T-Systems-Claim-Logo
Suchen
Ein Mann und eine Frau sitzen vor einer Wand voll von Bildschirmen

Cyber Security gewinnt dank der NIS2-Richtlinie an Bedeutung

Die NIS2-Richtlinie ist die größte Erneuerung seit der DSGVO. Für welche Sektoren gilt sie und wie funktioniert die Umsetzung?  

19. Mai 2023Dheeraj Rawal

Netz- und Cybersicherheit

Cyberkriminalität birgt enorme Risiken für Betreiber digitaler Dienste. IT-Sicherheitsvorfälle in kritischen Infrastrukturen führen zu Störungen und wirtschaftlichen Verlusten.  
Um die Sicherheit zu steigern, setzt die EU auf NIS, was den EU-Mitgliedsstaaten helfen soll, die Informationssicherheit zu verbessern, Cyberrisiken zu erkennen und zu mindern und Sicherheitsvorfälle den Behörden zu melden.  

Wie die NIS2-Richtlinie entstand

Ein Mann hält einen leuchtenden Globus mit Netzwerkstruktur

Kritische Sektoren, wie die öffentliche Verwaltung, müssen geschützt werden. Denn Unternehmen, die Netzwerke zur Speicherung und Übermittlung von Daten nutzen, sind häufig von Cyberangriffen betroffen.  
So kam es im Dezember 2015 in der Westukraine zum Stromausfall, der 230.000 Bürger bei eisigen Temperaturen in der Dunkelheit zurückließ. Grund dafür war eine Gruppe Cyberkrimineller, die die Kontrollsysteme eines Umspannwerks hackten und so den Stromausfall verursachten.   
Der Not-Petya-Malware-Angriff betraf 2017 EU-Staaten, wie Deutschland, und sorgte in verschiedenen Branchen, wie beim Pharmariesen Merck und beim Logistikunternehmen Maersk für Beeinträchtigungen. Die steigende Anzahl der Angriffe stellte die Europäische Kommission vor die Frage, welche Sicherheitsanforderungen an kritische Infrastrukturen notwendig sein werden.   
Um kritische Sektoren mit Maßnahmen auszustatten, führte die EU 2016 die Richtlinie zur Netz- und Informationssicherheit (NIS) ein. Im Januar 2023 erschien dann NIS2, die neue Fassung der Richtlinie. 

Was ist der Unterschied zu NIS?

Die NIS2-Richtlinie gilt für mehr Branchen. Sie enthält zudem Aktualisierungen für neue Technologien und Rückmeldungen von Interessensgruppen. Bei NIS wurden bei Nichteinhaltung keine hohen Strafen verhängt, da die meisten Unternehmen, für die die Richtlinie galt, keine Klarheit über die Umsetzung der Richtlinien hatten. Oft waren sich auch die EU-Mitgliedstaaten nicht einig, da es einen Spielraum für individuelle Interpretationen gab.   
Angesichts der Unklarheiten war es notwendig, die Richtlinie zu überarbeiten, mehr Klarheit zu schaffen und den Anwendungsbereich neu zu definieren. Das Ziel ist dasselbe: der Schutz kritischer Einrichtungen und die Erhöhung der Widerstandsfähigkeit von Organisationen.   

„Wesentliche Einrichtungen“ laut NIS2 

NIS2 gilt für Unternehmen in EU-Ländern, die in die Kategorien „wesentliche“ und „wichtige“ Einrichtungen fallen. Auch Unternehmen, die außerhalb der EU ansässig sind, aber digitale Dienste in Europa anbieten, müssen die Richtlinie möglicherweise einhalten.   

Zu den „Wesentlichen Einrichtungen“ gehören:  

  • Transportwesen (Luft, Schiene, Wasser und Straße)  
  • Banken und Finanzen  
  • Luft- und Raumfahrt  
  • Gesundheit  
  • Hersteller von pharmazeutischen Produkten, wie Impfstoffen  
  • Öffentliche Verwaltung  
  • Energie (Strom, Fernwärme und -kühlung, Öl und Gas)  
  • Trinkwasserversorgung und Abwasserentsorgung  
  • Digitale Infrastruktur und Information, Kommunikation und Technologie  
  • IKT-Dienste, einschließlich Cloud Computing Service  
  • Anbieter von Cloud Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Content Delivery Networks  
  • Anbieter von Vertrauensdiensten, öffentliche elektronische Kommunikationsnetze  
  • Elektronische Kommunikationsdienste 

„Wichtige Einrichtungen“ laut NIS2 

Zu den wichtigen Einrichtungen gehören:  

  • Chemie-Vertriebe und Produktionen   
  • Digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen und Plattformen für soziale Netzwerkdienste)  
  • Die Lebensmittelindustrie   
  • Post- und Kurierdienste  
  • Forschungsinstitute  
  • Hersteller von medizinischen Geräten, Computern, Elektronik und Maschinen  
  • Ausrüstung und Kraftfahrzeuge 
  • Abfallwirtschaft   
  • Alle wesentlichen Dienste, jedoch mit der Größenschwelle für „wichtige Einrichtungen“

Die Sanktionen bei Nichteinhaltung

Für beide Kategorien von Unternehmen gibt es verschiedene Schwellenwerte und Geldbußen.  

Zu den „wesentlichen Diensten“ gehören Unternehmen mit 250 Mitarbeitern oder mehr und einem Umsatz von 50 Millionen Euro oder einer Bilanzsumme von 43 Millionen Euro.  

  • Bei Nichteinhaltung drohen Geldbußen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist).  
  • Diese Unternehmen werden proaktiv beaufsichtigt  

Zu den „wichtigen Diensten“ gehören Unternehmen mit 50 oder mehr Mitarbeitern und einem Jahresumsatz oder einer Jahresbilanz von 10 Millionen Euro.  

  • Bei Nichteinhaltung drohen Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist)  
  • Diese Unternehmen werden nach jedem Sicherheitsvorfall oder gemeldeten Verstoß überwacht.  

NIS2 ist weitreichender  

Unternehmen, die in den Geltungsbereich der Richtlinie fallen, werden Maßnahmen, wie Vor-Ort-Kontrollen, Audits und Cybersicherheits-Scans unterzogen. Auch andere Parameter, die über die Sicherheitslage und -politik einer Einrichtung Aufschluss geben, können verlangt werden, um das Sicherheitsniveau und die Bereitschaft zur sofortigen Intervention in Notfallsituationen zu bewerten.  
Mit NIS2 hat das EU-Parlament den Schwerpunkt auf die Durchführung gelegt. Grauzonen wurden reduziert, sodass weniger Raum für Unklarheiten bleibt. So besagt die NIS2-Richtlinie, dass ein Angriff unabhängig davon, ob er Auswirkungen hat, gemeldet werden muss. Nach einem Sicherheitszwischenfall muss innerhalb von 24 Stunden ein grober Bericht des Vorfalls übermittelt und ein detaillierter Bericht innerhalb eines Monats vorgelegt werden. Zudem sollen der Wissensaustausch und die Zusammenarbeit zwischen den EU-Mitgliedstaaten durch die Richtlinie verbessert werden.  
Die EU-Staaten haben 20 Monate Zeit, die Richtlinien in nationales Recht umzusetzen. Alle betroffenen Unternehmen müssen die NIS2-Richtlinie bis zum 18. Oktober 2024 umsetzen.  

Wie können Sie die NIS2-Richtlinie umsetzen? 

Analysieren Sie, ob Ihr Unternehmen von der neuen Richtlinie betroffen ist und wenn ja, in welche Kategorie Ihr Unternehmen fällt:  

  • Führen Sie eine Cybersicherheitsbewertung durch, um Lücken in der Sicherheitslage und den Cybersicherheitsmaßnahmen Ihres Unternehmens zu ermitteln. Identifizieren Sie Schwachstellen und erstellen Sie einen Fahrplan, um die Lücken zu schließen.  
  • Formulieren Sie Sicherheitsrichtlinien, die Cybersicherheitsanforderungen und die Meldung von Sicherheitsvorfällen bzw. -verletzungen festlege.  
  • Führen Sie Audits durch, um die Bereitschaft der Systeme zu überprüfen und sich auf das Krisenmanagement vorzubereiten.  
  • Prüfen Sie, ob Anbieter und Drittparteien ein Sicherheitsbewusstsein haben und die Sicherheitsanforderungen erfüllen.   

Die Einhaltung der NIS2-Richtlinie bedeutet nicht, dass Sie eine umfassende Überarbeitung vornehmen müssen. Wenn Sie bereits über gute Sicherheitsmaßnahmen verfügen, ist die Wahrscheinlichkeit groß, dass nur wenige Anpassungen notwendig sind.  

Machen Sie sich bereit für Oktober 2024 

Für Unternehmen, die verstehen wollen, wie sich die NIS2-Richlinie auf sie auswirkt und welche Schritte sie unternehmen müssen, um ihre Netzwerksicherheit zu verbessern und ihre Informationssysteme zu schützen, haben wir einen Drei-Schritte-Plan entwickelt:   

  1. Beurteilen Sie Ihr Cybersicherheitsniveau in Bezug auf IT-Architektur, Cloud-Sicherheit, Secure Access Service Edge-Architektur, usw.  
  2. Erstellen Sie einen Fahrplan mit dem Ziel, ein höheres Sicherheitsniveau zu erreichen  
  3. Verbessern Sie Ihre Cyber-Resilienz und Compliance  

Sie können uns gerne jederzeit kontaktieren.

Whitepaper: Die neue NIS-2-Richtlinie

Welche Unternehmen sind von der neuen NIS-Richtlinie betroffen und welche Pflichten kommen auf sie zu? 

Zur Person
Dheeraj Rawal

Dheeraj Rawal

Content Marketer, T-Systems International GmbH

Profil und alle Artikel ansehen

Schlägt Ihr Herz schon „Grün“? 

Die neue Ausgabe der Future Practice.

Das könnte Sie auch interessieren

Besuchen Sie t-systems.com außerhalb von Germany? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.