Personen auf einer digitalen Leiterbahn, im Hintergrund ein helles Licht. Über den Personen digitale Symbole für Schaltkreise
Security

NIS-2: Das steckt dahinter und so handeln Sie konform

Unternehmen unterliegen in der Europäischen Union (EU) nicht nur strengen Regeln hinsichtlich des Datenschutzes. Seit Januar 2023 gibt es auch die sogenannte NIS-2-Richtline der EU, die für eine bessere Cyberresilienz von Unternehmen sorgen soll. Das Ziel: Die novellierte Richtlinie soll vor allem Unternehmen der sogenannten kritischen Infrastruktur (KRITIS) im europäischen Binnenmarkt besser vor Cyberangriffen schützen. Allerdings geht sie weit über den bislang bekannten Anwendungsbereich hinaus. NIS-2 tritt spätestens im Oktober 2024 in Deutschland in Kraft.

Die Europäische Union veröffentlichte die „zweite Richtlinie zur Netzwerk- und Informationssicherheit“ (NIS-2) bereits am 27.12.2022. Bis zur Umsetzung in nationales Recht haben die Mitgliedsstaaten 21 Monate Zeit. NIS-2 ist eine Weiterentwicklung der bisherigen „EU-Richtline über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ (NIS-1) aus dem Jahr 2016.

Was bedeutet NIS-2 konkret für Ihr Unternehmen? Sind Sie davon betroffen und falls ja, wie können Sie Ihr Unternehmen fit für die Bestimmungen der Richtlinie machen? Hier erfahren Sie es.

Inhaltsverzeichnis

Grundlagen von NIS-2: Das müssen Sie wissen

Was ist KRITIS?

Kritische Infrastrukturen (KRITIS) sind Einrichtungen und Organisationen, die besonders wichtig für das Gemeinwesen sind oder bei deren Beeinträchtigung erhebliche Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen eintreten können. Dazu gehören die Sektoren Energie, Informationstechnik/Telekommunikation, Transport/Verkehr, Gesundheit, Medien/Kultur, Wasser, Ernährung, Staat/Verwaltung, Finanzwesen und Abfallentsorgung. Weitere Informationen dazu sowie zur KRITIS-Verordnung finden Sie auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Bislang existiert zwar nur ein Grundlagenentwurf des Bundesinnenministeriums, um NIS-2 in ein nationales Gesetz zu überführen. Doch bis Oktober 2024 muss die Richtlinie nach EU-Vorgaben auch in Deutschland rechtskräftig sein. Eine wichtige Prämisse dabei: Bisher fielen vor allem größere Institutionen unter die KRITIS-Gesetzgebung – NIS-2 nimmt dagegen künftig auch kleinere Unternehmen in Haftung. Aus diesem Grund sollten Sie sich baldmöglichst mit den Grundlagen und Anforderungen von NIS-2 befassen.
Von der NIS-2-Richtline betroffene Unternehmen sind dazu verpflichtet, angemessene Maßnahmen in folgenden Bereichen zu ergreifen und in sämtlichen Betriebsprozessen durchzusetzen:
  • Cyber-Risikomanagement
  • Lieferkettensicherheit
  • Business-Continuity-Management
  • Datenverschlüsselung
  • Zutrittsbeschränkungen
  • Berichterstattung an Behörden
  • Abhilfemaßnamen
Der Anwendungsbereich von NIS-2 geht über die klassischen Unternehmen und Institutionen der kritischen Infrastruktur hinaus. Generell soll die Richtlinie dafür sorgen, dass Geschäftsprozesse und die dazu notwendigen IT-Systeme unterbrechungsfrei und sicher laufen. Mit den verschärften Schutzmaßnahmen reagiert die EU auf die enorm gestiegene Zahl von Cyberangriffen in den Jahren seit Inkrafttreten von NIS-1.
Die NIS-2-Richtlinie unterscheidet in ihrem Geltungsbereich zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Der Unterschied liegt in den Sanktionen bei Verstößen sowie der Aufsicht durch die Behörden: Während „besonders wichtige“ Einrichtungen unter eine aktive Aufsicht fallen, gilt für die „wichtigen“ Einrichtungen lediglich die eine reaktive Aufsicht. Das bedeutet, dass die Aufsichtsbehörden die betroffenen Unternehmen nicht benachrichtigen. Sie müssen selbst entscheiden, ob sie in den Geltungsbereich von NIS-2 fallen.
Generell müssen sich betroffene Institutionen bei der Agentur der Europäischen Union für Cybersicherheit registrieren und die nationalen Sicherheitsbehörden künftig über „signifikante Störungen, Vorfälle und Cyber Threats ihrer Dienstleistungen“ unterrichten. Daneben müssen die Security-Maßnahmen der Unternehmen dem aktuellen Stand der Technik in der IT entsprechen. Außerdem müssen betroffene Firmen ein Risikomanagement einrichten.
Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

Unterliegt Ihr Unternehmen den NIS-2-Vorschriften?

Verglichen mit der aktuellen Gesetzgebung erhöht sich die Zahl der Unternehmen und Organisationen in Deutschland, die unter die NIS-2-Richtlinie fallen – und zwar massiv. Gleichzeitig steigen die Anforderungen an Cybersicherheit und der Druck zur Durchsetzung der Richtlinie durch die Behörden. Auch die möglichen Sanktionen und die Haftung bei Verstößen verschärfen sich. Beispielsweise fallen künftig nicht mehr nur Produzenten im Energiesektor unter die neuen Vorschriften, sondern auch sämtliche Beteiligten an den jeweiligen Lieferketten.
Ihr Unternehmen ist von den neuen NIS-2-Vorschriften betroffen, wenn Sie in den folgenden Bereichen tätig sind.

„Besonders wichtige“ Einrichtungen

  • Energiewirtschaft: Herstellung, Vertrieb und Verkauf von Energie (zum Beispiel Strom, Gas, Öl) sowie Betreiber von E-Ladestationen
  • Wasserwirtschaft: Herstellung und Bereitstellung von Trinkwasser, Entsorgung von Abwasser
  • Verkehrswesen: Straßen-, Schienen-, Schiffs- und Luftverkehr
  • Bank-, Finanz- und Versicherungswesen: Bereitstellung von Krediten, Handel, Märkten und der dazugehörigen Infrastruktur
  • Digitale Infrastruktur: sämtliche Großunternehmen im digitalen Sektor; mittlere Unternehmen im Telekommunikationssektor; größenunabhängig daneben Betreiber kritischer Anlagen wie Zugangsnetze, Rechenzentren, Seekabel sowie DNS-Dienstanbieter, Top-Level-Domain-Name-Register (TLD) und Vertrauensdiensteanbieter
  • Gesundheitswesen: Gesundheitsdienstleistungen (einschließlich Pharmazeutika), Forschungseinrichtungen, Hersteller medizinischer Geräte
  • Öffentliche Verwaltung: alle Einrichtungen der Bundesverwaltung, Einrichtungen des öffentlichen Rechts und dazugehörige Vereinigungen, öffentliche IT-Unternehmen, die mehrheitlich im Eigentum des Bundes stehen
  • Raumfahrt: Hersteller von Bauteilen, Betreiber bodengestützter Infrastrukturen

„Wichtige“ Einrichtungen

  • Postwesen: Post- und Kurierdienste
  • Abfallwirtschaft: Sammlung, Transport, Recycling, Entsorgung
  • Forschungseinrichtungen: Produktion und Vertrieb zu Forschungszwecken
  • Lebensmittel: Produktion, Verarbeitung, Vertrieb
  • Chemische Erzeugnisse: Produktion und Handel
  • Hersteller von: Elektronik/Computern, Medizin-/Diagnosegeräten, Optik, Maschinen, Kraftfahrzeugen, sonstigen Transportmitteln

NIS-1 vs. NIS-2

Mit Inkrafttreten von NIS-2 in allen EU-Mitgliedsstaaten zum 24. Oktober 2024 ist die bisherige NIS-1-Richtlinie aufgehoben. Die NIS-1-Richtlinie diente im Jahr 2016 der Verbesserung der IT-Sicherheit angesichts einer sich verschärfenden Bedrohungslage. Vor allem machte sie KRITIS-Unternehmen konkrete Vorgaben zum Schutz ihrer IT-Systeme.
Die neue Richtlinie führt nun strengere Aufsichtsmaßnahmen und Durchsetzungsmöglichkeiten für die nationalen Behörden sowie einheitliche Sanktionen ein. Gleichzeitig fallen unter die neuen Regelungen zur Cyberresilienz deutlich mehr Unternehmen und Institutionen als bislang. Nach Schätzungen des TÜV Nord betrifft dies etwa 30.000 Firmen in Deutschland und 400.000 in Europa.
Dabei unterscheidet NIS-2 nicht mehr nach Mindestschwellenwerten bei der Unternehmensgröße, sondern nach sogenannten uniformen Kriterien, die zwischen mittleren und großen Firmen differenzieren:
  • Mittel: 50-249 Beschäftigte oder 10-50 Millionen Euro Umsatz pro Jahr
  • Groß: ab 250 Beschäftigen oder 50 Millionen Euro Umsatz pro Jahr
Arbeiter mit Helm schaut auf sein Smartphone

Mobiler Virenschutz für Mitarbeiter:innen

Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

  • Ohne Installation, direkt im Netz
  • Schützt von Viren und Pishing
  • Automatisch auf dem neusten Stand

Sanktionen bei Verstößen gegen die NIS-2-Richtlinie

Nicht nur der Anwendungsbereich von NIS-2 geht über die bisher definierten kritischen Infrastrukturen hinaus. Im gleichen Zuge steigen die Anforderungen an die Umsetzung sowie das Haftungsrisiko für Unternehmen und geschäftsführende Personen.

Bußgelder für Unternehmen

Unternehmen unterliegen einem Stufenkonzept für Bußgelder. Generell fällt unter den Bußgeldtatbestand ein „vorsätzliches oder fahrlässiges Verschulden“ hinsichtlich der NIS-2-Bestimmungen.
Die Bußgelder betragen für „besonders wichtige“ Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes. Bei „wichtigen“ Einrichtungen kann es Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes geben – in beiden Fällen ist der höhere Betrag maßgeblich.

Haftungsrisiko für die Geschäftsleitung

Das Haftungsrisiko umfasst nach dem Entwurf des Bundesinnenministeriums auch die Geschäftsleitung. Bei einem Schaden durch unzureichendes Risikomanagement haften Mitglieder mit ihrem Privatvermögen – bis zu 2 Prozent des Jahresumsatzes des Unternehmens gelten dafür als Obergrenze.
Ein Beispiel dafür wäre ein erfolgreicher Cyberangriff mit Auswirkungen auf den Geschäftsprozess. Grund kann zum Beispiel ein mangelhaftes Security-Konzept oder ein unzureichend überwachter Risikomanagementprozess sein. Kommt es aufgrund dessen etwa zu finanziellen Auswirkungen durch Erpressungen, Kosten für externe Dienstleistungen und Bußgelder, haften Geschäftsführer:innen persönlich.

Checkliste: Was tun, wenn Ihr Unternehmen betroffen ist?

Unterliegt Ihr Unternehmen den erweiterten Anwendungsbereichen der NIS-2-Richtlinie, sollten Sie zeitnah die folgenden Maßnahmen ergreifen. Sind Sie sich unsicher oder verfügen nicht über eine entsprechende IT-Sicherheitsexpertise in Ihrem Unternehmen, sollten Sie einen externen Dienstleister hinzuziehen.
  • Betroffenheitsanalyse vornehmen: Ermitteln Sie zunächst, ob Ihr Unternehmen betroffen ist. Gehören Sie zu den „besonders wichtigen“ Einrichtungen im Sinne der KRITIS, wendet sich die Behörde an Sie. Zählt Ihr Unternehmen zu den „wichtigen“ Einrichtungen, sind Sie verpflichtet, sich Ihrerseits bei den Behörden zu registrieren.
  • Verantwortlichkeiten klären: Bestimmen Sie innerhalb Ihres Unternehmens, wer für welche Teilbereiche verantwortlich ist, um die Kriterien von NIS-2 einzuhalten.
  • Zuständigkeitsbereiche definieren: Definieren Sie die Zuständigkeiten für die konkreten Maßnahmen der Cybersecurity, für das Reporting gegenüber der Geschäftsführung, hinsichtlich des Risikomanagements sowie gegenüber den Behörden.
  • Überwachung etablieren: Implementieren Sie Überwachungsmechanismen innerhalb der Firma, um die Einhaltung der NIS-2-Richtlinie zu gewährleisten.
  • Geschäftskontinuität sichern: Sorgen Sie dafür, dass Ihre Geschäftsprozesse auch im Falle eines Cyberangriffs weiterlaufen können. Unterbrechungen oder komplette Ausfälle können schwere Sanktionen der Behörden nach sich ziehen.
  • Meldeverfahren einrichten: Entwickeln Sie ein standardisiertes Meldeverfahren bei Vorfällen, die unter die NIS-2-Bestimmungen fallen. Unterschiedliche Personen in Ihrem Betrieb müssen das Meldeverfahren durchführen können.
Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Das Wichtigste zu NIS-2 in Kürze

  • Die NIS-2-Richtlinie der EU soll dafür sorgen, dass Geschäftsprozesse und die dazu notwendigen IT-Systeme von Einrichtungen der sogenannten kritischen Infrastruktur (KRITIS) und damit zusammenhängenden Institutionen unterbrechungsfrei und sicher laufen.
  • Mit den verschärften Schutzmaßnahmen reagiert die EU auf die enorm gestiegene Zahl von Cyberangriffen in den vergangenen Jahren.
  • Verglichen mit der aktuellen Gesetzgebung erhöht sich die Zahl der Unternehmen und Organisationen in Deutschland, die unter die NIS-2-Richtlinie fallen – und zwar massiv.
  • Man unterscheidet künftig zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Mit ersteren treten die Behörden direkt in Kontakt, zweitere müssen sich aus eigener Initiative bei den Behörden registrieren.
  • Es gibt strenge Sanktionen bei Verstößen gegen die NIS-2-Richtlinie, zum Beispiel in Form von hohen Bußgeldern für Unternehmen und einem persönlichen Haftungsrisiko der Geschäftsführung.
  • Ist Ihr Unternehmen von den erweiterten Bestimmungen von NIS-2 betroffen, sollten Sie zeitnah Maßnahmen einleiten. Dazu gehört es, Verantwortlichkeiten und Zuständigkeitsbereiche festzulegen, eine Überwachung der Maßnahmen zu etablieren und standardisierte Meldeverfahren bei Vorfällen einzurichten.
Das könnte Sie auch interessieren:
Security
Ein Mann sitzt an einem Arbeitsplatz mit einem Bildschirm und einem Laptop. Auf beiden Bildschirmen ein Vorhängeschloss und der Text „Your personal files are encrypted“.

Ransomware: So können Sie Ihr Unternehmen schützen

Das Szenario ist der Albtraum in jedem Unternehmen: Eines Morgens schalten die Mitarbeiter:innen ihre Computer ein. Doch statt des Startbildschirms erscheint nur ein Textfeld – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle Firmendaten sind durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds wollen die Erpresser:innen eine Anleitung für deren Entschlüsselung geben. Das Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs. Was nun? Angriffe mit Ransomware sind aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine der größten Gefahren für die Cybersicherheit von Unternehmen. Sie richten sich häufig gegen kleine und mittlere Unternehmen, die unzureichend geschützt sind. Weltweit konnten Kriminelle nach Angaben des BSI rund 1,1 Milliarden US-Dollar durch Ransomware-Erpressungen erbeuten. Die Dunkelziffer dürfte jedoch deutlich höher liegen. Was Ransomware ist, wie sie im Einzelnen funktioniert und wie Sie Ihr Unternehmen wirksam dagegen schützen, erfahren Sie in diesem Beitrag.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort