INHALTSVERZEICHNIS
Für wen gilt die NIS-2? Was sind wesentliche und wichtige Einrichtungen und worin besteht der Unterschied? Wie ist die NIS 2 aufgebaut? Welches sind die wichtigsten Cybersicherheitsanforderungen der NIS 2? Welche Berichtspflichten bestehen für wesentliche und wichtige Unternehmen? Wie wird Cybersicherheit nach NIS 2 umgesetzt?
Aktualisiert am 6. März 2024 (Umsetzung in den Mitgliedsstaaten)
Zusammenfassung der NIS-2-Richtlinie
Die "NIS-2-Richtlinie" oder einfach "NIS-2" ist eine Richtlinie der Europäischen Union, die Anforderungen an die Cybersicherheit festlegt, die von EU-Unternehmen, die als kritische Infrastrukturen gelten, umgesetzt werden müssen.
Ihr vollständiger Name lautet "Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der Union" und sie wurde am 14. Dezember 2022 veröffentlicht.
Da es sich bei der NIS 2 um eine Richtlinie handelt, bedeutet dies, dass jedes EU-Land seine eigenen Cybersicherheitsgesetze auf der Grundlage der NIS 2 festlegen wird, wobei die NIS 2 das zu erreichende Mindestniveau an Cybersicherheit vorgibt. In der Praxis bedeutet dies, dass Unternehmen in einigen Ländern das in der NIS 2 festgelegte Minimum einhalten müssen, während sie in anderen Ländern strengeren Cybersicherheitsanforderungen unterliegen, welche in lokalen Gesetzen festgelegt sind.
NIS 2 trägt die Kennzeichnung "2", weil sie die alte NIS-Richtlinie ersetzt.
Die NIS-2-Richtlinie könnte für die Cybersicherheit das werden, was die EU DSGVO für den Datenschutz geworden ist - eine weltweite Norm, die andere Länder als bewährte Verfahrensweise für ihre eigenen Rechtsvorschriften nutzen.
Worauf bezieht sich die alte NIS Richtlinie und wie unterscheidet sich NIS 2?
Die alte NIS-Richtlinie (Richtlinie 2016/1148) sah ebenfalls Cybersicherheit für kritische Infrastrukturen vor, schaffte es aber nicht, in allen Mitgliedstaaten das gleiche Niveau an Cybersicherheit einzuführen, was zu einem fragmentierten Ansatz führte.
Mit der neuen NIS 2 wird ein breiteres Spektrum von Branchen (Sektoren) eingeführt, die die Vorschriften einhalten müssen, auch sieht sie eine bessere Zusammenarbeit zwischen den Mitgliedstaaten, neue Fristen für die Meldung von Sicherheitsvorfällen, eine stärkere Konzentration auf Lieferketten, die Verantwortung der obersten Führungsebene von Unternehmen, strengere Strafen usw. vor.
Die NIS 2 tritt am 18. Oktober 2024 an die Stelle der alten NIS.
Wofür steht “NIS”?
Der vollständige Titel der alten NIS-Richtlinie lautete: "Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union."
Daher ist "NIS" eine Abkürzung für "Netz- und Informationssysteme".
Warum ist NIS 2 wichtig?
NIS 2 ist wichtig, weil sie sehr strenge Cybersicherheitsanforderungen für eine große Anzahl von Unternehmen in der Europäischen Union festlegt - nach einigen Schätzungen werden mehr als 100.000 Unternehmen in der Europäischen Union NIS 2-konform werden müssen.
Auch wenn NIS 2 nicht für so viele Unternehmen gilt wie z. B. die EU DSGVO, wird sie mit Sicherheit zu einem De-facto-Standard für kritische Infrastrukturen werden, nach dem sich andere (Nicht-EU-)Länder richten werden - ein sehr ähnliches Szenario ist bereits in Nicht-EU-Ländern mit Datenschutzvorschriften eingetreten, die der EU DSGVO sehr ähnlich sind.
Wo finde ich den vollständigen Text von NIS 2?
Den offiziellen Text finden Sie hier: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555&qid=1708619960475
Sie finden den vollständigen Text auch hier, geordnet nach Kapiteln und Artikeln und mit der Möglichkeit, nach Stichworten zu suchen: Vollständiger Text der NIS 2-Richtlinie.
Wann tritt NIS-2 in Kraft?
Die NIS 2 wird am 18. Oktober 2024 in Kraft treten - dies ist auch die Frist, bis zu der die EU-Länder ihre eigenen Gesetze und Vorschriften auf Grundlage der NIS 2 festlegen müssen.
Für wen gilt die NIS-2?
Es gibt drei Kriterien, die festlegen, welche Organisationen (in der NIS 2 werden sie als "wesentliche Einrichtungen" und "wichtige Einrichtungen" bezeichnet) die NIS 2 einhalten müssen:
- 1) Standort - wenn sie in einem beliebigen Land der Europäischen Union Dienstleistungen erbringen oder Tätigkeiten ausüben (unabhängig davon, ob sie in der EU ansässig sind oder nicht) und
- 2) Größe - wenn sie mehr als 50 Beschäftigte haben und einen Umsatz von mehr als 10 Millionen Euro erzielen und
- 3) Industrie - wenn sie in einem dieser Branchen tätig sind:
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (Business-to-Business)
- Öffentliche Verwaltung
- Weltraum
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe
- Anbieter digitaler Dienste
- Forschung
In diesem Artikel finden Sie eine detaillierte Aufschlüsselung der Unternehmen, die die Vorschriften in den einzelnen Branchen einhalten müssen: Welche Unternehmen müssen die NIS 2 einhalten? Wesentliche vs. wichtige Einrichtungen
Was sind wesentliche und wichtige Einrichtungen und worin besteht der Unterschied?
"Wesentliche Einrichtungen" und "wichtige Einrichtungen" - so werden in der NIS 2 Unternehmen und andere Organisationen bezeichnet, die die NIS 2 einhalten müssen.
Wesentliche Einrichtungen sind die folgenden:
- Unternehmen mit mehr als 250 Mitarbeitern oder einem Umsatz von 50 Millionen Euro, die in einer der folgenden Branchen tätig sind: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (Business-to-Business), öffentliche Verwaltung oder Weltraum
- Anbieter von Vertrauensdiensten
- Anbieter von DNS-Diensten
- Öffentliche elektronische Kommunikationsnetze
- Einrichtungen der öffentlichen Verwaltung
- Alle kritischen Einrichtungen gemäß der Richtlinie über die Resilienz kritischer Einrichtungen (CER) (EU) 2022/2557
- Andere von den Mitgliedstaaten festgelegte Einrichtungen.
Wichtige Einrichtungen sind alle anderen Organisationen, die nicht zu den wesentlichen Einrichtungen gehören, aber unter die drei im vorherigen Abschnitt genannten Kriterien fallen.
Wie ist die NIS 2 aufgebaut?
Die NIS 2 beginnt mit einer Präambel, in der in 144 Punkten der Hintergrund erläutert und einige Leitlinien für den Hauptteil der Richtlinie gegeben werden. Der Hauptteil der NIS 2 umfasst 46 Artikel, die in die folgenden Kapitel unterteilt sind:
- Kapitel I — Allgemeine Bestimmungen
- Kapitel II — Koordinierte Rahmen für die Cybersicherheit
- Kapitel III — Zusammenarbeit auf Unions- und internationaler Ebene
- Kapitel IV — Risikomanagementmaßnahmen und Berichtspflichten im Bereich der Cybersicherheit
- Kapitel V — Zuständigkeit und Registrierung
- Kapitel VI — Informationsaustausch
- Kapitel VII — Aufsicht und Durchsetzung
- Kapitel VIII — Delegierte Rechtsakte und Durchführungsrechtsakte
- Kapitel IX — Schlussbestimmungen
- Anhang I — Sektoren mit hoher Kritikalität
- Anhang II — Sonstige kritische Sektoren
- Anhang III — Entsprechungstabelle NIS 2 zu NIS
Sie finden hier alle NIS 2 Artikel: Vollständiger Text der NIS-2-Richtlinie.
Welches sind die wichtigsten Cybersicherheitsanforderungen der NIS 2?
Überraschenderweise wird nur in Kapitel IV mit der Bezeichnung " Risikomanagementmaßnahmen und Berichtspflichten im Bereich der Cybersicherheit" definiert, was wesentliche und wichtige Einrichtungen tun müssen, um die NIS 2 einzuhalten. Alle anderen Kapitel sind für diese Unternehmen nicht relevant, da sie die Verpflichtungen der EU-Länder (Mitgliedstaaten) und die Maßnahmen der Regierungsbehörden zur Durchsetzung der NIS 2 festlegen.
Kapitel IV umfasst die folgenden Artikel:
- Artikel 20 - Governance
- Artikel 21 - Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- Artikel 22 - Koordinierte Risikobewertungen in Bezug auf die Sicherheit kritischer Lieferketten auf Ebene der Union
- Artikel 23 - Berichtspflichten
- Artikel 24 - Nutzung der europäischen Schemata für die Cybersicherheitszertifizierung
- Artikel 25 - Normung
Eine detaillierte Beschreibung der Anforderungen von Kapitel IV finden Sie in diesem Artikel: Die 8 wichtigsten Anforderungen an die Cybersicherheit und Berichterstattung in NIS-2.
Welche Berichtspflichten bestehen für wesentliche und wichtige Einrichtungen?
Meldungen über erhebliche Sicherheitsvorfälle müssen wesentliche und wichtige Einrichtungen an folgende Stellen senden:
- an das Computer-Notfallteam (CSIRT) oder an die zuständige Behörde
- an die Empfänger ihrer Dienstleistungen.
Die Einrichtungen müssen dem CSIRT mehrere Arten von Berichten vorlegen: eine Frühwarnung, eine Meldung über den Sicherheitsvorfall, einen Zwischenbericht, einen Abschlussbericht und einen Fortschrittsbericht.
Erfahren Sie hier mehr: Welche Berichtspflichten bestehen nach NIS 2?
Wie die Cybersicherheit gemäß NIS 2 umgesetzt wird
Die bewährte Verfahrensweise zur Erfüllung der NIS 2 für wesentliche und wichtige Einrichtungen ist die Verfolgung folgender Implementierungsschritte:
- Sicherstellung der Unterstützung durch die Geschäftsleitung
- Einrichten eines Projektmanagements
- Durchführung der Anfangsschulung
- Verfassen einer Top-Level-Politik zur Sicherheit von Informationssystemen
- Festlegung der Risikomanagement-Methodik
- Durchführung einer Risikobewertung und -behandlung
- Erstellen und Genehmigen des Risikobehandlungsplans
- Umsetzung von Cybersicherheitsmaßnahmen
- Festlegung der Sicherheit von Lieferketten
- Bewertung der Wirksamkeit der Cybersicherheit
- Einrichten der Vorfallbenachrichtigungen
- Gestaltung einer kontinuierlichen Cybersicherheitsschulung
- Regelmäßige Durchführung von internen Audits
- Regelmäßige Durchführung von Managementbewertungen
- Durchführung von Korrekturmaßnahmen.
In diesem Artikel werden die einzelnen Schritte näher erläutert: 15 Umsetzungsschritte für NIS 2-Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit, während dieser Artikel beschreibt, wie alle Dokumente zu erstellen sind: Liste der erforderlichen Dokumente nach NIS 2.
Was sind NIS 2-Bußgelder und Haftung?
Für Unternehmen, die nicht NIS 2-konform sind, gelten folgende Bußgelder:
- Für wesentliche Einrichtungen - bis zu 10 Millionen Euro oder 2 % des gesamten Jahresumsatzes.
- Für wichtige Einrichtungen - bis zu 7 Millionen Euro oder 1,4 % des gesamten Jahresumsatzes.
Wichtig ist, dass gemäß Artikel 20 die oberste Leitung wesentlicher und wichtiger Einrichtungen die Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit genehmigen und ihre Umsetzung überwachen muss, und dass die oberste Leitung haftbar gemacht werden kann, wenn die Cybersicherheit nicht mit Artikel 21 in Einklang steht.
NIS 2 Zertifizierung
Die NIS 2 verlangt nicht, dass wesentliche und wichtige Einrichtungen zertifiziert werden.
Die Mitgliedstaaten (oder die EU-Kommission) können jedoch von diesen Einrichtungen verlangen, dass sie bestimmte IT-Produkte oder Dienstleistungen verwenden, die nach dem europäischen Zertifizierungsschemata für Cybersicherheit gemäß dem Cybersicherheitsgesetz (EU-Verordnung 2019/881) zertifiziert sind.
Welche staatlichen Stellen sind in der NIS 2 definiert?
- „Mitgliedstaaten" sind Länder, die Mitglieder der Europäischen Union sind - sie müssen ihre eigenen Gesetze und Verordnungen zur Cybersicherheit auf Grundlage der NIS 2 veröffentlichen.
- Die „zuständigen Behörden" werden von den Mitgliedstaaten benannt, um die wesentlichen und wichtigen Einrichtungen zu beaufsichtigen, die die NIS 2 und die lokalen Cybersicherheitsgesetze einhalten müssen.
- Die Mitgliedstaaten richten „zentrale Anlaufstellen" ein, um die grenzüberschreitende Zusammenarbeit zwischen den Behörden zu ermöglichen.
- „Cyber-Krisenmanagement-Behörden" sind von den Mitgliedstaaten benannte zuständige Behörden, die für die Bewältigung groß angelegter Cybersicherheitsvorfälle und -krisen verantwortlich sind.
- „Computer-Notfallteams" (CSIRTs) werden von den Mitgliedstaaten benannt, um Vorfälle nach festgelegten Verfahren zu bearbeiten.
- Das „Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen" (EU-CyCLONe) unterstützt die koordinierte Bewältigung von groß angelegten Cybersicherheitsvorfällen und -krisen.
- Die "Kooperationsgruppe" erleichtert die strategische Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten.
- Die „Agentur der Europäischen Union für Cybersicherheit" (ENISA) richtet eine Schwachstellendatenbank ein, erstellt zweijährlich einen Bericht über den Stand der Cybersicherheit in der Union, führt ein Register der Einrichtungen mit Sonderstatus, erarbeitet Leitlinien für die technischen Bereiche und die bestehenden Normen usw.
Welche Gesetze haben die EU-Länder auf Grundlage der NIS 2 veröffentlicht? (Umsetzung der NIS 2)
Die EU-Länder (Mitgliedstaaten) müssen bis zum 17. Oktober 2024 lokale Gesetze und Verordnungen im Zusammenhang mit der NIS-2-Richtlinie veröffentlichen - dieser Prozess der Verabschiedung lokaler Rechtsvorschriften auf der Grundlage einer EU-Richtlinie wird als "Umsetzung" bezeichnet.
Bis zum Zeitpunkt der Abfassung dieses Artikels hat nur ein Mitgliedstaat die NIS 2 in sein innerstaatliches Recht umgesetzt:
In welchem Verhältnis steht NIS-2 zu ISO 27001?
Die NIS 2 schreibt die Umsetzung der ISO 27001 nicht vor, erwähnt jedoch in der Präambel die ISO/IEC 27000-Reihe als Möglichkeit zur Umsetzung von Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit und im Hauptteil der NIS 2 wird die Anwendung internationaler Normen bestärkt.
Bei einem genaueren Vergleich von NIS 2 und ISO 27001 wird deutlich, dass ISO 27001 einen ausgezeichneten Rahmen für die Einhaltung der in NIS 2 geforderten Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit bietet.
ISO 27001 bietet einen klaren Leitfaden für die Definition des Risikomanagementprozesses, für die Kombination von technischer Umsetzung mit Schulungen und anderen Personalfragen, für die Einbeziehung der obersten Führungsebene usw.
Was ist der Unterschied zwischen NIS 2 und der EU DSGVO?
Der vollständige Titel der EU DSGVO lautet „Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)".
Obwohl sich sowohl die NIS 2 als auch die DSGVO auf den Schutz von Daten konzentrieren, sind sie recht unterschiedlich:
NIS 2 | EU DSGVO | |
Art | Richtlinie (Unternehmen sind im Einklang mit den veröffentlichten lokalen Gesetzen) | Verordnung (für Unternehmen direkt anwendbar) |
Gilt für | Organisationen, die als wesentliche und wichtige Einrichtungen gelten | Jede Organisation, die personenbezogene Daten verarbeitet |
Schutz | Cybersicherheitsmaßnahmen werden auf alle Daten innerhalb des Unternehmens angewendet | Cybersicherheitsmaßnahmen gelten nur für personenbezogene Daten; es gibt auch einen rechtlichen Aspekt des Schutzes personenbezogener Daten |
Gültig ab | 18. Oktober 2024 | 25. Mai 2018 |
Was ist der Unterschied zwischen NIS 2 und DORA?
Der vollständige Titel von DORA lautet „Verordnung (EU) 2022/2554 über die digitale Betriebssicherheit im Finanzsektor".
Obwohl NIS 2 und DORA beide am gleichen Tag (27. Dezember 2022) veröffentlicht wurden, bestehen große Unterschiede:
NIS 2 | DORA | |
Art | Richtlinie (Unternehmen sind im Einklang mit den veröffentlichten lokalen Gesetzen) | Verordnung (direkt anwendbar auf Finanzinstitute) |
Gilt für | Organisationen, die als wesentliche und wichtige Einrichtungen gelten | Finanzinstitute |
Schutz | Schwerpunkt auf Cybersicherheitsmaßnahmen | Neben Cybersicherheitsmaßnahmen liegt der Schwerpunkt auch auf der allgemeinen Widerstandsfähigkeit von Finanzinstituten |
Gültig ab | 18. Oktober 2024 | 17. Januar 2025 |
Was ist der Unterschied zwischen NIS 2 und der Richtlinie über die Resilienz kritischer Einrichtungen (CER)?
Der vollständige Titel der CER lautet "Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen".
Obwohl NIS 2 und CER (wie auch DORA) am selben Tag (27. Dezember 2022) veröffentlicht wurden, haben sie unterschiedliche Schwerpunkte:
NIS 2 | CER | |
Art | Richtlinie (Unternehmen sind im Einklang mit den veröffentlichten lokalen Gesetzen) | Richtlinie (Unternehmen sind im Einklang mit den veröffentlichten lokalen Gesetzen) |
Gilt für | Organisationen, die als wesentliche und wichtige Einrichtungen gelten | Organisationen, die gemäß der Entscheidung des Mitgliedstaats als kritisch eingestuft werden |
Schutz | Schwerpunkt auf Cybersicherheitsmaßnahmen | Schwerpunkt auf Widerstandsfähigkeit und Geschäftskontinuität |
Gültig ab | 18. Oktober 2024 | 18. Oktober 2024; kritische Einrichtungen müssen jedoch innerhalb von 10 Monaten ab dem Tag, an dem sie als kritisch eingestuft wurden, die Anforderungen erfüllen |
Alle Dokumente, die für die Einhaltung der NIS 2-Richtlinie erforderlich sind, finden Sie in diesem NIS 2-Dokumentations-Toolkit, das alle Politiken, Verfahren, Pläne und andere Vorlagen enthält.
[custom-banner class="no-bottom-border"]