NIS2-Richtlinie für mehr Cybersicherheit

Datenschutz Verstehen – NIS2-Richtlinie für mehr Cybersicherheit

Kurze Einleitung

In einer zunehmend digitalen Welt sind Unternehmen und Organisationen stärker denn je auf ihre Informations- und Kommunikationstechnologie angewiesen. Mit der wachsenden Bedeutung dieser digitalen Technologien steigt auch das Risiko von Cyberangriffen und anderen Sicherheitsbedrohungen. In ganz Europa nehmen Cyberangriffe nicht nur zahlenmäßig zu, sondern werden auch immer komplexer. Die Europäische Union hat reagiert und die NIS2-Richtlinie eingeführt, um das Niveau der Cybersicherheit von Netz- und Informationssystemen in der EU zu erhöhen.

 

Was ist die NIS2-Richtlinie? 

Die NIS2-Richtlinie ist eine EU-Richtlinie für Cybersicherheit, die am 16.01.2023 in Kraft getreten ist. Die Mitgliedstaaten haben 21 Monate Zeit, also bis zum 17.10.2024, um die Richtlinie in nationales Recht umzusetzen. Sie löst die vorherige NIS-Richtlinie, die 2016 verabschiedet wurde, ab und stellt einen Rahmen für die Sicherheitsanforderungen für Netz- und Informationssysteme in der EU dar. Die EU NIS2-Direktive erweitert den Anwendungsbereich ihrer Vorgängerin, wodurch mehr Unternehmen tätig werden müssen und das Thema der Informationssicherheit verstärkt in den Fokus rückt.

 

Wen betrifft die NIS2-Richtlinie?

Die NIS2-Richtlinie gilt für Unternehmen, die als Betreiber kritischer Infrastrukturen eingestuft werden. Definiert sind achtzehn betroffene Sektoren, die unterteilt sind in Sektoren mit hoher Kritikalität und sonstige kritische Sektoren. Zu den elf Sektoren mit hoher Kritikalität („Essential-Sektoren“) gehören unter anderem die Energiebranche (Strom, Öl, Gas, Wärme, Wasserstoff), zudem Gesundheit, Transport und Banken. Diese Unternehmen werden als wesentlich für das Funktionieren von Gesellschaft und Wirtschaft angesehen. Zu den sieben sonstigen kritischen Sektoren („Important-Sektoren“) zählen unter anderem Post- und Kurierdienste, Ernährung, Industrie und Anbieter digitaler Dienste.

Um zu identifizieren, welche Unternehmen durch die NIS2-Richtlinie verpflichtet werden, wird die „size-cap rule“ verwendet. Demnach fallen nur mittlere und große Unternehmen der erfassten Sektoren unter die Richtlinie. Mittlere Unternehmen sind Unternehmen mit mindestens 50 Mitarbeitern und einem jährlichen Mindestumsatz von 10 Millionen Euro. Große Unternehmen haben mindestens 250 Mitarbeiter und einen jährlichen Mindestumsatz von 50 Millionen Euro. Unternehmen, die weniger als 50 Mitarbeiter haben oder weniger als 10 Millionen Euro Jahresumsatz machen, fallen nicht unter die NIS2-Richtlinie, auch wenn sie einem erfassten Sektor zugehörig sind.

 

Übersicht der betroffenen Sektoren

Essential-Sektoren

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastruktur
  • Gesundheitswesen
  • Trinkwesen
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten
  • Öffentliche Verwaltung
  • Weltraum

Important-Sektoren

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Stoffe
  • Lebensmittel
  • Verarbeitendes Gewerbe / Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschungseinrichtungen
 

Anforderungen aus der NIS2-Richtlinie an Unternehmen

Die Richtlinie zielt auf eine effektivere und engere Zusammenarbeit zwischen den Ländern und ein umfangreiches Risiko- und Vorfallmanagement ab. Um diese Ansprüche an die IT-Sicherheit zu erfüllen, müssen die betroffenen Unternehmen einige zentrale Anforderungen erfüllen. Dazu gehören zahlreiche Sicherheitsmaßnahmen, unter anderem in der Lieferkette und in der Beschaffung von IT- und Netzwerk-Systemen, da hier ein erhöhtes Risiko für den unbefugten Zugriff Dritter besteht. Unternehmen müssen technische und organisatorische Maßnahmen ergreifen, um ihre IT-Systeme zu schützen. Mitarbeiter müssen zudem regelmäßig geschult werden und es muss ein funktionsfähiges Risikomanagement mit umfangreichen Notfallplänen und einem effektiven Asset-Management etabliert werden. Entsprechende Prozesse müssen dokumentiert und Sicherheitsverletzungen innerhalb von 24 Stunden an die Aufsichtsbehörde gemeldet werden, gefolgt von einer Analyse des Vorfalls innerhalb der nächsten 72 Stunden. Bei der Umsetzung sollten Unternehmen einen All-Gefahren-Ansatz (all hazards approach) einsetzen, also alle denkbaren Gefahrenarten beim Risikomanagement berücksichtigen. Die Anforderungen sind ähnlich dem Standard der ISO 27001.

Datenschutz Preis berechnen
Mehr Vertrauen, weniger Risiko.

Überzeugen Sie Ihre Kunden mit wasserdichtem Datenschutz, verringern Sie den Prüfungsaufwand und senken Sie Ihre Haftung. Berechnen Sie jetzt maßgeschneidert Ihren Preis.

 

Übersicht der Maßnahmen für NIS2

Folgende Maßnahmen dienen als Indikation zur Umsetzung der NIS2-Richtlinie:

  • Policies: Richtlinien für Risiken und Informationssicherheit
  • Incident Management: Prävention, Detektion und Bewältigung von Cyber-Incidents
  • Business Continuity: BCM mit Backup Management, DR, Krisen-Management
  • Supply Chain: Sicherheit in der Lieferkette bis hin zur sicheren Entwicklung bei Zulieferern
  • Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
  • Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen
  • Schulungen: Training und Cyber Security Hygiene
  • Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung
  • Personal: Human Resources Security
  • Zugangskontrolle
  • Asset Management
  • Authentication: Einsatz von Multi Factor Authentisierung und SSO
  • Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
  • Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme
 

Strafen & Bußgelder bei NIS2-Richtlinie

Für den Fall, dass sich die betroffenen Unternehmen nicht an die Vorgaben der Richtlinie halten, haben sie mit hohen Geldbußen zu rechnen, die von den nationalen Behörden verhängt werden. Für die Essential-Sektoren können Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Für die Important-Sektoren liegt die Höchststrafe bei 7 Millionen Euro oder 1,4 % des Umsatzes. Die Höhe der drohenden Bußgelder ist somit vergleichbar mit den Strafen der DSGVO.

 

Vergleich zwischen DSGVO und NIS2-Richtlinie

Die NIS2-Richtlinie muss zuerst in nationales Recht umgesetzt werden, während es sich bei der DSGVO um eine Verordnung handelt, die unmittelbar gilt. Bei Richtlinien haben Mitgliedsstaaten somit größere Spielräume bei der Umsetzung. Inhaltlich stellen die DSGVO und die NIS2-Richtlinie beide Anforderungen an technische und organisatorische Maßnahmen, welche die Unternehmen im Rahmen ihres Sicherheitsmanagements umsetzen müssen. Die DSGVO regelt den Schutz personenbezogener Daten, während die NIS2-Richtlinie den Schutz kritischer Infrastrukturen und digitaler Dienste regelt.

 

Zusammenhang Datenschutz und NIS2-Richtlinie

Während es im Datenschutz um den Schutz der natürlichen Personen in der EU geht, liegt der Fokus bei der Datensicherheit auf dem technischen Schutz der Unternehmen vor unbefugten Zugriffen durch Dritte. Trotzdem können Datenschutz und Datensicherheit nicht komplett voneinander getrennt betrachtet werden. Beide Bereiche beinhalten die Einhaltung von gesetzlichen Vorgaben, die ihren Ursprung in der EU haben. Zudem kommt es besonders im Bereich der technischen und organisatorischen Maßnahmen zu Überschneidungen in der konkreten Umsetzung. Indem Unternehmen diese technischen und organisatorischen Maßnahmen entsprechend ihrer gesetzlichen Verpflichtung ergreifen, schützen sie sowohl die Daten einzelner natürlicher Personen, und gleichzeitig ihre eigenen Netz- und Informationssysteme. In der Umsetzung fließen Datenschutz und Datensicherheit somit ineinander über.

Menü