TL;DR

NIS2 ist das neue EU-Cyber-Gesetz für kritische Sektoren - größerer Geltungsbereich, strengere Regeln. Erfordert grundlegende Sicherheit (Patches, Lieferkette, Zugangskontrolle), schnelle Meldung von Vorfällen (24 Stunden) und Rechenschaftspflicht auf Führungsebene.

Wenn Sie ein "wesentliches" oder "wichtiges" Unternehmen in der EU sind, ist compliance bis Oktober 2024 unverhandelbar. Geldbußen bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes.

Zusammenfassung der NIS2-Richtlinie Scorecard:

• Entwickelnde Aufwand: Mäßig (Erfordert die Implementierung spezifischer technischer Kontrollen, sicherer SDLC-Praktiken mit Schwerpunkt auf dem Umgang mit Schwachstellen und der Sicherheit der Lieferkette sowie die Unterstützung der schnellen Erkennung/Berichterstattung von Vorfällen).
• Kosten für Werkzeuge: Mäßig bis hoch (abhängig vom Reifegrad der Ausgangssituation; kann Investitionen in Risikomanagement-Tools, verbesserte Überwachung/Protokollierung, Schwachstellenmanagement, MFA, Verschlüsselung, Sicherheitstools für die Lieferkette erfordern).
• Auswirkungen auf den Markt: Sehr hoch (verpflichtend für ein breites Spektrum von in der EU tätigen Unternehmen; legt die Messlatte für die Erwartungen an die Cybersicherheit und deren Durchsetzung deutlich höher).
• Flexibel: Mäßig (schreibt Mindestsicherheitsmaßnahmen vor, lässt aber Verhältnismäßigkeit je nach Risiko und Größe/Kritikalität der Einrichtung zu).
• Intensität der Prüfung: Hoch (Die nationalen Behörden werden die Einhaltung der Vorschriften überwachen und durchsetzen; dies beinhaltet potenzielle Prüfungen, Inspektionen und Nachweise der compliance, insbesondere bei wichtigen Einrichtungen).

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist ein EU-weites Gesetz zur Cybersicherheit, das die ursprüngliche Richtlinie zur Netz- und Informationssicherheit (NIS) von 2016 aufhebt und ersetzt. Ihr Ziel ist es, ein höheres gemeinsames Niveau der Cybersicherheit in den EU-Mitgliedstaaten zu erreichen. Sie behebt die Unzulänglichkeiten der ersten NIS-Richtlinie, indem sie ihren Anwendungsbereich ausweitet, die Anforderungen präzisiert, die Sicherheitsverpflichtungen verschärft und strengere Aufsichts- und Durchsetzungsmaßnahmen einführt.

Die wichtigsten Aspekte der NIS2-Richtlinie:

• Erweiterter Geltungsbereich: Deckt mehr Sektoren ab, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung sind. Es wird unterschieden zwischen:
  
  • Wesentliche Einrichtungen (Anhang I): Dazu gehören Sektoren wie Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur (IXPs, DNS, TLD-Register, Cloud-Anbieter, Rechenzentren, CDNs, Vertrauensdienste), öffentliche Verwaltung und Raumfahrt.
  • Wichtige Unternehmen (Anhang II): Dazu gehören Post-/Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittelherstellung/-verarbeitung/-vertrieb, Fertigung (medizinische Geräte, Computer, Elektronik, Maschinen, Fahrzeuge), digitale Anbieter (Online-Marktplätze, Suchmaschinen, Plattformen für soziale Netzwerke) und Forschung.
  • Gilt im Allgemeinen für mittlere und große Unternehmen in diesen Sektoren, aber die Mitgliedstaaten können auch kleinere Unternehmen mit einem hohen Sicherheitsrisikoprofil einbeziehen.
• Strengere Sicherheitsanforderungen: Die Unternehmen müssen "geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen" ergreifen, um Cybersicherheitsrisiken zu bewältigen (Artikel 21). Dazu gehören mindestens 10 Maßnahmen in den Bereichen Risikoanalyse, Umgang mit Zwischenfällen, Geschäftskontinuität, Sicherheit der Lieferkette, Umgang mit Schwachstellen/Offenlegung, Tests, Kryptografie/Verschlüsselung, Personalsicherheit/Zugangskontrolle/Vermögensverwaltung und Verwendung von MFA/sichere Kommunikation.
• Verantwortlichkeit des Managements: Die Verantwortung für die Genehmigung, Beaufsichtigung und Schulung von Maßnahmen zum Management von Cybersicherheitsrisiken wird ausdrücklich den Führungsgremien übertragen. Die compliance kann zu einer persönlichen Haftung des Managements führen.
• Pflichten zur Meldung von Vorfällen: Einführung eines mehrstufigen Berichtswesens für bedeutende Vorfälle:
  
  • 24-Stunden-Frühwarnung an das zuständige CSIRT (Computer Security Incident Response Team) oder die zuständige Behörde.
  • 72-Stunden-Meldung eines Vorfalls mit einer ersten Bewertung.
  • Abschlussbericht innerhalb eines Monats.
• Sicherheit der Lieferkette: Verlangt von den Unternehmen, dass sie sich mit Cybersicherheitsrisiken in ihren Lieferketten und Beziehungen zu direkten Lieferanten/Anbietern befassen.
• Harmonisierung und Durchsetzung: Ziel ist eine einheitlichere Anwendung in allen Mitgliedstaaten, die Stärkung der Aufsichtsbefugnisse der nationalen Behörden und die Einführung erheblicher Bußgelder beicompliance.

Die Mitgliedstaaten müssen die NIS2 bis zum 17. Oktober 2024 in ihr nationales Recht umsetzen.

Warum ist sie wichtig?

Die NIS2 stellt einen wichtigen Schritt in der EU-Cybersicherheitsverordnung dar:

• Breitere Auswirkungen: Im Vergleich zur ursprünglichen NIS-Richtlinie ist ein viel breiteres Spektrum von Sektoren und Unternehmen betroffen, die in der EU tätig sind. Viele Technologieunternehmen (Cloud-Anbieter, Rechenzentren, digitale Anbieter) fallen direkt in den Anwendungsbereich.
• Höhere Sicherheitsgrundlagen: Schreibt eine Reihe konkreterer Mindestsicherheitsmaßnahmen vor, die den Cybersicherheitsstandard in allen betroffenen Sektoren erhöhen.
• Erhöhte Rechenschaftspflicht: Legt die direkte Verantwortung (und potenzielle Haftung) für die Überwachung der Cybersicherheit auf das Management.
• Schnellere Reaktion auf Vorfälle: Strenge Meldefristen zwingen Unternehmen zu einer schnelleren Erkennung und Reaktion.
• Schwerpunkt Lieferkette: Erkennen und Bewältigen der erheblichen Risiken, die von der Lieferkette ausgehen und die Unternehmen zwingen, über den eigenen Tellerrand hinauszuschauen.
• Stärkere Durchsetzung: Erhebliche Geldstrafen und Aufsichtsbefugnisse bedeuten, dass diecompliance voncompliance ernsthafte Konsequenzen hat.
• Grenzüberschreitende Konsistenz: Ziel ist es, die Fragmentierung der Cybersicherheitsanforderungen und der Aufsicht in der EU zu verringern.

Für wesentliche und wichtige Einrichtungen ist die compliance NIS2 nicht optional, sondern eine rechtliche Voraussetzung für die Tätigkeit auf dem EU-Markt.

Was und wie umsetzen (technisch und politisch)

Die Umsetzung der NIS2 erfordert einen strukturierten Ansatz mit Schwerpunkt auf dem Risikomanagement und den vorgeschriebenen Mindestsicherheitsmaßnahmen (Artikel 21):

1. Bestätigung des Anwendungsbereichs: Bestimmen Sie, ob Ihre Organisation unter den Geltungsbereich der "wesentlichen" oder "wichtigen" Einrichtungen fällt, basierend auf den in der Richtlinie und den nationalen Umsetzungen definierten Kriterien für Sektor und Größe.
2. Risikobewertung und -politik (Art. 21(2a)): Durchführung gründlicher Risikobewertungen zur Ermittlung von Bedrohungen für Netze und Informationssysteme. Entwicklung und Umsetzung entsprechender Sicherheitsrichtlinien für Informationssysteme.
3. Behandlung von Zwischenfällen (Artikel 21 Absatz 2b): Festlegung von Verfahren für die Erkennung, Analyse, Meldung (unter Einhaltung der Fristen 24 Stunden/72 Stunden/1 Monat) und Reaktion auf Cybersicherheitsvorfälle. Erfordert eine solide Überwachung und Protokollierung.
4. Geschäftskontinuität und Krisenmanagement (Art. 21(2c)): Entwicklung von Plänen für die Geschäftskontinuität (Backup-Management, Notfallwiederherstellung) und das Krisenmanagement, um die betriebliche Widerstandsfähigkeit während/nach größeren Zwischenfällen zu gewährleisten.
5. Sicherheit der Lieferkette (Art. 21(2d)): Bewertung und Behandlung von Risiken im Zusammenhang mit direkten Lieferanten und Dienstleistern (einschließlich CSPs). Umsetzung von Sicherheitsanforderungen in Lieferantenverträgen. Durchführung von Due-Diligence-Prüfungen.
6. Systemsicherheit und Umgang mit Schwachstellen (Art. 21(2e)): Umsetzung der Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz-/Informationssystemen. Einrichtung von Prozessen für den Umgang mit Schwachstellen und deren Offenlegung (z. B. Verwendung von Schwachstellen-Scannern, Patch-Management). Dies überschneidet sich stark mit sicheren SDLC-Praktiken (wie NIST SSDF).
7. Wirksamkeitstests (Artikel 21 Absatz 2f): Entwicklung von Strategien und Verfahren zur regelmäßigen Bewertung der Wirksamkeit der umgesetzten Maßnahmen zum Management von Cybersicherheitsrisiken (z. B. durch interne/externe Audits, Penetrationstests).
8. Cyber-Hygiene und Schulung (Artikel 21 Absatz 2g): Einführung grundlegender Praktiken der Cyber-Hygiene (sichere Passwörter, Patches) und regelmäßige Schulungen für alle Mitarbeiter zum Thema Cybersicherheit.
9. Kryptographie und Verschlüsselung (Art. 21(2h)): Festlegung und Umsetzung von Grundsätzen für den Einsatz von Kryptographie und Verschlüsselung, wo dies angebracht ist (z. B. für Daten im Ruhezustand und bei der Übertragung).
10. Personalsicherheit, Zugangskontrolle, Vermögensverwaltung (Art. 21(2i)): Einführung von Sicherheitsverfahren für das Personal (ggf. Zuverlässigkeitsüberprüfungen), strenge Zugangskontrollrichtlinien (geringstmögliche Rechte, RBAC) und sichere Führung eines Inventars/Verwaltung der Vermögenswerte.
11. Multi-Faktor-Authentifizierung (MFA) & sichere Kommunikation (Art. 21(2j)): Verwenden Sie gegebenenfalls MFA- oder kontinuierliche Authentifizierungslösungen, sichere Sprach-/Video-/Textkommunikation und sichere Notfallkommunikationssysteme.

Die Implementierung erfordert eine Kombination aus robusten technischen Kontrollen (Firewalls, IDS/IPS, EDR, SIEM, MFA, Verschlüsselung, Schwachstellen-Scanner, Patch-Management-Tools) und gut dokumentierten Richtlinien, Verfahren und Schulungsprogrammen.

Häufig zu vermeidende Fehler

Organisationen, die sich auf NIS2 vorbereiten, sollten diese Fallstricke vermeiden:

1. Unterschätzung des Anwendungsbereichs: Fälschliche Annahme, dass die NIS2 aufgrund des Sektors oder der Größe nicht anwendbar ist, oder Versäumnis, alle relevanten Geschäftseinheiten/Systeme innerhalb des Geltungsbereichs zu identifizieren.
2. Ignorieren des Risikos in der Lieferkette: Konzentration auf die interne Sicherheit und Vernachlässigung des Erfordernisses, die von direkten Lieferanten ausgehenden Risiken zu bewerten und zu bewältigen.
3. Unzureichende Fähigkeit zur Meldung von Vorfällen: Fehlende Überwachung, Erkennung, Analyse und interne Prozesse zur Einhaltung der strengen 24/72-Stunden-Meldefristen.
4. Mangelnde Beteiligung/Aufsicht des Managements: Behandlung von NIS2 als reines IT-/Sicherheitsproblem, ohne die Unternehmensleitung in die Genehmigung von Richtlinien, die Überwachung der Umsetzung und die erforderlichen Schulungen einzubeziehen.
5. Konzentration nur auf die Technologie: Vernachlässigung der in der Richtlinie geforderten entscheidenden Aspekte von Verfahren, Politik, Ausbildung und Verwaltung.
6. Unzureichende Dokumentation: Keine ordnungsgemäße Dokumentation von Risikobewertungen, Strategien, Verfahren, Umgang mit Vorfällen und Nachweisen für die Durchführung von Kontrollen für eine mögliche Überwachung durch nationale Behörden.
7. Zu langes Warten: Verzögerung der Vorbereitung bis zur Frist im Oktober 2024, Unterschätzung der Zeit, die für die Lückenanalyse, die Umsetzung und die Prozessänderungen benötigt wird (oft auf ~12 Monate geschätzt).

Was Prüfer/Behörden fragen könntenEntwickelnde Focus)

Zwar sind noch keine formellen Audits wie bei SOC 2 definiert, doch werden die nationalen Aufsichtsbehörden befugt sein, die compliance zu überprüfen. Fragen, die möglicherweise Auswirkungen auf Entwicklungsteams haben, könnten sich auf Folgendes beziehen:

• (Art. 21(2e)) Umgang mit Schwachstellen: "Wie sieht Ihr Verfahren zur Identifizierung, Bewertung und Behebung von Schwachstellen aus, die in Ihrer Software oder deren Abhängigkeiten entdeckt wurden? Weisen Sie nach, dass Sie kürzlich Patches installiert haben."
• (Art. 21(2e)) Sichere Entwicklung: "Wie stellen Sie sicher, dass die Sicherheit während des Lebenszyklus der Softwareentwicklung berücksichtigt wird? Können Sie sichere Kodierungspraktiken oder Sicherheitstests (SAST/SCA) nachweisen?"
• (Art. 21(2d)) Lieferkette (Abhängigkeiten): "Wie beurteilen Sie die Sicherheit von Open-Source-Bibliotheken oder Komponenten Dritter, die in Ihrer Software verwendet werden?"
• (Art. 21(2b)) Unterstützung bei der Behandlung von Zwischenfällen: "Wie unterstützt Ihre Anwendungsprotokollierung die Erkennung und Analyse von Sicherheitsvorfällen?"
• (Art. 21(2h)) Kryptographie: "Wo wird in Ihrer Anwendung Verschlüsselung eingesetzt (Daten bei der Übertragung, Daten im Ruhezustand)? Wie werden die Schlüssel verwaltet?"
• (Art. 21(2i)) Zugangskontrolle: "Wie wird der Zugang zu Entwicklungsumgebungen, Quellcode und Bereitstellungspipelines kontrolliert?"
• (Art. 21(2j)) Authentifizierung: "Wird MFA für den Zugang von Entwicklern zu kritischen Systemen oder Code-Repositories verwendet?"

Die Behörden werden nach Belegen für etablierte Prozesse, technische Kontrollen und Unterlagen suchen, die die Einhaltung der vorgeschriebenen Sicherheitsmaßnahmen belegen.

Quick Wins für Entwicklungsteams

Entwicklungsteams können zur NIS2-Bereitschaft beitragen, indem sie sich auf die Grundlagen konzentrieren:

1. Priorisieren Sie das Schwachstellenmanagement: Implementierung robuster SCA- und SAST-Scans in CI/CD-Pipelines und Festlegung klarer SLAs für die Behebung kritischer/schwerwiegender Schwachstellen. (In Übereinstimmung mit Art. 21(2e))
2. Verstärken Sie die CI/CD-Sicherheit: Sicherer Zugriff auf die Pipeline, Verwaltung von secrets und Scannen von Build-Artefakten. (Unterstützt mehrere Art. 21-Maßnahmen)
3. Verbessern Sie die Protokollierung: Sicherstellen, dass Anwendungen aussagekräftige Sicherheitsprotokolle erstellen und diese zentral weiterleiten, um die Erkennung von Zwischenfällen zu unterstützen. (In Übereinstimmung mit Art. 21(2b))
4. Durchsetzung von MFA: Sichern Sie den Zugriff von Entwicklern auf Code-Repositories, Cloud-Konsolen und CI/CD-Systeme mit MFA. (Im Einklang mit Art. 21(2j))
5. Abhängigkeiten überprüfen: Aktive Überprüfung und Verwaltung der Sicherheitslage von Bibliotheken Dritter. (In Übereinstimmung mit Art. 21(2d), 21(2e))
6. Grundlegende Schulung zur sicheren Kodierung: Auffrischung der Kenntnisse des Teams über häufige Schwachstellen (OWASP Top 10) und sichere Kodierungspraktiken. (In Übereinstimmung mit Art. 21(2g))

Ignorieren Sie dies und... (Folgen der Compliance)

Diecompliance NIS2 wird von den nationalen Behörden mit erheblichen Strafen geahndet:

• Hohe Geldstrafen:
  
  • Wesentliche Unternehmen: Bis zu 10 Mio. € oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
  • Wichtige Unternehmen: Bis zu 7 Mio. € oder 1,4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
• Korrekturanweisungen: Die Behörden können verbindliche Anweisungen zur Beseitigung von Mängeln erteilen.
• Audits und Inspektionen: Unternehmen, die die Vorschriften nicht einhalten, müssen mit verstärkter Kontrolle und obligatorischen Sicherheitsprüfungen rechnen.
• Aussetzung von Zertifizierungen/Zulassungen: In einigen Fällen können relevante Zertifizierungen oder Genehmigungen für den Betrieb ausgesetzt werden.
• Öffentliche Bekanntgabe: Die Behörden können nicht konforme Organisationen öffentlich benennen.
• Haftung des Managements: Die Mitglieder des Leitungsorgans können persönlich haftbar gemacht werden und bei grober Fahrlässigkeit mit einem vorübergehenden Verbot von Leitungsfunktionen rechnen.
• Schädigung des Rufs: Bußgelder und öffentliche Bekanntmachungen schaden dem Vertrauen der Kunden und dem Ruf der Marke erheblich.

FAQ

Wer muss die NIS2-Richtlinie einhalten?

Mittlere und große Organisationen, die innerhalb der EU in bestimmten Sektoren tätig sind, die in Anhang I ("Wesentliche Einrichtungen") und Anhang II ("Wichtige Einrichtungen") aufgeführt sind. Dazu gehören Bereiche wie Energie, Verkehr, Gesundheit, digitale Infrastruktur (Cloud-Anbieter, Rechenzentren, DNS usw.), digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke), Fertigung, Postdienste und mehr. Weitere Informationen finden Sie in der Richtlinie und den nationalen Umsetzungen.

Wann ist die Frist für die compliance NIS2?

Die EU-Mitgliedstaaten müssen bis zum 17. Oktober 2024 die erforderlichen Maßnahmen zur Einhaltung der NIS2-Richtlinie erlassen und veröffentlichen. Organisationen, die in den Anwendungsbereich fallen, müssen bis zum Inkrafttreten der nationalen Gesetze konform sein.

Was ist der Hauptunterschied zwischen NIS1 und NIS2?

Mit der NIS2 wird der Anwendungsbereich erheblich ausgeweitet (mehr Sektoren, obligatorisch für mittlere/große Unternehmen), es werden strengere Sicherheits- und Meldeanforderungen gestellt (einschließlich spezifischer Mindestmaßnahmen und enger Fristen), die Aufsicht und die Durchsetzung werden verschärft (höhere Geldstrafen, Haftung des Managements), und es wird eine bessere Harmonisierung zwischen den Mitgliedstaaten angestrebt.

Wie hängt NIS2 mit der Datenschutz-Grundverordnung zusammen?

Sie sind komplementär. Die Datenschutz-Grundverordnung konzentriert sich auf den Schutz personenbezogener Daten. NIS2 konzentriert sich auf die Cybersicherheit von Netzwerk- und Informationssystemen, die für die Bereitstellung wesentlicher/wichtiger Dienste (die häufig personenbezogene Daten verarbeiten) verwendet werden. Die Einhaltung der NIS2-Sicherheitsanforderungen trägt zum Schutz der Systeme bei, in denen Daten gespeichert sind, die unter die Datenschutz-Grundverordnung fallen. Bei der Meldung von NIS2-Verstößen liegt der Schwerpunkt auf der Unterbrechung von Diensten, während sich die DSGVO auf die Risiken für Einzelpersonen aufgrund von Verstößen gegen personenbezogene Daten konzentriert.

Wie verhält sich NIS2 zu DORA oder dem Cyber Resilience Act (CRA)?

Sie sind Teil der umfassenderen digitalen Strategie der EU und überschneiden sich oft, haben aber unterschiedliche Schwerpunkte:

• NIS2: Breit angelegte Cybersicherheitsgrundlagen für wesentliche/wichtige Sektoren.
• DORA: Spezifische Anforderungen an die digitale operationelle Resilienz für den Finanzsektor. DORA ist lex specialis, d. h. Finanzunternehmen befolgen DORA dort, wo sie sich mit NIS2 überschneiden.
• CRA: Konzentriert sich auf Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Hardware/Software), die während ihres gesamten Lebenszyklus auf den EU-Markt gebracht werden. Ihr Ziel ist es, zusammenzuarbeiten, um Sicherheitsebenen zu schaffen.

Gibt es eine NIS2-Zertifizierung?

Die Richtlinie fördert die Verwendung europäischer Zertifizierungssysteme für Cybersicherheit (auf der Grundlage des EU-Cybersicherheitsgesetzes), um die compliance nachzuweisen, schreibt aber kein spezifisches "NIS2-Zertifikat" vor. Die Compliance wird von den zuständigen nationalen Behörden überwacht und durchgesetzt.

Was ist ein "bedeutender Vorfall", der gemäß NIS2 gemeldet werden muss?

Ein Vorfall gilt als signifikant, wenn er:

a) eine schwerwiegende betriebliche Störung oder einen finanziellen Verlust für das betreffende Unternehmen verursacht oder verursachen kann;

b) andere natürliche oder juristische Personen beeinträchtigt oder beeinträchtigen kann, indem sie einen erheblichen materiellen oder immateriellen Schaden verursacht.

Die nationalen Behörden werden weitere Hinweise geben.