicherte Sprach-, Video- und Textkommunikation
- gesicherte Notfallkommunikationssysteme
Weiterer Handlungsbedarf besteht bzgl. Registrierungs-, Nachweis-, Unterrichts- und vor allem Meldepflichten. Beispielsweise müssen besonders wichtige Einrichtungen dem BSI sämtliche Sicherheitsvorfälle melden – in sehr kurzen Fristen. Die Erstmeldung soll innerhalb von 24h erfolgen, mit Bewertung der Erstmeldung (Schwere, Auswirkungen, Kompromittierung) binnen 72h.
Umsetzungsplan
In Deutschland erfolgt die Implementierung in nationales Recht durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Die hierfür gesetzte Frist ist der 17. Oktober 2024. Natürlich wird die Umsetzung der Maßnahmen Zeit benötigen. Dennoch sind die Mitgliedstaaten gemäß der Richtlinie verpflichtet, die Rechtsvorschriften zur Umsetzung ab dem 18. Oktober 2024 anzuwenden. Hervorzuheben ist auch, dass die Richtlinie eine Mindestharmonisierung vorsieht. Der deutsche Gesetzgeber kann also auch strengere Regelungen und zusätzliche Anforderungen festlegen. In jedem Fall drohen empfindliche Geldstrafen, bei fortgesetzten Verstößen sogar der Entzug der Betriebserlaubnis oder von Zertifizierungen.
Es gibt aber noch Unklarheiten, u. a. hinsichtlich der Haftung. Ebenso wird behauptet, dass es eine implizite Übergangsfrist gibt, die Konformitätsprüfungen erst drei Jahre nach dem 18. Oktober 2024 zulässt. Der deutsche Staat darf solche Aussagen jedoch nicht treffen. Im Zweifelsfall könnte ein Unternehmen also am 19. Oktober 2024 geprüft werden. Jede Organisation sollte frühzeitig ihre Betroffenheit ermitteln, Verantwortlichkeiten klären, das Risiko analysieren, mit der Umsetzung von Maßnahmen beginnen und diese kontinuierlich überprüfen.
Unser Tipp:
Die Uhr tickt! NIS2 rückt immer näher, aber DTS lässt Sie nicht allein!
Wir möchten Ihnen mit unserem Know-how dabei helfen, „NIS2-ready“ zu werden, individuelle Maßnahmenpakete zu entwickeln, Ihre IT-Sicherheit zu gestalten und Ihre Zukunft „compliant“ zu sichern. Sei es eine kurze Zusammenfassung der NIS2-Thematik in unserem One-Pager, unser NIS2-Test zur Ermittlung Ihres Handlungsbedarfs oder unsere NIS2-Workshops: Wir sind für Sie da … alles aus einer Hand.
dts.de