Datenschutz-Akademie » Datenschutz-News » NIS-2-Richtlinie

NIS2: EU-Richtlinie für Cybersicherheit

NIS-2-Richtlinie: EU-Richtlinie für mehr Cybersicherheit

In einer zunehmend vernetzten Welt sind Cybersicherheit und der Schutz unserer digitalen Infrastrukturen von entscheidender Bedeutung. Die NIS2-Richtlinie, die jüngste Weiterentwicklung der Network and Information Systems Directive (NIS), hat das Ziel, die Sicherheit der digitalen Landschaft in der Europäischen Union zu stärken. Doch was genau verbirgt sich hinter dieser Richtlinie und wie betrifft diese Unternehmen und Organisationen?

In diesem Blogbeitrag werden wir uns ausführlich mit NIS2 befassen und die Ziele sowie Anforderungen der Richtlinie erläutern. Wir werden die Unterschiede zwischen NIS2 und ihrer Vorgängerversion NIS sowie anderen relevanten Gesetze und Standards, wie der ISO 27001 aufzeigen. Darüber hinaus werden wir die potenziellen Auswirkungen auf deutsche Unternehmen und die Notwendigkeit der Umsetzung diskutieren.

Wichtigste Informationen zur NIS2-Richtlinie

  • NIS2 ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie (Network and Information Systems Directive), die erstmals 2016 verabschiedet wurde.
  • Beide Richtlinien zielen darauf ab, die Cybersicherheit zu stärken und die digitale Infrastruktur sowie kritische Dienstleistungen vor Cyberbedrohungen zu schützen.
  • Am 16. Januar 2023 ist die sogenannte NIS2-Richtlinie in Kraft getreten. Die Mitgliedstaaten der EU haben bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht zu übersetzen.
  • Die NIS2-Richtlinie betrifft mehr Organisationen und fordert strengere Sicherheitsmaßnahmen. Unternehmen, die die Anforderungen von NIS2 nicht erfüllen, riskieren empfindliche Geldstrafen. Auch diese sind deutlich höher im Vergleich zum Vorgänger der Richtlinie.

Kompletter Titel der Richtlinie

Richtlinie (EU) 2022/2555 des Europäischen Parlaments und Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie)

Whitepaper NIS-2-Richtlinie: EU-Richtlinie für mehr Cybersicherheit

Whitepaper: Verzeichnis der Verarbeitungstätigkeiten DSGVO-konform umsetzen

Im Whitepaper NIS-2-Richtlinie finde Sie:

  • Informationen zur Hintergründe zur Entstehung der NIS-2-Richtlinie
  • Informationen zum Zusammenhang mit weiteren Gesetzen und Richtlinien
  • Anforderungen die betroffene Organisationen umsetzen müssen
  • Informationen zu Strafen und Sanktionen

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Was ist NIS2: Das besagt die neue EU-Richtlinie für Cybersicherheit

Die vollständige Bezeichnung der NIS-Richtlinie ist „Network and Information Systems Directive“ und kann ins Deutsche als Richtlinie über die Netz- und Informationssicherheit übersetzt werden. Die NIS-Richtlinie ist eine Richtlinie der Europäischen Union, die darauf abzielt, die Cybersicherheit in der EU zu stärken. Die Richtlinie wurde im Jahr 2016 verabschiedet und sollte anschließend bis Mai 2018 von den EU-Mitgliedstaaten umgesetzt werden.

Im Dezember 2022 ist der Nachfolger, die NIS2-Richtlinie in Kraft getreten. Diese NIS2-Richtlinie baut auf der ursprünglichen NIS-Richtlinie von 2016 auf. NIS2 wurde entwickelt, um die Cybersicherheit in der gesamten EU weiter zu stärken und auf aktuelle Entwicklungen im digitalen Bereich zu reagieren, indem sie die Anforderungen an Organisationen verschärft und die Zusammenarbeit auf EU-Ebene fördert. Dies ist ein wichtiger Schritt, um die steigenden Cyberbedrohungen in der digitalen Welt besser zu bewältigen.

Die NIS-Richtlinie gilt für Betreiber Kritischer Infrastrukturen (KRITIS), d. h. für Unternehmen und Organisationen, deren Systeme und Dienste für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen von wesentlicher Bedeutung sind. Dazu gehören unter anderem Unternehmen aus den Bereichen Energie, Wasser, Transport, Finanzen, Gesundheitswesen und Telekommunikation.

Neuerungen: Mehr Cybersicherheit durch die NIS 2 Richtlinie

Gründe für die Gesetzesänderungen von NIS zu NIS2 sind der starke Anstieg von Cyberangriffen in den letzten Jahren, die zunehmende Digitalisierung wie bspw. der Einsatz von künstlicher Intelligenz und die einheitliche Regelung unter allen EU-Mitgliedstaaten.

Die NIS 2-Richtlinie, hat das klare Ziel, die Cybersicherheit zu stärken und die digitale Landschaft in Europa sicherer zu machen. Mit Inkrafttreten der Richtlinie sollen die Anforderungen an Unternehmen und Organisationen erhöht, die Sicherheitszertifizierung gefördert und die Zusammenarbeit auf europäischer Ebene gestärkt werden.

Überblick über die Neuerungen der NIS-2-Richtlinie:

  • Sektoren: Die kritischen wesentlichen Sektoren wurden auf elf Sektoren erweitert, die wichtigen Sektoren auf sieben. Somit fallen unter die neue NIS2-Richtlinie achtzehn Sektoren. Dies bedeutet, dass eine größere Bandbreite von Unternehmen und Organisationen die Sicherheitsstandards erhöhen müssen.
  • Einrichtungen: Organisationen ab 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro sind betroffen. Einige Einrichtungen sollen unabhängig von der Organisationsgröße unter die NIS2-Richtlinie fallen.
  • Lieferketten: Die NIS-2-Richtlinie legt neue Anforderungen an die Cybersicherheit von Lieferketten fest. Diese Anforderungen sollen dazu beitragen, dass Unternehmen besser auf Cyberangriffe vorbereitet sind, die über ihre Lieferketten erfolgen.
  • Zusammenarbeit: Die Aufsicht und Kooperation zwischen Behörden und Einrichtungen in der EU wird ausgebaut.
  • Zertifizierung von Produkten und Diensten: Durch die Einführung von Cybersicherheitszertifizierungen sollen Verbraucher und Unternehmen sich einfacher für sicherere Lösungen entscheiden können.
  • Sanktionen: Die NIS-2-Richtlinie sieht deutlich höhere Sanktionen für Verstöße gegen die Richtlinie vor, diese können von Geldbußen bis hin zu Freiheitsstrafen reichen.

Aktueller Stand der Umsetzung in Deutschland

Auf Europäischer Ebene ist die NIS2-Richtlinie im Januar 2023 in Kraft getreten. In Deutschland ist der Umsetzungsprozess derzeit noch in vollem Gange. Das Bundesinnenministerium hat im September 2023 einen dritten Entwurf des NIS2-Umsetzungsgesetzes veröffentlicht. Alle EU-Mitgliedstaaten haben bis 17. Oktober 2024 Zeit die EU-Richtlinie in nationales Recht zu übersetzen.

  • 17. Oktober 2024

    Die EU-Mitgliedsstaaten müssen die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen.

  • September 2023

    Dritter Referentenentwurf September 2023

  • Juli 2023

    Zweiter Deutscher Referentenentwurf Juli 2023

  • April 2023

    Erster deutscher Referentenentwurf von April 2023

  • 16. Januar 2023

    Die Europäische Richtlinie ist am 16. Januar 2023 in Kraft getreten.

Entstehung der NIS-2-Richtlinie

Am 6. Juli 2016 wurde die EU-Richtlinie „NIS“ (Network and Information Security Directive) verabschiedet und ist seit dem 9. August 2016 in Kraft. Die europäische NIS-Richtlinie wurde in Deutschland durch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) umgesetzt.

Das IT-Sicherheitsgesetz ist am 25. Juni 2017 in Kraft getreten und gilt bislang insbesondere für Betreiber Kritischer Infrastrukturen (KRITIS), d. h. für Unternehmen und Organisationen, deren Systeme und Dienste für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen von wesentlicher Bedeutung sind. Die NIS 2-Richtlinie gilt nun für alle Unternehmen und Organisationen, die in den in Anhang I der Richtlinie aufgeführten Sektoren tätig sind. Dazu gehören unter anderem Energie, Wasser, Transport, Finanzen, Gesundheitswesen und Telekommunikation. Die NIS-Richtlinie galt ursprünglich nur für Betreiber Kritischer Infrastrukturen (KRITIS).

  • 2023

    NIS-2 (EU)

    Die NIS-2-Richtlinie wurde am 25. November 2022 vom Europäischen Parlament und dem Rat der Europäischen Union angenommen. Sie trat am 27. Juni 2023 in Kraft und muss bis zum 27. Juni 2024 in allen EU-Mitgliedstaaten in nationales Recht umgesetzt werden.

  • 2021

    IT-Sicherheitsgesetz 2.0 (Deutschland)

    IT-Sicherheitsgesetz 2.0 wurde am 24. Mai 2021 verabschiedet und ist eng mit der NIS-Richtlinie (Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates) verbunden. Das IT-Sicherheitsgesetz 2.0 dient der Umsetzung der NIS-Richtlinie in nationales deutsches Recht und legt spezifische Anforderungen für Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste fest, um die Cybersicherheit in Deutschland gemäß den europäischen Standards zu stärken.

  • 2016

    Novellierung BSI-Gesetz (Deutschland)

    Das BSI-Gesetz räumt dem Bundesamt für Sicherheit in der Informationstechnik spezifische Befugnisse und Verantwortlichkeiten ein, um die Umsetzung des IT-Sicherheitsgesetzes zu überwachen und sicherzustellen, dass Unternehmen und Organisationen angemessene Sicherheitsmaßnahmen ergreifen. Die NIS-Richtlinie der Europäischen Union fordert von den Mitgliedstaaten, nationale Behörden oder Stellen zu benennen, die für die Umsetzung und Überwachung der Richtlinie verantwortlich sind. In Deutschland ist das BSI die zuständige Stelle für die Umsetzung der NIS-Richtlinie. Das BSI-Gesetz regelt die Befugnisse des Bundesamtes im Zusammenhang mit der Umsetzung der NIS-Richtlinie, einschließlich der Überwachung kritischer Infrastrukturen und der Durchführung von Sicherheitsprüfungen.

  • 2016

    NIS-Richtlinie (EU)

    Die Network and Information Systems Directive ist eine Richtlinie der Europäischen Union, die darauf abzielt, die Cybersicherheit in der EU zu stärken. Die Richtlinie wurde im Jahr 2016 verabschiedet und sollte bis Mai 2018 von den EU-Mitgliedstaaten umgesetzt werden.

  • 2015

    IT-Sicherheitsgesetz (Deutschland)

    Grundlagen für die Regulierung der Cybersicherheit in Deutschland, indem es die Anforderungen an die Sicherheit kritischer Infrastrukturen festlegte.

Anforderungen der NIS2-Richtlinie

Die NIS2-Richtlinie soll dazu beitragen, dass Betreiber Kritischer Infrastrukturen ihre Informationssysteme besser schützen und Cyberangriffe verhindern oder zumindest abmildern können.

Die wichtigsten Anforderungen der NIS-2-Richtlinie sind:

Unternehmen und Organisationen, die von der NIS 2-Richtlinie betroffen sind, müssen ein Informationssicherheits-Management-System (ISMS) einführen und betreiben. Das ISMS ist ein ganzheitlicher Ansatz zur Sicherstellung der Informationssicherheit. Es umfasst die Planung, Umsetzung, Überwachung, Bewertung und Verbesserung der Informationssicherheitsmaßnahmen.

Unternehmen und Organisationen müssen ein aktives Risikomanagement inklusive regelmäßiger Risikobewertungen durchführen. Die Risikobewertungen sollen die potenziellen Bedrohungen und Risiken für die Informationssicherheit der Systeme und Dienste des Unternehmens identifizieren.

Unternehmen und Organisationen müssen Cybervorfälle an die zuständigen Behörden melden. Die Meldungen müssen innerhalb von 24 Stunden erfolgen, wenn der Vorfall einen erheblichen Einfluss auf die Funktionsfähigkeit der Systeme und Dienste des Unternehmens haben kann.

Die zuständigen Behörden der EU-Mitgliedsstaaten müssen Informationen über Cybervorfälle austauschen. Der Austausch von Informationen soll die Reaktion auf Cybervorfälle verbessern.

Das IT-Sicherheitsgesetz 2.0 soll neben den Anforderungen der NIS 2-Richtlinie auch zusätzliche Anforderungen enthalten, die aktuell von Deutschland festgelegt werden. Dazu gehören unter anderem die Verpflichtung zur Bestellung eines Informationssicherheitsbeauftragten und die Durchführung von Übungen zur Cybersicherheit.

Welche Unternehmen müssen NIS2 umsetzen?

Gemäß NIS 2 müssen Organisationen aus einer Vielzahl an kritischen Sektoren die Richtlinie umsetzen. Die Richtlinie unterscheide Organisationen nach Größe und Kritikalität ihrer Systeme und Dienste für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen. Es gibt Sonderfälle die unabhängig von der Organisationsgröße zur Umsetzung der Richtlinie verpflichtet sind.

Betroffene Organisationen

Betroffen sind öffentliche und private Organisationen der nachfolgenden 18 Sektoren, mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme.

Sonderfälle die größenunabhängig betroffen sind

  • Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
  • Vertrauensdiensteanbieter
  • TLD-Namensregistrierungen und DNS-Dienstanbieter (außer Betreiber von Root-Namenservern)
  • Alleinige Anbieter, die essentiell für Gesellschaft und Wirtschaft sind
  • Einrichtungen, deren Ausfall einen großen Effekt auf öffentliche Ordnung, Sicherheit oder Gesundheit hätte
  • Einrichtungen, deren Ausfall zu einem Systemrisiko mit grenzübergreifenden Folgen führen könnte
  • Einrichtungen, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind
  • Vom EU-Mitgliedstaat definierte Einrichtung der öffentlichen Verwaltung der Zentralregierung oder kritische Einrichtung der öffentlichen Verwaltung auf regionaler Ebene
  • Kritische Infrastrukturen gemäß Richtlinie (EU) 2022/2557
  • Einrichtungen, die Domänennamenregistrierungsdienste erbringen

Wesentliche und wichtige Organisationen

Die NIS2-Richtlinie unterscheidet zwischen wesentlichen und wichtigen Organisationen. Der Hauptunterschied besteht in der Kritikalität ihrer Systeme und Dienste für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen.

Wesentliche Einrichtungen sind für die Aufrechterhaltung dieser Funktionen von wesentlicher Bedeutung, während wichtige Einrichtungen zwar nicht für die Aufrechterhaltung dieser Funktionen von wesentlicher Bedeutung sind, aber deren Störung dennoch erhebliche Auswirkungen haben könnte.

Beachtlich ist, dass unter der NIS2 künftig bedeutend mehr Einrichtungen zur Umsetzung der Anforderungen verpflichtet sind. Denn durch die Einstufung der neuen Richtlinie in kritische und hochkritische Sektoren, haben die EU-Mitgliedsstaaten keine eigenen Entscheidungsfreiheit darüber, welche Organisationen adressiert werden. Demnach ist die Größer von Organisationen nicht mehr entscheidend.

Die bisherigen Einstufungskriterien der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz – BSI-KritisV“ und des Katalogs erfasster Einrichtungen des IT-Sicherheitsgesetzes 2.0 werden nach in Kraft treten nicht mehr gelten.

Wesentliche Organisationen

  • Kritikalität: Für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen von wesentlicher Bedeutung
  • Anforderungen: Alle Anforderungen der NIS-2-Richtlinie müssen umgesetzt werden.
  • Sektoren der wesentlichen Organisationen:
    • Energie
    • Verkehr
    • Bankwesen
    • Finanzmarktinfrastrukuren
    • Gesundheitswesen
    • Trinkwasser
    • Abwasser
    • Digitale Infrastruktur
    • Verwaltung von IKT-Diensten
    • Öffentliche Verwaltung
    • Weltraum

Wichtige Organisationen

  • Kritikalität: Störung könnte dennoch erhebliche Auswirkungen auf wichtige gesellschaftliche Funktionen haben
  • Anforderungen: Einige Anforderungen der NIS-2-Richtlinie müssen umgesetzt werden, jedoch nicht alle.
  • Sektoren der wichtigen Organisationen:
    • Post- und Kurierdienste
    • Abfallbewirtschaftung
    • Produktion, Herstellung und Handel mit chemischen Stoffen
    • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
    • Verarbeitendes Gewerbe/Herstellung von Waren
    • Anbieter digitaler Dienste
    • Forschung

Umsetzung der NIS-2-Richtlinie

Verantwortliche für die Umsetzung der NIS-2-Richtlinie

Die Umsetzung der NIS-2-Richtlinie ist eine Gemeinschaftsaufgabe der EU-Mitgliedsstaaten und der EU-Kommission. Die EU-Kommission ist für die Entwicklung der Richtlinie und die Überwachung ihrer Umsetzung in den Mitgliedstaaten verantwortlich.

Die Mitgliedstaaten sind für die Umsetzung der Richtlinie in nationales Recht und die Überwachung der Einhaltung der Anforderungen durch die betroffenen Organisationen verantwortlich.

In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Umsetzung der NIS-2-Richtlinie verantwortlich. Das BSI ist eine Bundesoberbehörde, die für die Sicherheit der Informationstechnik in Deutschland zuständig ist.

Das BSI hat folgende Aufgaben im Rahmen der Umsetzung der NIS-2-Richtlinie:

  • Erarbeitung von Leitfäden und Empfehlungen für die Umsetzung der Richtlinie
  • Beratung und Unterstützung der betroffenen Organisationen bei der Umsetzung der Richtlinie
  • Überwachung der Umsetzung der Richtlinie durch die betroffenen Organisationen

Die betroffenen Organisationen müssen die definierten Mindestanforderungen an die Cybersicherheit umsetzen. Für Umsetzung und Überwachungen ist die Geschäftsführung der betroffenen Organisationen verantwortlich. Die Geschäftsführung kann für mangelhafte Umsetzung haftbar gemacht werden.

Beratung zur Umsetzung der NIS2-Richtlinie

Die neue EU-Richtlinie für Cybersicherheit wird Gesetz in Deutschland. Steigern Sie die Cybersicherheit Ihrer Organisation, wir unterstützen Sie bei der umfassenden Implementierung der Sicherheitsmaßnahmen und gesetzlichen Pflichten.

Mindestanforderungen an die Cybersicherheit

Die EU NIS2-Richtlinie legt für wesentliche und wichtige Organisationen Mindest­anforderungen an die Cybersicherheit fest.

Die Maßnahmen müssen mindestens das Folgende umfassen:

  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Dienstanbietern
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Risikomanagement gemäß NIS-2

Die NIS-2-Richtlinie stellt strengere Anforderungen an die Informationssicherheit von Unternehmen und Organisationen in der EU. Dazu gehören auch Maßnahmen zum Risikomanagement. Die betroffenen Organisationen sind verpflichtet, die Anforderungen der NIS-2-Richtlinie an das Risikomanagement zu erfüllen.

Risikomanagement ist ein systematischer Prozess zur Identifizierung, Bewertung und Behandlung von Risiken. Im Bereich der Cybersicherheit zielt das Risikomanagement darauf ab, die Wahrscheinlichkeit und das Ausmaß eines Cyberangriffs zu verringern.

Die NIS-2-Richtlinie sieht mindestens folgende Risikomanagementmaßnahmen vor:

  • Einführung eines Informationssicherheitsmanagementsystems (ISMS): Ein ISMS ist ein ganzheitlicher Ansatz zur Sicherstellung der Informationssicherheit. Er umfasst die Planung, Umsetzung, Überwachung, Bewertung und Verbesserung der Informationssicherheitsmaßnahmen.
  • Regelmäßige Durchführung von Risikobewertungen: Risikobewertungen sollen die potenziellen Bedrohungen und Risiken für die Informationssicherheit der Systeme und Dienste des Unternehmens identifizieren.
  • Die Implementierung von technischen und organisatorischen Maßnahmen zur Risikominderung: Die identifizierten Risiken müssen durch geeignete technische und organisatorische Maßnahmen minimiert werden.

Robin Data ComplianceOS® Compliance-Feld Risikomanagement

Setzen Sie die Anforderungen von NIS2 an das Risikomanagement Ihrer Organisation digital um. Mit ComplianceOS identifizieren, bewerten und behandeln Sie Risken systematisch und verringern so die Wahrscheinlichkeit und das Ausmaß eines Cyberangriffs auf Ihre Organisation.

Berichtspflichten gemäß NIS2

Die NIS2-Richtlinie sieht für die betroffenen Organisationen umfangreiche Berichtspflichten vor. Die Berichte sollen den zuständigen Behörden einen Überblick über die Informationssicherheitsmaßnahmen der Organisationen geben und bei der Reaktion auf Cybervorfälle helfen. Die Berichtspflichten gelten für alle betroffenen Organisationen, unabhängig davon, ob sie als wesentlich oder wichtig eingestuft werden.

Die folgenden Berichte sind gemäß NIS2 erforderlich:

  • Jahresbericht: Der Jahresbericht soll einen Überblick über die Informationssicherheitsmaßnahmen der Organisation geben. Dazu gehören unter anderem die Einführung eines ISMS, die Durchführung von Risikobewertungen und die Implementierung von Maßnahmen zur Risikominderung.
  • Meldung von Cybervorfällen: Die betroffene Organisation muss Cybervorfälle an die zuständigen Behörden melden. Die Meldung muss innerhalb von 24 Stunden erfolgen, wenn der Vorfall einen erheblichen Einfluss auf die Funktionsfähigkeit der Systeme und Dienste des Unternehmens haben kann.
  • Austausch von Informationen über Cybervorfälle: Die betroffene Organisation muss Informationen über Cybervorfälle mit anderen Organisationen austauschen. Der Austausch von Informationen soll die Reaktion auf Cybervorfälle verbessern.

Implementierung eines ISMS zur Vorbereitung auf NIS2

Es gibt einige Überschneidungen zwischen ISO 27001 und NIS2, insbesondere in Bezug auf die grundlegenden Prinzipien und Sicherheitsaspekte. Daher empfehlen wir die Umsetzung der ISO 27001 Anforderungen bzw. die Implementierung eines Informationssicherheits-Management-Systems zur Vorbereitung auf die deutsche NIS2-Richtlinie.

Risikobewertung:
Beide Standards erfordern eine umfassende Risikobewertung. ISO 27001 fordert, dass Organisationen Risiken für die Informationssicherheit identifizieren und bewerten, um angemessene Sicherheitsmaßnahmen zu implementieren. NIS2 erfordert ebenfalls Risikobewertungen, um die Sicherheit kritischer Dienstleistungen zu gewährleisten.

Sicherheitsmaßnahmen:
Sowohl ISO 27001 als auch NIS2 legen großen Wert auf die Implementierung von Sicherheitsmaßnahmen. ISO 27001 definiert allgemeine Sicherheitskontrollen und -verfahren, die Organisationen anwenden können, um ihre Informationssicherheit zu gewährleisten. NIS2 legt spezifische Anforderungen für kritische Dienstleister fest, um sicherzustellen, dass angemessene Schutzmaßnahmen getroffen werden.

Schutz von Vertraulichkeit, Integrität und Verfügbarkeit:
Beide Standards verfolgen das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. ISO 27001 zielt darauf ab, diese Ziele für alle Arten von Informationen in einer Organisation sicherzustellen, während NIS2 die Verfügbarkeit von kritischen Dienstleistungen in wichtigen Sektoren gewährleisten möchte.

Notfallplanung:
Sowohl ISO 27001 als auch NIS2 legen Wert auf die Notfallplanung. ISO 27001 erfordert die Entwicklung von Notfallplänen zur Wiederherstellung der Informationssicherheit nach Sicherheitsvorfällen. NIS2 verlangt von kritischen Dienstleistern, dass sie Notfallpläne erstellen, um die Auswirkungen von Cyberangriffen zu minimieren und die Dienstleistungsverfügbarkeit wiederherzustellen.

Überwachung und Verbesserung:
Beide Standards betonen die Bedeutung der kontinuierlichen Überwachung und Verbesserung von Sicherheitsmaßnahmen. ISO 27001 verlangt die regelmäßige Überprüfung und Anpassung des Informationssicherheitsmanagementsystems. NIS2 erfordert, dass Diensteanbieter von wesentlicher Bedeutung ihre Sicherheitsmaßnahmen und -prozesse ständig überprüfen und aktualisieren.

ISMS umsetzen mit Robin Data ComplianceOS®

Setzen Sie die Anforderungen von NIS2 an ein Informationssicherheit-Management-System um und erreichen Sie die NIS2-Konformität rechtzeitig. Die externen Informationssicherheitsbeauftragten der Robin Data GmbH helfen Ihnen dabei, in enger Abstimmung mit Ihrer Geschäftsführung und weiteren Verantwortlichen, ein ISMS zu entwickeln und zu kontrollieren.

Strafen und Sanktionen bei Verstoß gegen NIS2

Die NIS2-Richtlinie sieht strenge Sanktionen für Verstöße gegen die Anforderungen der Richtlinie vor. Die Sanktionen sollen Unternehmen und Organisationen dazu motivieren, die Anforderungen der Richtlinie einzuhalten und die Cybersicherheit zu verbessern. Die zuständigen Behörden der EU-Mitgliedsstaaten sind für die Verhängung von Sanktionen verantwortlich. Die Sanktionen gelten für alle betroffenen Organisationen, unabhängig davon, ob sie als wesentlich oder wichtig eingestuft werden.

Die folgenden Sanktionen sind gemäß NIS2 möglich:

  • Geldstrafen: Geldstrafen können in Höhe von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes verhängt werden, je nachdem, welcher Betrag höher ist.
  • Verhängung von administrativen Bußgeldern: Administrative Bußgelder können in Höhe von bis zu 10 Millionen Euro verhängt werden.
  • Anordnung von Maßnahmen zur Verbesserung der Informationssicherheit: Die zuständigen Behörden können Unternehmen und Organisationen anordnen, Maßnahmen zur Verbesserung der Informationssicherheit zu ergreifen.
  • Schließung von Einrichtungen: In besonders schweren Fällen können Einrichtungen geschlossen werden.

Hier sind einige Beispiele für Verstöße gegen die NIS2-Richtlinie, die zu Sanktionen führen können:

  • Die Nichteinführung eines Informationssicherheitsmanagementsystems (ISMS)
  • Die Nichtdurchführung von Risikobewertungen
  • Die Nichtmeldung von Cybervorfällen an die zuständigen Behörden
  • Die Nichteinhaltung der Anforderungen an die Meldefristen
  • Die Bereitstellung unzureichender Informationen bei der Meldung von Cybervorfällen

Video zur NIS-2-Richtlinie

Robin-Data-Hack-NIS2-Richtlinie-Video

Im Video NIS-2-Richtlinie für mehr Cybersicherheit finden Sie:

In einer zunehmend vernetzten Welt sind Cybersicherheit und der Schutz unserer digitalen Infrastrukturen von entscheidender Bedeutung. Die NIS2-Richtlinie, die jüngste Weiterentwicklung der Network and Information Systems Directive (NIS), hat das Ziel, die Sicherheit der digitalen Landschaft in der Europäischen Union zu stärken. Doch was genau verbirgt sich hinter dieser Richtlinie und wie betrifft diese Unternehmen und Organisationen?

In der Aufzeichnung des einstündigen Robin Data Hacks vom 12.12.2023 informieren wir Sie ausführlich über die Ziele und Anforderungen der NIS2-Richtlinie. Sie erläutern die Unterschiede zwischen NIS2 und der Vorgängerversion NIS sowie anderer relevanter Gesetze und Standards. Darüber hinaus diskutieren wir die potenziellen Auswirkungen auf deutsche Organisationen und zeigen Ihnen praktische Lösungswege zur Umsetzung. Die Robin Data Hacks finden online statt, die Teilnahme ist kostenfrei. Weitere Informationen, Termine und die Möglichkeit zur Anmeldung.

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Fazit

Die deutsche Richtlinie gemäß NIS2 wird im Oktober 2024 erwartet. Für betroffene deutsche Unternehmen ist es dennoch wichtig, die Umsetzung der NIS2-Anforderungen rechtzeitig anzugehen. Dies gestaltet sich als herausfordernd, die Formulierungen der Richtlinie lassen teilweise viel Spielraum und der deutsche Gesetzentwurf ist noch nicht fertig gestellt. Um sich dennoch rechtzeitig  vor in Kraft treten des deutschen Gesetzes vorzubereiten, raten wir Unternehmen ein Informationssicherheits-Management-System (ISMS) zu implementieren und sich an den Vorgaben der entsprechenden ISO 27001 Norm zu orientieren.

Erreichen Sie NIS2-Compliance für Ihre Organisation mit Robin Data

Die neue EU-Richtlinie für Cybersicherheit wird Gesetz in Deutschland. Unsere Berater implementieren Lösungen speziell für die Bedürfnisse Ihrer Organisation. Von Risiko- über Assetmanagement, Konzepten zur Business Continuity und der Schulung Ihrer Mitarbeiter. Gemeinsam setzen wir Schritt-für-Schritt die Anforderungen der NIS2-Richtlinie um. Erreichen Sie NIS2-Compliance für Ihre Organisation – buchen Sie ein unverbindliches Kennenlern-Meeting.

Caroline Schwabe

Das könnte Sie auch interessieren:

Audit-Management: Audits effizienter umsetzen

Audit-Management verstehen und umsetzen: Schrittweise Erklärung, Hintergrundinformationen, Beispiele und Definitionen. Jetzt lesen!

NIS2: EU-Richtlinie für mehr Cybersicherheit

Was bedeutet die NIS-2-Richtlinie für Organisationen in Deutschland? Umsetzungspflichten, Sanktionen, Tipps zur Umsetzung.

Assetmanagement: Praktische Umsetzung

Effizientes Asset-Management: Aufbau, Umsetzung, Beispiel für Klassen und Kategorien, Schutzbedarfsbewertung. Jetzt lesen!