Information Security Expert
July 7, 2023
5 min
.svg)
Die NIS-2-Richtlinie setzt ab Oktober 2024 erhöhte Cybersicherheitsstandards für bestimmte Unternehmen in der EU. Sie gilt für Firmen ab 50 Mitarbeitenden und 10 Mio. Euro Umsatz in 18 festgelegten Sektoren.
Die Zugehörigkeit zu den „Essential Entities“ oder „Important Entities“ basiert auf der Unternehmensgröße und dem Sektor und bestimmt den Umfang der staatlichen Aufsicht und mögliche Sanktionen.
Ausnahmeregelungen können Unternehmen von der NIS-2-Richtlinie ausnehmen oder einbeziehen, unabhängig von ihrer Größe und ihrem Umsatz. Der „size-cap“-Ansatz ermöglicht eine differenzierte Regelung basierend auf Unternehmensgröße und -risiken.
Zur Erfüllung der NIS-2-Richtlinie empfiehlt sich die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001.
Von der neuen NIS2-Richtlinie sind viele deutsche Unternehmen und Einrichtungen betroffen. EU-weit gilt ab 2024 durch die NIS2-Richtlinie ein hohes Maß an Cybersicherheit für Betreiber kritischer Infrastruktur (KRITIS), etwa für die Sektoren Energie, Wasser und Gesundheit.
Doch noch herrscht viel Unsicherheit darüber, wer von der NIS2 eigentlich betroffen ist und welche Unternehmen sich jetzt schon damit auseinandersetzen sollten.
In diesem Artikel erklären wir Ihnen darum:
Mit Inkrafttreten der NIS2-Richtlinie müssen ab 2024 Unternehmen in 18 Sektoren die festgelegten Mindeststandards der Informationssicherheit umsetzen. Die NIS2-Richtlinie gilt hierbei für Unternehmen ab 50 Mitarbeitern und Mitarbeiterinnen und 10 Mio. Euro Umsatz (siehe Grafik).
Einige Betreiber sollen unabhängig von ihrer Größe reguliert werden – dies betrifft Teile der digitalen Infrastruktur und der öffentlichen Verwaltung. Konkret reguliert die EU NIS2 bestimmte Betreiber (sogenannte Entities), die in 18 Sektoren aufgeteilt sind. Zu den „Essential Entities“ gehören Betreiber aus elf Sektoren und Sonderfälle, zu den „Important Entities“ gehören sieben Sektoren und mittlere Betreiber aller Sektoren.
Die Unterscheidung zwischen „Essential Entities“ und „Important Entities“ bestimmt auch den Umfang der staatlichen Aufsicht und die Sanktionierungsmöglichkeiten bei Missachtung und Zuwiderhandlung.
Unternehmen mit
können unter den Anwendungsbereich der NIS-2-Richtlinie fallen, wenn Kriterium 2 auch erfüllt ist.
Ob eine Einrichtung unter die NIS 2 fällt, hängt zudem davon ab, ob sie zu einem der im Folgenden genannten 18 Unternehmenssektoren gehört. Der Unternehmenssektor ist das zweite ausschlaggebende Kriterium, zusätzlich zu der Unternehmensgröße.
Sind beide Kriterien erfüllt, fällt eine Einrichtung unter die NIS2-Richtlinie. Prüfen Sie also, ob ihr Unternehmen zu einem der 18 relevanten Sektoren gehört.
In der NIS2 gibt es elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren.
Diese NIS2-Sektoren ähneln denen der deutschen KRITIS-Einstufung:
Die Abwasserwirtschaft, die öffentliche Verwaltung und die Weltraumwirtschaft sind dabei neue Sektoren im Bereich der „wesentlichen Einrichtungen“.
Der Postsektor, die Abfallwirtschaft, die Chemie, die Lebensmittelwirtschaft, das produzierende Gewerbe sowie Digitalanbieter zählen nun zu den „wichtigen Einrichtungen“. Für „wichtige Einrichtungen“ sind dabei geringere Geldstrafen vorgesehen, und sie unterliegen einer reaktiven (anlassbezogenen) Aufsicht durch die Behörden.
Dies steht im Gegensatz zur proaktiven Aufsicht (ohne Anlass), welche den „wesentlichen Einrichtungen“ vorbehalten ist.
.png)
Unabhängig von der Größe und des Umsatzes eines Unternehmens gibt es zudem auch bestimmte Ausnahmen, etwa wenn ein Unternehmen kritische Tätigkeiten ausübt, Auswirkungen auf die öffentliche Ordnung nimmt oder Systemrisiken sowie grenzüberschreitende Auswirkungen bestehen, falls es ausfällt. Diese können vom Anwendungsbereich der NIS2 erfasst sein, selbst wenn sie weniger als 50 Mitarbeiterinnen und Mitarbeiter haben oder ihr Jahresumsatz unter 10 Mio. Euro liegt.
Gleichermaßen kann ein Unternehmen bei gewissen Ausnahmen auch gänzlich von der NIS2 ausgenommen sein:
Die NIS2-Richtlinie gilt nicht für Einrichtungen, die Tätigkeiten in Bereichen wie Verteidigung oder nationale Sicherheit, öffentliche Sicherheit und Strafverfolgung ausüben. Auch Justiz, Parlamente und Zentralbanken sind vom Anwendungsbereich ausgenommen. NIS2 wird hingegen für öffentliche Verwaltungen auf zentraler und regionaler Ebene gelten.
Darüber hinaus können die Mitgliedstaaten beschließen, dass sie auch für derartige Einrichtungen auf lokaler Ebene gilt.
Die NIS-2-Richtlinie hat eine breitere Anwendung und baut auf den Grundlagen der vorherigen NIS-Richtlinie auf. Ein zentrales Ziel ist es, die Uneinheitlichkeit zwischen den Mitgliedstaaten in Bezug auf Cybersicherheitsanforderungen und die Umsetzung von Maßnahmen zu beseitigen. Dies ist ein großer Schritt nach vorn, da es Unternehmen und Regierungen ermöglicht, auf eine einheitliche Grundlage zurückzugreifen und so effektiver gegen Cyberbedrohungen vorzugehen.
Eine der zentralen Neuerungen von NIS 2 ist die Einführung der sogenannten „size-cap-Regel“. Damit werden mittlere und große Unternehmen in achtzehn verschiedenen Sektoren nach ihrer Größe reguliert, gemäß der Richtlinie 2003/361/EC. Diese Regelung ermöglicht es, gezielter auf die individuellen Bedürfnisse und Risiken von Unternehmen einzugehen und gleichzeitig sicherzustellen, dass alle relevanten Akteure angemessen geschützt sind.
Durch die Anwendung der size-cap-Regel schafft NIS 2 ein ausgewogenes Regelwerk, das gleichermaßen auf Start-ups, mittelständische Unternehmen und Großkonzerne zugeschnitten ist. Kleine Unternehmen, die oft nicht über die Ressourcen oder das Fachwissen verfügen, um komplexe Sicherheitsmaßnahmen zu implementieren, werden nicht übermäßig belastet. Gleichzeitig werden große Unternehmen dazu angehalten, ihre Verantwortung wahrzunehmen und angemessene Sicherheitsvorkehrungen zu treffen.
Die zentrale Frage, die sich Unternehmen jetzt stellen, ist: Wie setzt man die aufwendigen Vorgaben der NIS2 korrekt um? Tatsächlich kommen zahlreiche Pflichten und Verantwortungen auf betroffene Unternehmen zu. Wer die Schwellenwerte überschreitet und damit der NIS2 unterliegt, muss ab 2024 die verschärften gesetzlichen Anforderungen an die Informationssicherheit umsetzen.
Gemäß der „Digital Trust Insights 2023“-Studie von PwC waren bereits 30 % der befragten Unternehmen Opfer von Datenverlusten im Millionenbereich aufgrund von Cyberangriffen geworden. Des Weiteren ergab die Studie, dass jedes vierte deutsche Unternehmen (26 %) einen deutlichen Anstieg von Angriffen auf Infrastrukturen im Zusammenhang mit Industrial Internet of Things (IIoT) und Betriebstechnologien (Operational Technology, OT) erwartet.
Der Digital-Branchenverband Bitkom gibt zudem in einer aktuellen Studie Einblick in Cyberangriffe auf die deutsche Wirtschaft. So erlitt die deutsche Wirtschaft 206 Milliarden Euro Schaden durch Cyberkriminalität.
Die zunehmende Vernetzung von Geräten und Systemen eröffnet neue Angriffsvektoren, die von Cyberkriminellen ausgenutzt werden können. Unternehmen müssen sich bewusst sein, dass die Sicherheit ihrer OT- und IIoT-Umgebungen von entscheidender Bedeutung ist und angemessene Sicherheitsmaßnahmen ergreifen, um sich gegen diese steigenden Bedrohungen zu schützen.
Jedoch gaben in der Digital Trust Insights 2023-Studie ganze 38 % der Befragten an, „einen Mangel an klar definierten Verantwortlichkeiten und Zuständigkeiten in der OT- und IT-Sicherheit“ zu haben. Weitere 37 % gaben eine „mangelnde Bewertung der Risiken und Auswirkungen auf Sicherheit, Gesundheit und Umwelt sowie der geschäftlichen/finanziellen Auswirkungen von Cyberangriffen“ an.
Ein ISMS ist ein systematischer Ansatz zur Verwaltung von Informationen und deren Sicherheit in einer Organisation. Es stellt zu weiten Teilen sicher, dass angemessene Sicherheitskontrollen implementiert sind, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten und Risiken durch Cyberangriffe zu minimieren.
Informationssicherheitsmanagementsysteme werden regelmäßig nach dem Goldstandard ISO27001 etabliert.
Die ISO 27001 ist eine international anerkannte Norm für Informationssicherheitsmanagementsysteme. Sie bietet einen qualifizierten, international anerkannten und weit bewährten Rahmen für die Einrichtung, Umsetzung, Überwachung und Verbesserung eines wirksamen ISMS.
Durch die Implementierung eines ISMS nach ISO 27001 können Unternehmen eine langfristig solide Grundlage schaffen, um die spezifischen Anforderungen der NIS2-Richtlinie zu erfüllen.
Das ISMS nach ISO 27001 unterstützt Unternehmen dann bei der Identifizierung und Bewertung von Risiken, der Festlegung geeigneter Sicherheitsmaßnahmen und der Überwachung der Wirksamkeit dieser Maßnahmen. Es ermöglicht eine proaktive Herangehensweise an die Informationssicherheit, indem es regelmäßige Überprüfungen, Audits und Verbesserungsmaßnahmen vorsieht.
Mit der Implementierung eines ISMS nach ISO 27001 können Unternehmen somit die Compliance mit den NIS-2-Anforderungen gezielt angehen.
Das ISMS bietet einen strukturierten Rahmen für die Umsetzung der geforderten Sicherheitsmaßnahmen und hilft dabei, Lücken zu identifizieren und zu schließen. Es unterstützt Unternehmen bei der Entwicklung und Implementierung von Richtlinien, Verfahren und Kontrollen, um die Netzwerk- und Informationssicherheit zu gewährleisten.
Darüber hinaus ermöglicht ein ISMS nach ISO 27001 eine kontinuierliche Verbesserung der Informationssicherheit.
Es fördert eine Kultur der Sensibilisierung und Schulung der Mitarbeiter, um sicherzustellen, dass sie sich der Bedeutung von Informationssicherheit bewusst sind und die erforderlichen Sicherheitspraktiken anwenden.
Regelmäßige interne Audits und Überprüfungen gewährleisten, dass das ISMS effektiv funktioniert und den sich ständig ändernden Bedrohungen und Anforderungen gerecht wird.
Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Wie startet man den ISMS Aufbau? Von der Risikobewertung bis zur kontinuierlichen Verbesserung – welche Schritte sind entscheidend? In diesem Artikel lesen Sie, warum ein starkes ISMS nicht nur eine Notwendigkeit, sondern auch eine Chance ist, Ihr Unternehmen vor digitalen Gefahren zu schützen. Welcher ISMS Standard ist am besten für Ihr Unternehmen geeignet und ermöglicht Ihnen Wettbewerbsvorteile?
Cybersicherheit rückt verstärkt in den Fokus der EU, und die aktualisierten NIS2-Anforderungen stellen Unternehmen vor erhebliche Aufgaben. Dieser Artikel bietet einen kompakten Überblick über die Pflichten und Vorschriften, die Unternehmen erfüllen müssen, darunter die Selbst-Einordnung als "besonders wichtige" oder "wichtige" Einrichtungen, die Meldung von Sicherheitsvorfällen und die Implementierung von Sicherheitsmaßnahmen. Wir beleuchten die Bedeutung des Risikomanagements, der Sicherheit in der Lieferkette und der Schulung der Mitarbeiter in "Cybersecurity-Hygiene" und zeigen, warum die Einhaltung der NIS2-Anforderungen in ganz Europa von höchster Bedeutung ist.
Gerade die Überwachung von Mitarbeitern ist immer wieder Gegenstand gerichtlicher Streitigkeiten. Dabei stehen Unternehmen mittlerweile die verschiedensten Möglichkeiten zur Verfügung - von der Überwachung des E-Mail-Verkehrs bis hin zum Anbringen von Videokameras am Arbeitsplatz. Ob die umfassende GPS-Überwachung von Mitarbeitern datenschutzrechtlich zulässig ist, hatte das Verwaltungsgericht Lüneburg zu entscheiden. Wie ging es aus?
.svg)
.svg)
.svg){kind=small}