Heute sprechen wir über die NIS-2, was das eigentlich ist, wofür sie da ist und was das für Unternehmen bedeutet.
Als ob es neben Ransomware- Angriffen, Social-Engineering- Attacken, Phishing usw. nicht schon genügend Bedrohungen im Cyberraum gibt, kommen nun auch noch KI-Cyberangriffe dazu. Und dann sollen wir uns bei dem Personalmangel auch noch um behördliche Regularien kümmern!?
Inhalt
- Was ist die NIS-2
- Welche Unternehmen sind betroffen?
- Unsere Einschätzung
- Ausblick auf weitere Themen
Was ist die NIS-2
Kurze Antwort: Ziel ist die Erhöhung des allgemeine Cybersicherheitsniveaus in der EU. Die NIS-2-Richtlinie ist eine Weiterentwicklung der NIS(1)-Richtlinie der EU von 2016. Es werden strengere Sicherheitsstands für einen größeren Kreis von Unternehmen vorgeschrieben. Sie soll im Oktober beschlossen werden und gilt sofort ohne Übergangsfristen.
Ausführlich: Die 2016 eingeführten Cybersicherheitsvorschriften der EU in NIS(1) wurden durch die 2023 in Kraft getretene NIS-2-Richtlinie aktualisiert. Die Richtlinie modernisiert den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und der sich entwickelnden Bedrohungslandschaft für Cybersicherheit Schritt zu halten. Durch die Ausweitung der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen soll die Widerstandsfähigkeit und Reaktionskapazität öffentlicher und privater Stellen verbessert werden.
Die NIS-2 ist bisher nur eine EU- Richtlinie und noch kein Gesetz. Für die Umsetzung des Gesetzes sind die EU-Mitgliedsstaaten verantwortlich. In Deutschland soll das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ mit der mit der typisch deutschen Abkürzung: NIS2UmsuCG bis Oktober beschlossen werden. Im Gegensatz zur DSGVO sind keine Fristen, bis wann die Maßnahmen umgesetzt werden müssen, vorgesehen. Die NIS-2 soll also sofort gelten.
Welche Unternehmen sind betroffen?
Wie so oft im Unternehmensumfeld müssen mehrere Punkte untersucht werden, um herauszufinden on das eigene Unternehmen betroffen ist.
Zunächst sollte geprüft werden, welche Zielgruppe immer betroffen ist.
- Einrichtungen der öffentlichen Verwaltung, Anbieter von öffentlichen elektronischen Kommunikationsnetzen, von öffentlich zugänglichen elektronischen Kommunikationsdiensten, (qualifizierte) Vertrauensdienstleister (das sind Anbieter von Zertifikaten), Top Level Domain Name Registry und DNS-Dienstanbieter.
- Kritische Einrichtungen gemäß Critical Entities Resilience Richtlinie (CER), BSI-Gesetz, Kritische Infrastrukturen (KRITIS) DachG und wesentliche Einrichtungen gemäß NIS-1.
Fällt ein Unternehmen darunter, muss die Maßnahmen zu NIS-2 immer eingehalten werden.
Anschließend gibt es größenabhängige Kriterien:
Wichtige Einrichtungen:
Unternehmen mit mehr als 50 Mitarbeitern ODER einem Jahresumsatz UND Jahresbilanzsumme von jeweils mehr als 10 Mio. Euro, aus den gelisteten Sektoren in Anlage I und Anlage II.
Wesentliche Einrichtungen:
Unternehmen mit mehr als 250 Mitarbeitern ODER mehr als 50 Mio. Euro Jahresumsatz UND mehr als 43 Mio. Euro Jahresbilanzsumme, aus den gelisteten Sektoren in Anlage I.
Das ist leider noch nicht alles.
Im Zusammenhang mit den Kriterien bei Mutter- und Tochtergesellschaften oder Konzernstrukturen ist Achtung geboten. Vielmehr müssen in bestimmten Verhältnissen auch die Kriterien von anderen Unternehmen berücksichtigt werden. Sind Partner- oder verbundene Unternehmen im Spiel, werden bei der Überprüfung der Kriterien nicht nur die Unternehmenskennzahlen des eigentlichen Unternehmens herangezogen, sondern auch die Unternehmenskennzahlen aller Partner- bzw. verbundenen Unternehmen.
Zur Richtlinie im PDF Format inklusive Anhang I und II
Unsere Einschätzung
Nun, unser Meinung nach sollten wir die NIS-2- Richtlinie nicht als lästiges Gesetz wahrnehmen, sondern als Hilfsmittel ansehen ähnlich wie die ISO 27001 oder den BSI-Grundschutz. Allerdings werden betroffene Unternehmen jetzt gezwungen das kommende NIS-2 Gesetz umzusetzen. Zudem könnte im Zusammenhang mit einer zukünftigen NIS-3 der Kreis von Unternehmen noch einmal deutlich anwachsen.
Jedes Unternehmen sollte sich die Frage stellen, was es tun kann, um die Sicherheit im Bereich der eigenen IT zu verbessern, schließlich sollte die Frage nicht lauten, ob mein Unternehmen angegriffen wird, sondern wann mein Unternehmen angegriffen wird. Es ist hat noch nie geschadet, im Vorfeld einen Notfallplan zu entwerfen, um im Ernstfall danach zu handeln. Stichwort Business Continuity.
Ausblick auf weitere Themen
Wir möchten noch mehr über dieses Thema sprechen:
- Die Verantwortung des Managements und Strafen bei Nichteinhaltung
- Organisatorische Maßnahmen
- ISMS Prinzipien und Fragen zur Selbsteinschätzung
- Technische Maßnahmen
Find us on social media as well!
