Überblick über die neue NIS2 EU-Richtlinie

NIS2-Richtlinie
Was für Ihr Unternehmen jetzt wichtig ist

Die neue EU-Richtlinie für Cybersicherheit im Überblick

Worum geht es bei NIS-2

Bei der NIS-2 Richtlinie handelt es sich um ein Regelwerk in zentraler Rolle mit dem die Cybersicherheit sowie der Schutz der kritischen Infrastrukturen innerhalb der EU entscheidend gestärkt werden sollen. Defizite aus der vorherigen Direktive werden beseitigt sowie Ihr Geltungsbereich erweitert. Mit NIS-2 gelten strengere Sicherheitsvorgaben, das Meldewesen wird gestärkt und das Krisenmanagement optimiert.

Durch die Stärkung der digitalen Verteidigungslinie, steht NIS-2 für als Festung in der aktuellen Bedrohungslage. Die in 2022 eingeführte NIS-2 Richtlinie ist die europäische Reaktion auf die immer ausgeklügelteren Cyber-Attacken.

Maik Scheefeldt

- CTO @ Insight-IT GmbH

Wann tritt NIS-2 in Kraft?

Kontakt

Wem bertifft die NIS-2 Richtlinie?

Die NIS2-Richtlinie betrifft Einrichtungen aus 18 Sektoren, die in den Anhängen I und II aufgeführt sind. Dort ist für jeden Sektor präzisiert, welche „Art der Einrichtung“ betroffen ist. Entscheidend ist also, ob eine Einrichtung zu einer dort aufgeführten Kategorie gehört. Diese Kategorien sind in den Anhängen I und II der NIS-2 noch detaillierter beschrieben. Für die aktuelle Umsetzung in Deutschland sollten Sie im Entwurf des deutschen NIS2UmsuCG in den Anlagen 1 und 2 nachsehen, ob Ihre Einrichtung einer dort aufgeführten „Einrichtungsart“ zuzuordnen ist.

Sektoren mit hoher Kritikalität (Anhang I der NIS-2):

Energie

Teilsektor	Art der Einrichtung
Elektrizität	Elektrizitätsunternehmen Verteilernetzbetreiber Übertragungsnetzbetreiber Erzeuger nominierte Strommarktbetreiber Marktteilnehmer, die Aggregierungs-, Laststeuerungs- oder Energiespeicherungsdienste anbieten Betreiber von Ladepunkten für Elektromobilität
Fernwärme und -kälte	Betreiber von Fernwärme oder Fernkälte
Erdöl	Betreiber von Erdöl-Fernleitungen Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen zentrale Bevorratungsstellen
Erdgas	Versorgungsunternehmen Verteilernetzbetreiber Fernleitungsnetzbetreiber Betreiber einer Speicheranlage Betreiber einer LNG-Anlage Erdgasunternehmen Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas
Wasserstoff	Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung

Verkehr

Teilsektor	Art der Einrichtung
Luftverkehr	Luftfahrtunternehmen Flughafenleitungsorgane Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen
Schienenverkehr	Infrastrukturbetreiber Eisenbahnunternehmen
Schifffahrt	Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt Leitungsorgane von Häfen, einschließlich ihrer Hafenanlagen Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben Betreiber von Schiffsverkehrsdiensten
Straßenverkehr	Straßenverkehrsbehörden, die für Verkehrsmanagement und Verkehrssteuerung verantwortlich sind (außer öffentliche Einrichtungen, für die das Verkehrsmanagement oder der Betrieb intelligenter Verkehrssysteme ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist) Betreiber intelligenter Verkehrssysteme

Bankwesen

Teilsektor	Art der Einrichtung
–	Kreditinstitute

Finanzmarktinfrastrukturen

Teilsektor	Art der Einrichtung
–	Betreiber von Handelsplätzen zentrale Gegenparteien

Gesundheitswesen

Teilsektor	Art der Einrichtung
–	Gesundheitsdienstleister EU-Referenzlaboratorien Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben Einrichtungen, die bestimmte pharmazeutische Erzeugnisse herstellen Einrichtungen, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen

Trinkwasser

Teilsektor	Art der Einrichtung
–	Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“ außer Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist

Abwasser

Teilsektor	Art der Einrichtung
–	Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln außer Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist

Digitale Infrastruktur

Teilsektor	Art der Einrichtung
–	Betreiber von Internet-Knoten DNS-Dienstanbieter, ausgenommen Betreiber von Root-Namenservern TLD-Namenregister Anbieter von Cloud-Computing-Diensten Anbieter von Rechenzentrumsdiensten Betreiber von Inhaltszustellnetzen Vertrauensdiensteanbieter Anbieter öffentlicher elektronischer Kommunikationsnetze Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste

Verwaltung von IKT Diensten (B2B)

Teilsektor	Art der Einrichtung
–	Anbieter verwalteter Dienste Anbieter verwalteter Sicherheitsdienste

Öffentliche Verwaltung

Teilsektor	Art der Einrichtung
–	Einrichtungen der öffentlichen Verwaltung von Zentralregierungen entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht

Weltraum

Teilsektor	Art der Einrichtung
–	Betreiber von Bodeninfrastrukturen, die sich im Eigentum von EU-Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen außer Anbieter öffentlicher elektronischer Kommunikationsnetze

Sonstige kritische Sektoren (Anhang II der NIS-2):

Post- und Kurierdienste

Teilsektor	Art der Einrichtung
–	Anbieter von Postdiensten einschließlich Anbieter von Kurierdiensten

Abfallbewirtschaftung

Teilsektor	Art der Einrichtung
–	Unternehmen der Abfallbewirtschaftung ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist

Produktion, Herstellung und Handel mit chemischen Stoffen

Teilsektor	Art der Einrichtung
–	Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren

Produktion, Verarbeitung und Vertrieb von Lebensmitteln

Teilsektor	Art der Einrichtung
–	Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

Verarbeitendes Gewerbe/Herstellung von Waren

Teilsektor	Art der Einrichtung
Herstellung von Medizinprodukten und In-vitro-Diagnostika	Einrichtungen, die Medizinprodukte herstellen Einrichtungen, die In-vitro-Diagnostika herstellen außer Einrichtungen aus Anhang I, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen
Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
Herstellung von elektrischen Ausrüstungen	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
Maschinenbau	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
Herstellung von Kraftwagen und Kraftwagenteilen	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
sonstiger Fahrzeugbau	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

Anbieter digitaler Dienste

Teilsektor	Art der Einrichtung
–	Anbieter von Online-Marktplätzen Anbieter von Online-Suchmaschinen Anbieter von Plattformen für Dienste sozialer Netzwerke

Forschung

Teilsektor	Art der Einrichtung
–	Forschungseinrichtungen

Was ist für NIS-2 betroffene Unternehmen und Organisationen zu tun?

Gemäß NIS2 sind Sie verpflichtet, bestimmte Cybersecurity-Maßnahmen zu ergreifen, um Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu minimieren und die Folgen von Sicherheitsvorfällen zu begrenzen. Dazu gehört der Schutz der IT-Systeme und ihrer physischen Umgebung nach dem „All-Gefahren-Ansatz“. Die angemessene Höhe der Maßnahmen sollte auf Basis eines risikoorientierten Ansatzes individuell bestimmt werden.

(Art. 1 § 30 im NIS2UmsuCG-Entwurf)

Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
Supply Chain: Sicherheit in der Lieferkette
Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme, einschließlich Management und Offenlegung von Schwachstellen
Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall

Verantwortung der Geschäftsführung

(Art. 1 § 38 im NIS2UmsuCG-Entwurf)

Meldepflicht von Sicherheitsvorfällen

(Art. 1 § 32 im NIS2UmsuCG-Entwurf)

Die EU-NIS2-Richtlinie verlangt, dass bedeutende Sicherheitsvorfälle sowohl der nationalen Behörde als auch gegebenenfalls den Nutzern der Dienste gemeldet werden müssen. Die Richtlinie legt Fristen fest, innerhalb derer ein Vorfall der Behörde zu melden ist:

Frühwarnung innerhalb von 24 h ab Kenntnis:

Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.

Ausführlicher Bericht innerhalb von 72 h ab Kenntnis:

Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.

Fortschritts-/Abschlussbericht ein Monat nach Meldung:

Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.

Registrierung

(Art. 1 § 33-34 im NIS2UmsuCG-Entwurf)

Falls NIS-2 auf Sie anwendbar ist, ist eine Registrierung bei der nationalen Behörde erforderlich. Die genauen Modalitäten werden noch bestimmt und auf der Website des Bundesamts für Sicherheit in der Informationstechnik (BSI) bekannt gegeben.

Folgende Informationen sind einzureichen:

Name der Einrichtung, einschließlich der Rechtsform und soweit einschlägig der Handelsregisternummer
Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adresse
öffentliche IP-Adressbereiche und Telefonnummern
relevanter in Anlage 1 oder 2 genannter Sektor oder soweit einschlägig Branche
Auflistung derjenigen Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringen
die für die Tätigkeiten, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichtsbehörden des Bundes und der Länder
ggf. weitere Informationen je nach Einrichtungsart

Sie benötigen Hilfe um NIS-2 konform zu werden

Wir stehen Ihnen gern zur Seite

Kontakt

Request a Call Back?

A small river named Duden flows by their place and supplies it with the necessary regelialia. It is a paradise

Make an Appointment

for any inquiry

[contact-form-7 id="6952"]

Support Given

0 +

Clients Rating

0 M+

Money Saved

Awards won

Testimonials

A small river named Duden flows by their place and supplies it with the necessary regelialia. It is a paradise