Cybersecurity

Europäische NIS-2-Richtlinie

 

Europäische NIS-2-Richtlinie

Die NIS-2-Richtlinie (NIS:Netz- und Informationssystemsicherheit) wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft. Sie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Die EU-Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen.

Die NIS-2-Richtlinie verschärft die Anforderungen an die Cybersicherheit und die Sanktionen, um das Sicherheitsniveau in den Mitgliedsstaaten zu harmonisieren und zu verbessern. Sie legt strengere Anforderungen für verschiedene Sektoren fest und behandelt Themen wie Cyber-Risikomanagement, Kontrolle und Überwachung, Reaktion auf Vorfälle und Geschäftskontinuität. Außerdem wird der Anwendungsbereich der Richtlinie auf mehr Organisationen ausgeweitet. Für das Management der betroffenen Organisationen gelten strengere Haftungsregeln.

Haben Sie Fragen?

Stefan Wachter

DI Stefan Wachter
Business Competence Center Mobility Solutions

Vollständiger Name

Vollständiger Name

Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union

Hintergrund

Hintergrund

  • Reaktion auf eskalierende Cyber-Bedrohungen in Europa
  • Aufbauend auf den Erfahrungen aus der vorherigen NIS-Richtlinie

Zielsetzungen

Zielsetzungen

  • Schutz kritischer Organisationen und Infrastrukturen in der EU vor Cyber-Bedrohungen
  • Erreichen eines einheitlichen hohen Sicherheitsniveaus in der gesamten EU

Betroffene Branchen und Sektoren

Industrien & Sektoren mit hoher Kritikalität

Transport
Transport
Energie
Energie
Health
Health
Banking
Banking
Public Admin.
Public Admin.
Digitale Infrastr.
Digitale Infrastr.
Trinkwasser
Trinkwasser
Finanzmarkt
Finanzmarkt
Weltraum
Weltraum

Andere kritische Industrien & Sektoren

Post & Kuriere
Post & Kuriere
Abfall-wirtschaft
Abfall-wirtschaft
Digitale Provider
Digitale Provider
Lebensmittel
Lebensmittel
Manu-facturing
Manu-facturing
Chemie
Chemie
Forschung
Forschung

Ist Ihr Unternehmen betroffen?

Prüfen Sie, ob Ihr Unternehmen unter
Hohe Kritikalität oder
Andere kritische Sektoren
fällt

Wenn JA

 

DANN, abhängig von


Größe     

Sektor     

Kritikalität   

Ihr Unternehmen fällt entweder unter

Unverzichtbare oder wichtige Einrichtung

Unverzichtbare und wichtige Einrichtungen

Industrie / Sector

Große Einrichtung    

Mittlere Einrichtung    

Kleine Einrichtung    

 

Macro Einrichtung     

  Transport     

Kritisch Kritisch      Wichtig Wichtig     notinscope Keine Anwendung notinscope Keine Anwendung

  Energie     

Kritisch Kritisch Wichtig Wichtig notinscope Keine Anwendung      notinscope Keine Anwendung

  Digitale Infrastruktur     

Kritisch Kritisch Kritisch Kritisch      Kritisch Kritisch Kritisch Kritisch
 
   

Mitarbeiter ODER Jahresumsatz

    Große Einrichtung Mittlere Einrichtung Kleine Einrichtung Macro Einrichtung
    >=250 | >€ 50M      50-249 | 10-50M      <50 | <10M      <10 | <2M


Sind Sie unsicher, wie Ihr Unternehmen klassifiziert wird?

Zeitrahmen

17. Dez. 2022

Die NIS-2-Richtlinie wurde als Richtlinie (EU) 2022/2555 veröffentlicht.

 

17. Okt. 2024

Die Mitgliedstaaten müssen die erforderlichen Maßnahmen zur Einhaltung der NIS-2-Richtlinie erlassen und veröffentlichen

17. April 2025

Die Mitgliedstaaten erstellen eine Liste der wesentlichen und wichtigen Einrichtungen

17. Okt. 2027

Die Kommission überprüft das Funktionieren dieser Richtlinie

Deadlines für Einrichtungen

  • Die Frist 17. Oktober 2024 betrifft nur die Umsetzung in nationales Recht.
  • Sie markiert nicht den Zeitpunkt, ab dem die Anforderungen für die betroffenen Unternehmen gültig sind.
  • Es wird eine angemessene Umsetzungsfrist für die betroffenen Unternehmen geben, um das nationale Recht anzuwenden

Supervision

   

Maßnahmen

Unverzichtbare Einrichtungen

Wichtige Einrichtungen

 Inspection     

Überprüfung

Kontrolle vor Ort und Überwachung außerhalb des Unternehmens, einschließlich stichprobenartiger Kontrollen durch geschultes Fachpersonal Vor-Ort-Inspektion und nachträgliche Überwachung außerhalb des Unternehmens
Audit     

Audit

Regelmäßige und gezielte Sicherheitsaudits, die von einer unabhängigen Stelle oder einer zuständigen Behörde durchgeführt werden; einschließlich Ad-hoc-Audits. Gezielte Sicherheitsprüfungen
Security scans     

Security
Scans

Sicherheitsscans auf der Grundlage objektiver, nicht diskriminierender, fairer und transparenter Risikobewertungskriterien
Information Requests     

Informations-
anfragen

Ersuchen um Zugang zu Daten, Dokumenten und Informationen, die zur Erfüllung ihrer Aufsichtsaufgaben erforderlich sind.
Further information requests     

Weitere Informations-
anfragen

Ersuchen um Informationen, die erforderlich sind, um die von der betreffenden Einrichtung ergriffenen Maßnahmen zum Management von Cybersicherheitsrisiken zu bewerten.

Ersuchen um Informationen, die zur nachträglichen Bewertung der von der betreffenden Einrichtung getroffenen Maßnahmen zum Management von Cybersicherheitsrisiken erforderlich sind.

Was passiert, wenn Sie NIS nicht einhalten?

Strafen

  • Unternehmen, die sich nicht an die NIS2 halten, können mit erheblichen Strafen belegt werden, je nachdem, ob sie als wesentliche oder wichtige Unternehmen eingestuft werden. 
  • Unverzichtbare Unternehmen: können mit Geldbußen von mindestens 10 Mio. EUR oder 2 % des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr belegt werden. 
  • Wichtige Unternehmen: können mit einer Geldbuße von mindestens 7 Mio. € oder 1,4 % des gesamten weltweiten Jahresumsatzes belegt werden.

Rechtliche Konsequenzen

  • Bei Nichteinhaltung der NIS2 drohen nicht nur Bußgelder, sondern auch rechtliche Konsequenzen für Managementteams, welche die neuen Anforderungen nicht erfüllen.

NIS-2 Hauptbereiche der Anforderungen

Unternehmerische Verantwortlichkeit
Unternehmerische Verantwortlichkeit
  • Beaufsichtigung der Umsetzung des NIS-Risikomanagements im Bereich der Cybersicherheit
  • Teilnahme an Schulungen zur Risikoerkennung und Bewertung der Cybersicherheit
  • Regelmäßige Cybersicherheitsschulungen für Mitarbeiter
  • Verantwortung für die Nichteinhaltung von Vorschriften
Cyber Security Risk-Management
Cyber Security Risk-Management
  • Umsetzung von Strategien zur Risikominderung
  • Schwerpunkt auf die Reaktion auf Zwischenfälle, die Sicherheit der Lieferkette und die Stärkung des Netzwerks
  • Verbesserung der Zugangskontrolle und Einsatz von Verschlüsselung 
Berichtspflichten
Berichtspflichten
  • Erstellung von strikten Berichtsprotokollen
  • 24h: Erster Alarm und Meldung an die Behörde/CSIRT
  • 72h: Detaillierter Bericht über Bewertung, Schweregrad und Auswirkungen
  • 1 Monat: Endgültiger Lösungsbericht mit den gewonnenen Erkenntnissen
Zertifizierungs-regelungen
Zertifizierungs-regelungen
  • Unverzichtbare Einrichtungen: Aufforderung zur Verwendung von EU-zertifizierten IKT-Produkten und -Dienstleistungen, um die Einhaltung der Vorschriften zu gewährleisten
  • Einschließlich Systemwiederherstellung, Notfallverfahren und Einrichtung eines Krisenreaktionsteams
  • EU-Kommission legt fest, welche Einrichtungen Zertifizierungen benötigen und definiert Zeitplan

NIS-2 Cybersecurity Risk-Management Compliance: Ein Ansatz zur doppelten Sicherheit

  • Integration von IT- und OT-Sicherheit zur Einhaltung von NIS-2:
    • Unternehmen müssen ihre Sicherheitsstrategien für Informationstechnologie und Betriebstechnologie zusammenführen. Diese Integration ist aufgrund der erweiterten Angriffsfläche durch die Konvergenz von IT und OT unerlässlich, um den Schutz vor Cyber-Bedrohungen und die betriebliche Ausfallsicherheit zu gewährleisten.
  • IEC 62443 Standards für OT-Sicherheit:
    • Diese Standards bieten den Rahmen für die Sicherung von Systemen der Betriebstechnik, insbesondere in kritischen Infrastrukturen. Die Einhaltung der IEC 62443 ermöglicht ein proaktives Management von OT-spezifischen Risiken, die Einrichtung von robusten Sicherheitskontrollen und die Aufrechterhaltung der betrieblichen Integrität. 
NIS 2 Cybersecurity Risk-Management Compliance: A Dual-Security Approach
  • ISO 27001 Framework für IT-Sicherheit:
    • Dieser Standard ist entscheidend für das systematische Management von IT-Sicherheitsrisiken. Sie beschreibt die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS), das den Datenschutz und die Einhaltung von Rechtsvorschriften gewährleistet und eine strukturierte Methode zur Bewertung, Verwaltung und Minderung von IT-Risiken bietet.

Maßnahmen zum Risikomanagement der Cybersicherheit

  • Richtlinien zur Risikoanalyse und zur Sicherheit von Informationssystemen
    • Einführung von Verfahren zur regelmäßigen Risikoanalyse und Schwachstellenbewertung.
    • Identifizierung, Dokumentation und Katalogisierung von Anlagen und Software.
    • Identifizierung und Dokumentation aktueller Sicherheitsschwächen und Schwachstellen.
    • Routinemäßige Durchführung von Penetrationstests der internen Infrastruktur und bestehender Sicherheitsimplementierungen.
    • Einführung eines Informationssicherheits-Managementsystems (ISMS) in Übereinstimmung mit Standards wie ISO 27001, TISAX und anderen.
  • Umgang mit Zwischenfällen und deren Management
  • Geschäftskontinuität und Krisenmanagement (Backups, Notfallwiederherstellung)
  • Sicherheit der Lieferkette
  • Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzen und Informationssystemen, einschließlich des Umgangs mit und der Offenlegung von Schwachstellen
  • Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit
  • Grundlegende Praktiken der Cyber-Hygiene und Schulungen im Bereich der Cybersicherheit
  • Richtlinien und Verfahren für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung;
  • Sicherheit der Humanressourcen, Zugangskontrollrichtlinien und Vermögensverwaltung;
  • Einsatz von Mehrfaktor-Authentifizierungs- oder kontinuierlichen Authentifizierungslösungen, gesicherter Sprach-, Video- und Textkommunikation und gegebenenfalls gesicherten Notfallkommunikationssystemen innerhalb der Einrichtung.

Florian Wagner, Consultant bei msg Plaut, bespricht in seinen Podcasts das Thema "Fit for NIS2: Wie erfüllt man die neue EU-Cybersicherheits-Vorgaben?"

Wie kann Ihnen msg Plaut dabei helfen?

Entwicklung einer Compliance-Strategie

Wir vereinfachen die Komplexität der NIS-2-Richtlinie und bieten Ihnen einen klaren, stufenweisen Plan zur Einhaltung der Vorschriften, der auf den Zeitplan und die Prozesse Ihres Unternehmens abgestimmt ist.

Gap-Analyse und Handlungsmöglichkeiten

Mit unserer Gap-Analyse ermitteln wir genau, wo Sie bei der Einhaltung von NIS.2 stehen, und bieten Ihnen maßgeschneiderte Lösungen zur Behebung der Schwierigkeiten.

Unterstützung bei der Compliance

Unsere Experten helfen Ihnen bei der Erfüllung der NIS-2-Anforderungen, von den ersten Schritten bis zur vollständigen Einhaltung.

Compliance
Trainings

Unsere Schulung vermittelt Ihrem Team das Wissen, das es braucht, um die Anforderungen der NIS-2-Richtlinie zu verstehen und umzusetzen.

Sie möchten mehr Informationen? Wir helfen Ihnen gerne weiter!

Kontaktieren Sie uns!

Invalid Input
Invalid Input
Invalid Input
Invalid Input
Invalid Input
Invalid Input

Stefan Wachter

DI Stefan Wachter
Business Competence Center Mobility Solutions