Richtlinie über Netz- und Informationssicherheit 2
Da NIS1 offenbar nicht ausreichte, um die Ransomware-Welle aufzuhalten
NIS2 ist die überarbeitete Cybersicherheitsrichtlinie der EU, die die ursprüngliche NIS-Richtlinie ersetzt. Sie erweitert den Kreis der Organisationen, die Cybersicherheit ernst nehmen müssen, erheblich – von den Bereichen Energie und Verkehr über das Gesundheitswesen und die digitale Infrastruktur bis hin zur Lebensmittelproduktion. Wenn Ihre Organisation systemrelevant oder für die Gesellschaft von Bedeutung ist, betrifft NIS2 auch Sie.
Mittlere und große Unternehmen in 18 kritischen Sektoren (Anhänge I und II). Die Mitgliedstaaten können auch kleinere Unternehmen einbeziehen, sofern diese als kritisch eingestuft werden. Die Richtlinie unterscheidet zwei Kategorien: wesentliche Unternehmen (strengere Aufsicht) und wichtige Unternehmen (weniger strenge Aufsicht, jedoch weiterhin verpflichtend).
EU-weite Richtlinie – jeder Mitgliedstaat setzt sie in nationales Recht um, sodass die genaue Umsetzung variiert. Die wesentlichen Verpflichtungen sind jedoch EU-weit einheitlich.
18. Oktober 2024 (Umsetzungsfrist für die Mitgliedstaaten: 17. Oktober 2024)
Um EU-weit ein hohes einheitliches Niveau an Cybersicherheit zu erreichen. Die ursprüngliche NIS-Richtlinie war uneinheitlich – verschiedene Länder setzten sie unterschiedlich um, was zu einem Flickenteppich an Cybersicherheitsmaßnahmen führte. NIS2 zielt darauf ab, diesen Flickenteppich zu einer einheitlicheren Decke zu machen.
Wesentliches Element
Sie sind in einem Sektor mit hoher Kritikalität (Anhang I) tätig: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserversorgung, Abwasserentsorgung, digitale Infrastruktur, IKT-Dienstleistungsmanagement (B2B), öffentliche Verwaltung oder Raumfahrt. Ihr Unternehmen beschäftigt wahrscheinlich mehr als 250 Mitarbeiter oder erzielt einen Jahresumsatz von über 50 Millionen Euro. Wenn Ihre Dienste ausfallen, fällt dies sofort auf.
Ihre Pflichten
- Maßnahmen zum Management von Cybersicherheitsrisiken in mindestens 10 Bereichen umsetzen (Art. 21) – von der Vorfallbearbeitung bis zur Sicherheit der Lieferkette
- Melden Sie schwerwiegende Vorfälle Ihrem nationalen CSIRT bzw. der zuständigen Behörde: Frühwarnung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats (Art. 23)
- Stellen Sie sicher, dass die Mitglieder des Leitungsorgans eine Schulung zur Cybersicherheit erhalten und Maßnahmen zum Risikomanagement genehmigen (Art. 20) – ja, der Vorstand muss dies verstehen
- Führen Sie Maßnahmen zur Sicherung der Lieferkette durch, einschließlich einer Bewertung Ihrer kritischen Lieferanten (Art. 21.2d)
- Verwenden Sie gegebenenfalls Verschlüsselung, Multi-Faktor-Authentifizierung und sichere Kommunikation (Art. 21.2h–j)
- Pflege von Plänen zur Aufrechterhaltung des Geschäftsbetriebs, einschließlich Datensicherung und Notfallwiederherstellung (Art. 21.2c)
- Führen Sie regelmäßig Sicherheitsbewertungen und -prüfungen durch (Art. 21.2f)
- Lassen Sie sich bei Ihrer zuständigen nationalen Behörde registrieren (Art. 3)
Wichtige Artikel
Die 24-Stunden-Frist für die Frühwarnung ist kein Scherz. Halten Sie eine vorformulierte Vorlage für Vorfälle bereit und benennen Sie einen Melder, der mit dem Ablauf vertraut ist. Üben Sie den Meldeablauf, bevor Sie ihn benötigen – mitten in einem Ransomware-Angriff um 3 Uhr morgens ist nicht der richtige Zeitpunkt, um sich erst mit dem Portal des CSIRT vertraut zu machen.
Wichtige Einrichtung
Sie sind in einem kritischen Sektor (Anhang II) tätig: Postdienste, Abfallwirtschaft, verarbeitendes Gewerbe, Chemie, Lebensmittel, Forschung oder digitale Dienstleister (Marktplätze, Suchmaschinen, soziale Plattformen). Ihr Unternehmen beschäftigt mehr als 50 Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro. Ihr Ausfall würde zwar keine Schlagzeilen machen, doch die Gesellschaft würde die Lücke bemerken.
Ihre Pflichten
- Es sind dieselben Maßnahmen zum Management von Cybersicherheitsrisiken wie bei systemrelevanten Einrichtungen (Art. 21) umzusetzen – die 10 Bereiche gelten gleichermaßen
- Halten Sie denselben Zeitplan für die Meldung von Vorfällen ein: Frühwarnung innerhalb von 24 Stunden, Benachrichtigung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats (Art. 23)
- Sicherstellung der Schulung des Leitungsgremiums und der Genehmigung von Maßnahmen (Art. 20)
- Durchführung einer Sorgfaltsprüfung in der Lieferkette (Art. 21.2d)
- Aufrechterhaltung der Pläne zur Gewährleistung der Geschäftskontinuität und des Krisenmanagements (Art. 21.2c)
- Lassen Sie sich bei Ihrer zuständigen nationalen Behörde registrieren (Art. 3)
Wichtige Artikel
Lassen Sie sich durch den Begriff „wichtig“ nicht täuschen und glauben, die Anforderungen seien weniger streng. Die Verpflichtungen sind identisch mit denen für wesentliche Unternehmen – der Unterschied liegt in der Intensität der Aufsicht und den Sanktionen. Es gibt also nach wie vor genügend Gründe, dies ernst zu nehmen.
Leiter für Cybersicherheit / Informationssicherheit
Sie sind die Person, die für die praktische Umsetzung der NIS2-Anforderungen verantwortlich ist. Ganz gleich, ob Sie CISO, IT-Sicherheitsmanager oder einfach „derjenige sind, der den Kürzeren gezogen hat“ – Sie sind es, der die Anforderungen der Richtlinie in konkrete Sicherheitsmaßnahmen, Richtlinien und Verfahren zur Reaktion auf Vorfälle umsetzt.
Ihre Pflichten
- Entwicklung und Pflege des Rahmens für das Cybersicherheits-Risikomanagement in Übereinstimmung mit den 10 Bereichen gemäß Art. 21
- Richten Sie Verfahren zur Erkennung, Reaktion und Meldung von Vorfällen ein, die die Fristen von 24 Stunden, 72 Stunden und 30 Tagen einhalten
- Koordinieren Sie Sicherheitsbewertungen der Lieferkette für kritische Drittanbieter
- Schulungen zum Thema Cybersicherheit für Führungskräfte und Mitarbeiter vorbereiten und durchführen
- Führen Sie regelmäßig Risikobewertungen, Schwachstellenanalysen und Penetrationstests durch
- Pflege und Prüfung von Plänen zur Aufrechterhaltung des Geschäftsbetriebs und zur Notfallwiederherstellung
- Sicherstellung technischer Maßnahmen: Verschlüsselung, MFA, Netzwerksegmentierung, Zugriffskontrolle
- Dokumentieren Sie alles – die NIS2-Aufsicht basiert auf Nachweisen
Wichtige Artikel
Erstellen Sie eine Compliance-Matrix, in der Sie jeden Bereich gemäß Artikel 21 Ihren bestehenden Kontrollmaßnahmen zuordnen. Sie werden wahrscheinlich feststellen, dass Sie bereits 60–70 % der Anforderungen von NIS2 erfüllen – die Herausforderung besteht darin, dies zu dokumentieren, Lücken zu schließen und das zu formalisieren, was derzeit eher nach dem Motto „das machen wir schon so“ abläuft.
Wie Euregas Ihnen helfen kann
Verfügbare Tools
- Vorgangsmanagement – Verfolgen Sie Vorgänge mit automatischen Erinnerungen zu Fristen von 24 Stunden, 72 Stunden und 30 Tagen
- Risikomanagementmaßnahmen (Art. 21) – strukturierte Bewertung in allen 10 vorgeschriebenen Bereichen
- Lieferantenbewertung – 8-Punkte-Bewertungssystem zur Beurteilung der Cybersicherheitslage bei Drittanbietern
KI-gestützte Funktionen
- Beratungsassistent (nis2_scope) – Ein 5-stufiger Leitfaden zur Beurteilung, ob Sie eine systemrelevante oder wichtige Einrichtung sind
- Semantische Suche in den Artikeln und Erwägungsgründen der NIS2
Das Vorfallmanagement und die Lieferantenbewertung sind manuell strukturierte Arbeitsabläufe. Für die Festlegung des Umfangs steht über den Beratungsassistenten eine KI-Unterstützung zur Verfügung.
Alle Beispiele sind fiktiv und dienen lediglich der Veranschaulichung.