Ab Oktober 2024 verpflichtend

NIS2-Richtlinie verlangt mehr Cybersicherheit – viele Unternehmen betroffen

Für viele Unternehmen in Deutschland und Europa drängt jetzt die Zeit: Die europäische Richtlinie für Cybersecurity NIS2 verlangt, dass sie sich als Teil internationaler Lieferketten bis Ende 2024 nachweisbar und verpflichtend besser gegen IT-Angriffe schützen.

Bei Nicht-Einhaltung bzw. Nicht-Umsetzung der umfangreichen geforderten Maßnahmen drohen empfindliche Strafen und Sanktionen. LHIND berät und unterstützt betroffene Betriebe bei der Implementierung aller erforderlichen Maßnahmen für eine NIS2-Konformität.

Definition: Was ist die NIS2-Richtlinie?

Die europäische Sicherheitsrichtlinie NIS2 (Netzwerk- und Informationssicherheit) ersetzt die ursprüngliche Richtlinie NIS aus dem Jahr 2016 und erweitert diese um strengere Sicherheitsanforderungen, zusätzliche Branchen bzw. Sektoren und eine höhere Zahl betroffener Betriebe.

Diese müssen sich nach NIS2 als Teil internationaler Lieferketten bis Ende 2024 besser gegen IT-Angriffe schützen: Bereits bis zum 17. Oktober 2024 ist die NIS2-Richtlinie von den einzelnen EU-Mitgliedstaaten in nationales Recht umzuwandeln. Ab dem 18. Oktober 2024 sind betroffene Betriebe sofort verpflichtet, sich bei der zuständigen nationalen Behörde zu registrieren, Vorfälle zu melden und die Einhaltung der Sicherheitsanforderungen zu gewährleisten.

Der Nachweis der Compliance muss regelmäßig erbracht werden. Andernfalls drohen empfindliche Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes – je nach Einstufung und Kritikalität der Unternehmen.

Lassen Sie es nicht so weit kommen – LHIND hilft Ihnen beim Etablieren eines NIS2-konformen Risikomanagements für mehr Cybersicherheit!

 

Jetzt Beratung anfordern

Wie unterstützt LHIND Unternehmen bei der Vorbereitung auf NIS2?

Unsere IT-Sicherheitsexperten beraten Sie in allen relevanten Fragen rund um NIS2 und helfen Ihnen, sich optimal auf die neuen Anforderungen vorzubereiten. Wir verfügen über jahrelange Erfahrung in der Begleitung von Unternehmen aus dem KRITIS-Bereich und stehen Ihnen gern als erfahrener und zuverlässiger Partner zur Seite.

NIS2-Assessment: Identifizierung von Optimierungsbedarf und Reifegrad

Optimal zur Feststellung von NIS2-Reifegrad und Bedarf

Sie haben noch keinen genauen Überblick, wo Sie für NIS2 bereits gut aufgestellt sind und was noch zu tun ist?

Starten Sie zum Auftakt mit unserem Assessment. So erhalten Sie Transparenz und einen Überblick über Ihre Optimierungsbedarfe.

 

Jetzt unverbindlich Assessment anfragen

Vor dem Hintergrund der NIS2-Anforderungen überprüfen wir für Sie:

  • Ihr IT-Risiko-Management,
  • ihr Informationssicherheitsmanagementsystem (ISMS),
  • ihren Umgang mit Sicherheitsvorfällen,
  • ihr Backup-, Notfall- und Krisenmanagement,
  • die Sicherheit in Ihrer Lieferkette,
  • den Erwerb, die Entwicklung und Wartung von Ihren IT-Systemen und -Anwendungen,
  • die Vollständigkeit und Wirksamkeit Ihrer Schulungs- & Awareness-Maßnahmen,
  • die Angemessenheit Ihrer Zugriffs- und Zutrittskontrollen und
  • den richtigen Einsatz von Authentifizierungstechnologien in Ihrem Unternehmen.

Darüber hinaus bieten wir Ihnen:

  • Implementierung und Überprüfung notwendiger Maßnahmen wie Aufbau und Optimierung des Risikomanagements, der Berichts- und Meldewege, des Incident Managements, des Business Continuity Managements, des Lieferanten- und Kundenmanagements und weiteres
  • Prüfung der Maßnahmen-Umsetzung gemäß den Anforderungen des Gesetzes
  • Durchführung von Penetrationstests zur Detektion von akuten technischen Schwachstellen (optional)

  • Standardkonforme Beratung zum Aufbau von IT-Risikomanagement- und ISMS-Strukturen sowie Implementierung
  • Unabhängige Auditierung von IT-Risikomanagement und ISMS

  • Aufbau von leistungsfähigen Detektions- und Reaktions-Prozessen
  • Unterstützung bei der Vorfallsbehandlung

  • Aufbau von Regelungen und technischen Strukturen
  • Simulation und Übung des Ernstfalls

  • Identifikation von Informationsflüssen und Datenklassifikation
  • Abstimmung von übergreifenden Sicherheitsanforderungen
  • Absicherung von fachlichen und technischen Schnittstellen

  • Aufbau und Steuerung des Providermanagements
  • Überführung von Systemen in leistungsfähige Plattformen

  • Schulungen für das Management
  • Sensibilisierung und Training der Mitarbeitenden
  • Messung und Optimierung des Awareness-Niveaus

  • Fachliche und technische Beratung zu Lösungsoptionen
  • Implementierung von logischen und physischen Lösungsmöglichkeiten

  • Absicherung von Sprach-, Video- und Textkommunikation
  • Aufbau von Notfallkommunikationssystemen

Warum LHIND als Partner für NIS2?

Wir stehen Ihnen als kompetenter und zuverlässiger Partner zur Seite. Was uns ausmacht:

  • Langjährige Erfahrung im IT-Security- und Informationssicherheits-Bereich und in der Beratung von (KRITIS-)Unternehmen
  • Expertise in Datenschutz, Compliance, Informationssicherheit, sowie im technischem IT-Bereich
  • Tiefes Branchen-Know-how aus unterschiedlichen Kundensituationen für optimale Lösungen
  • Maßgeschneiderte Lösungen für Ihren individuellen Bedarf
  • Schnelle und individuelle Anpassung an Ihre Bedürfnisse sowie umfassende Flexibilität
  • Qualifizierte Rundum-Betreuung von der Analyse bis zur Umsetzung und Qualitätskontrolle
  • Umfassendes Leistungspaket unabhängig von der Unternehmensgröße

 

Für welche Unternehmen ist die NIS2-Richtlinie verpflichtend?
Ist auch Ihr Unternehmen betroffen?

Die EU NIS2-Direktive überarbeitet und ersetzt die bisherige NIS-Direktive von 2016. Sie definiert deutlich mehr Betroffenheit, Pflichten und Aufsicht in der EU. In der NIS2-Richtlinie der EU sind elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren bzw. Branchen aufgelistet, die von den neuen Regelungen betroffen sind.

Wesentliche Einrichtungen (Essential) Wichtige Einrichtungen (Important)
  • Energie (Elektrizität, Fernwärme/-kälte, Erdöl, Erdgas, Wasserstoff)
  • Verkehr (Luftverkehr; Schienenverkehr, Schifffahrt, Straßenverkehr)
  • Bankwesen (Kreditinstitute)
  • Finanzmarktinfrastrukturen (Handelsplätze, zentrale Gegenparteien)
  • Gesundheit (Gesundheitsdienstleister, EU-Labore, F&E, Pharma, Medizingeräte)
  • Trinkwasser (Wasserversorgung)
  • Abwasser (Abwasserentsorgung)
  • Digitale Infrastruktur (Internet-Knoten (IXP), DNS, TLD Registries, Cloud Provider, Rechenzentren, Inhaltszustellnetze, Vertrauensdiensteanbieter, Öffentliche und öffentlich zugängliche elektronische Kommunikationsnetze)
  • IKT-Dienste (Managed Service Provider, Sicherheitsdienste)
  • öffentliche Verwaltung (Zentralregierungen, Verwaltungen auf regionaler Ebene)
  • Weltraum (Bodeninfrastrukturen)
  • Post- und Kurierdienste
  • Abfall (Abfallbewirtschaftung)
  • Chemie (Produktion, Herstellung und Handel)
  • Lebensmittel/Ernährung (Produktion, Verarbeitung und Vertrieb)
  • Industrie/Produktion (Medizinprodukte und In-vitro, DV, Elektronik, Optik, elektrische Ausrüstungen, Maschinenbau, Fahrzeugbau und Teile)
  • Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung (Forschungseinrichtungen)
Geldstrafen bei Verstößen: Höchstbetrag von mind. 10 Mio. EUR oder 2 % des weltweiten Umsatzes Geldstrafen bei Verstößen: Höchstbetrag von mind. 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes

 

Unternehmensgröße und Finanzzahlen auch relevant für NIS2-Betroffenheit

Die Betroffenheit richtet sich aber nicht nur nach Sektorenzugehörigkeit, sondern auch nach Unternehmensgröße. Mit der NIS2-Richtlinie der EU wird u.a. in die sogenannte „size-cap“-Regel eingeführt. Unternehmen, die mindestens mittelgroß sind und unter die speziellen Sektoren fallen, unterliegen der NIS2.

Unternehmen Mitarbeiter   Umsatz   Bilanz
Mittel 50-249 und < 50 Mio. EUR und/oder < 43 Mio. EUR
Groß ≥ 250 und ≥ 50 Mio. EUR und/oder ≥ 43 Mio. EUR


Bestimmte Ausnahmen gelten unabhängig von der Größe und des Umsatzes eines Unternehmens, wenn dieses

  • eine kritische Tätigkeit ausübt
  • Auswirkungen auf die öffentliche Ordnung nimmt
  • oder Systemrisiken sowie grenzüberschreitende Auswirkungen bestehen

Gleichermaßen kann ein Unternehmen bei gewissen Ausnahmen auch gänzlich von der NIS2-Richtlinie ausgenommen sein.

 

Roadmap für die Umsetzung der NIS2-Richtlinie in Deutschland

Wie die Regelungen in der deutschen NIS2-Umsetzung ganz genau aussehen werden, ist noch nicht final beschlossen. Im derzeitigen Entwurf gibt es leichte Unterschiede bei den Sektoren und auch bezüglich der Unternehmensgrößen und Umsatz-/Bilanzgrenzen. Auch Klein-Unternehmen mit unter 50 Mitarbeitenden können in Deutschland teilweise betroffen sein. Im März 2024 dürfte es Klarheit geben, ab 18. Oktober 2024 müssen dann alle Maßnahmen stehen und die Regeln eingehalten werden.

Starten Sie jetzt mit den NIS2-Vorbereitungen, die Zeit ist bereits knapp.

NIS2-Richtlinie: Roadmap vom europäischen ins deutsche Recht
NIS2-Richtlinie: Roadmap vom europäischen ins deutsche Recht
  • 27.12.2022: Veröffentlichung der europäischen NIS2-Richtline im EU-Amtsblatt
  • 16.01.2023: Inkrafttreten der europäischen NIS2-Richtline
  • April + Juli 2023: erster + zweiter deutscher Referentenentwurf NIS2
  • 27.09.2023: dritter deutscher Entwurf (Diskussionspapier zum Dialog mit der Wirtschaft/ Verbändeabstimmung) NIS2
  • Ca. März 2024: Verkündung NIS2UmsuCG (IT-Sicherheitsgesetz 3.0); das deutsche NIS2-Umsetzungsgesetz
  • Spätestens 17.10.2024: Umwandlung der europäischen NIS2-Richtlinie in deutsches Recht abgeschlossen
  • 18.10.2024: NIS2UmsuCG (deutsches NIS2-Umsetzungsgesetz) in Kraft, Unternehmen müssen sich an die Vorschriften halten

Welche Anforderungen stellt die Richtlinie NIS2 an betroffene Unternehmen?

Sofern Ihr Unternehmen die genannten Kriterien erfüllt, ergeben sich durch NIS2 eine Reihe an Pflichten, darunter die Registrierung bei der zuständigen Behörde im eigenen Mitgliedsstaat, die Meldung von erheblichen Sicherheitsvorfällen – also Vorfälle, die eine schwerwiegende Betriebsstörung nach sich ziehen können. Zudem fordert die NIS2-Richtlinie technische und organisatorische Maßnahmen (TOM) gemäß dem Stand der Technik: Unternehmen und Behörden müssen demnach die aktuellen technologischen Entwicklungen berücksichtigen und der individuellen Gefährdungslage angemessene Sicherheitsvorkehrungen treffen. Hinzu kommen regelmäßige Compliance-Nachweise. Die größte Umstellung für Firmen dürften jedoch die zusätzlichen Sicherheitsanforderungen durch NIS2 mit sich bringen.

 Maßnahmen zur Einhaltung der NIS2-Richtlinie und Umsetzung

Die von Betreibern und Einrichtungen umzusetzenden Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen, der IT, Komponenten, Prozesse und Umwelt dieser Systeme vor Sicherheitsvorfällen schützt. Es ist also nicht ausreichend, nur Cyberangriffe zu berücksichtigen. Vielmehr ist allen Arten von Vorfällen vorzubeugen, die die eigene IT-Umgebung und damit die Erbringung der wesentlichen Dienstleistung beeinträchtigen könnten. Wesentliche und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame Maßnahmen ergreifen, um IT und Prozesse ihrer Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. Der erweiterte Anwendungsbereich der NIS2 bedeutet, dass viele Organisationen umfassendere Netzüberwachungs- und Sicherheitsmaßnahmen als bisher umsetzen müssen.

NIS2-konformes Risikomanagement

Die durch die NIS2-Richtlinie definierten Mindestanforderungen an ein Risikomanagement sind

  • Risikoanalysen und Policies
    Richtlinien für Risiken und Informationssicherheit
  • Incident Management
    Prävention, Detektion und Bewältigung von Cyber Incidents
  • Business Continuity
    Business Continuity Management (BCM) mit Backup Management, Disaster-Recovery und Krisenmanagement
  • Supply Chain
    Sicherheit in der Lieferkette — Umgang mit Geschäftspartnern und Dienstleistern bis zur sicheren Entwicklung bei Zulieferern
  • Einkauf & Wartung
    Sicherheit in der Beschaffung, Entwicklung und Wartung von IT und Netzwerk-Systemen inkl. Schwachstellenmanagement und Offenlegung
  • Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
    Konzepte und Verfahren
  • Grundlegende Cyberhygiene und Schulungen für Mitarbeitende
  • Kryptografie und Verschlüsselung von Daten
  • Personelle Sicherheit
    Konzepte für Zugriffskontrolle, Management von Anlagen
  • Sichere Authentifizierung und Kommunikation
    Multi-Faktor- oder kontinuierliche Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation, ggf. gesicherte Notfallkommunikationssysteme

IT-Sicherheit in der Lieferkette gemäß NIS2

Ein wesentlicher Bestandteil der Vorgaben zur Cybersecurity betrifft die Sicherheit in der Lieferkette, also den Umgang mit Geschäftspartnern und Dienstleistern sowie die Sicherheitsmaßnahmen beim Erwerb und der Entwicklung von Informationssystemen.

Die in der NIS2-Richtlinie erfassten und somit regulierten Unternehmen sind angehalten, neben eigenen Informationssystemen auch die Zusammenarbeit mit Partnerunternehmen und Dienstleistern angemessen abzusichern und Sicherheitsanforderungen in die vertraglichen Vereinbarungen einzubeziehen.

Die EU reagiert mit den strengeren Vorgaben an Cyber-Sicherheit in der Lieferkette auf die akute Bedrohung durch Supply-Chain-Angriffe, bei denen böswillige Akteure durch die Kompromittierung eines Zulieferers Zugang zum Netzwerk von Kunden und Partnern erlangen.

Einhaltung der Meldepflicht und Fristen

 In der NIS2-Richtlinie sind Meldepflichten für Sicherheitsvorfälle definiert, die die betroffenen Unternehmen einhalten müssen. Hierfür dürften in den meisten Fällen neue Prozesse und Verfahren zu entwickeln und zu etablieren sein, um die Einhaltung der Vorschriften zu gewährleisten.

  • innerhalb von 24 Stunden: Meldung des Vorfalls
  • bis 72 Stunden: Bewertung/Bericht der Indicators of Compromise
  • bis 1 Monat: Abschlussbericht

Die strengeren Sicherheitsanforderungen im Rahmen von NIS2 sowie die Notwendigkeit, Vorfälle an die nationalen Behörden zu melden, dürften für viele Unternehmen und Betriebe einen zusätzlichen und nicht zu unterschätzenden Verwaltungsaufwand bedeuten.

FAQ: Wichtige Fragen zur NIS2-Richtlinie

Die NIS2-Richtlinie (EU NIS2-Richtlinie) ist eine überarbeitete Version der bestehenden Richtlinie über Netz- und Informationssicherheit (NIS1). 2016 führte die EU diese erste Cybersecurity-Richtlinie ein –als Reaktion auf die zunehmende Bedrohungslage und die gestiegenen Anforderungen an die IT-Sicherheit in Europa. NIS1 enthält auch verbindliche Vorgaben zum Schutz der Systeme von sogenannten KRITIS-Unternehmen, also Unternehmen, welche als „Betreiber kritischer Infrastrukturen“ agieren. NIS2 definiert weitere Kriterien zur Identifizierung von Betreibern kritischer Infrastrukturen und legt umfassendere Cybersecurity-Mindeststandards und -Pflichten in der EU fest.

Allgemein sollen durch die NIS-Richtlinien der EU wichtige Branchen und Dienstleistungen vor Gefahren im Internet, wie etwa Hackerangriffen, geschützt werden. Das regulatorische Ziel der neuen Richtlinie ist die Vertiefung und inhaltliche Erweiterung der Anforderung an die Cybersicherheit von Unternehmen und Lieferketten. Durch NIS2 soll die Resilienz und Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessert werden. Mit NIS2 sollen auch kleinere Unternehmen und aus weiteren Branchen zur Umsetzung weiterer Informationssicherheitsmaßnahmen angehalten werden. In diesem Zusammenhang müssen Einrichtungen, welche die in der Richtlinie definierten Schwellenwerte erfüllen, bestimmte gesetzliche Anforderungen erfüllen.

NIS2 ist am 16.01.2023 offiziell in Kraft getreten.

Bevor die Richtlinie aktiv wird, muss sie allerdings von den Mitgliedsstaaten der EU in nationales Recht übertragen werden. Das deutsche NIS-Umsetzungsgesetz soll ca. im März 2024 verkündet werden. Die einzelnen Länder haben bis zum 17. Oktober 2024 Zeit, um ein entsprechendes NIS2-Gesetz zu erlassen.

Da keine Übergangsfrist vorgesehen ist, sind betroffene Betriebe somit ab dem 18. Oktober 2024 verpflichtet, die neuen Regelungen einzuhalten. Also, sich bei der zuständigen nationalen Behörde zu registrieren, Vorfälle zu melden und die Einhaltung der Sicherheitsanforderungen zu gewährleisten. Der Nachweis der Compliance durch eine entsprechende Zertifizierung oder einen Sicherheitsaudit muss im Anschluss regelmäßig erbracht werden.

Die Betroffenheit richtet sich nach 2 Kriterien: der Sektorenzugehörigkeit und der Unternehmensgröße sowie Finanzzahlen.

Betroffen sind Unternehmen aus den Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienste, öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfall, Chemie, Lebensmittel/Ernährung, Industrie/Produktion, Digitale Dienste und Forschung.

Unternehmen Mitarbeiter   Umsatz   Bilanz
Mittel 50-249 und < 50 Mio. EUR und/oder < 43 Mio. EUR
Groß ≥  250 und ≥ 50 Mio. EUR und/oder ≥ 43 Mio. EUR

Bestimmte Ausnahmen können unabhängig von der Größe und des Umsatzes eines Unternehmens gelten, wenn dieses

  • eine kritische Tätigkeit ausübt
  • Auswirkungen auf die öffentliche Ordnung nimmt
  • oder Systemrisiken sowie grenzüberschreitende Auswirkungen bestehen

Gleichermaßen kann ein Unternehmen bei gewissen Ausnahmen auch gänzlich von der NIS-2-Richtlinie ausgenommen sein.

Sofern Ihr Unternehmen die genannten Kriterien erfüllt, ergeben sich durch NIS2 eine Reihe an Pflichten und Vorgaben:

  • Registrierung bei der zuständigen Behörde im eigenen Mitgliedsstaat
  • Weitergabe von Kontaktdaten und die Meldung von erheblichen Sicherheitsvorfällen
  • Technische und organisatorische Maßnahmen (TOM) gemäß dem Stand der Technik
  • Maßnahmen auf Grundlage eines gefahrenübergreifenden Ansatzes, der IT, Komponenten, Prozesse und Umwelt dieser Systeme vor Sicherheitsvorfällen schützt
  • Gewährleistung der Sicherheit in der Lieferkette
  • Risikoanalysen und Policies
    Richtlinien für Risiken und Informationssicherheit
  • Incident Management
    Prävention, Detektion und Bewältigung von Cyber Incidents
  • Business Continuity
    Business Continuity Management (BCM) mit Backup Management, Disaster-Recovery und Krisenmanagement
  • Supply Chain
    Sicherheit in der Lieferkette — Umgang mit Geschäftspartnern und Dienstleistern bis zur sicheren Entwicklung bei Zulieferern
  • Einkauf & Wartung
    Sicherheit in der Beschaffung, Entwicklung und Wartung von IT und Netzwerk-Systemen inkl. Schwachstellenmanagement und Offenlegung 
  • Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
    Konzepte und Verfahren
  • Grundlegende Cyberhygiene und Schulungen für Mitarbeitende
  • Kryptografie und Verschlüsselung von Daten
  • Personelle Sicherheit
    Konzepte für Zugriffskontrolle, Management von Anlagen
  • Sichere Authentifizierung und Kommunikation
    Multi-Faktor- oder kontinuierliche Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation, ggf. gesicherte Notfallkommunikationssysteme

Bei Nichteinhaltung der in der NIS2-Richtlinie definierten Vorgaben und Pflichten drohen Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes.

Setzen Sie bei der Umsetzung von NIS2 auf Kompetenz und Erfahrung von LHIND

Als Spezialist für IT-Beratung, Systemintegration und innovative Technologien verfügen wir in den Bereichen IT-Security, Informationssicherheit, Datenschutz und Compliance über jahrelange Erfahrung und tiefgreifende Expertise. In unserem Kundenstamm sind diverse Unternehmen aus besonders sicherheitsrelevanten Branchen (KRITIS), die spezielle Anforderungen an ihre IT-Sicherheit haben.
Gern beraten wir auch Sie und setzen für Sie Lösungen in komplexen Umgebungen und auf dem neuesten Stand der Technik und Sicherheit um.

Unsere hochqualifizierten IT-Expert:innen verfügen über ein tiefgehendes Verständnis von und Erfahrung in vielen Branchen. So bringen sie auch das benötigte Know-how für erforderliche Prozessanalysen und passgenaue Lösungen mit. Auf dieser Grundlage beraten und begleiten wir Sie gern dabei, die Anforderungen der NIS2-Richtlinie passgenau auf Ihr Unternehmen anzuwenden, setzen entsprechende Maßnahmen für Sie um, implementieren Prozesse und Lösungen. Alles, damit Sie sicher und nachhaltig aufgestellt sind.

Stellen Sie uns Ihre Fragen zur NIS2-Richtlinie und starten Sie noch heute damit, Ihr Unternehmen NIS-konform aufzustellen!
Wir freuen uns auf Ihre Kontaktaufnahme.

captcha