Kapitel 08 In Kraft: 18. Oktober 2024

NIS2-Richtlinie

Richtlinie über die Sicherheit von Netz- und Informationssystemen

Überblick

NIS2 ersetzt die ursprüngliche NIS-Richtlinie und erweitert sie erheblich, um ein hohes gemeinsames Cybersicherheitsniveau in der EU zu etablieren. Sie gilt für eine viel breitere Palette von Sektoren und Einrichtungen, führt strengere Aufsichtsmaßnahmen ein und harmonisiert Sanktionen in den Mitgliedstaaten.[1]

Als Richtlinie musste NIS2 bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Die Umsetzung variiert je nach Mitgliedstaat.

Geltungsbereich: Wesentliche vs. Wichtige Einrichtungen

Wesentliche Einrichtungen (höhere Prüfung)[2]

SektorBeispiele
EnergieStrom, Öl, Gas, Wasserstoff, Fernwärme
VerkehrLuft, Schiene, Wasser, Straße
BankwesenKreditinstitute
FinanzmärkteHandelsplätze, zentrale Gegenparteien
GesundheitGesundheitsdienstleister, Labore, Pharma, Medizinprodukte
TrinkwasserWasserversorger
AbwasserAbwasserbehandlung
Digitale InfrastrukturIXPs, DNS, TLD-Register, Cloud, Rechenzentren, CDNs, TSPs
ICT-DienstleistungsmanagementManaged Service Provider, Managed Security Service Provider
Öffentliche VerwaltungZentrale Regierungsstellen
WeltraumBodeninfrastrukturbetreiber

Wichtige Einrichtungen (geringere Prüfung)

SektorBeispiele
PostdienstePost- und Kurierdienste
AbfallwirtschaftAbfallsammlung und -behandlung
ChemieHerstellung und Vertrieb
LebensmittelProduktion und Vertrieb
FertigungMedizinprodukte, Elektronik, Maschinen, Fahrzeuge
Digitale AnbieterOnline-Marktplätze, Suchmaschinen, soziale Netzwerke
ForschungForschungsorganisationen

Größenschwellen

NIS2 gilt im Allgemeinen für mittlere und große Einrichtungen:

  • Mittel: 50+ Mitarbeiter ODER €10 Mio.+ Umsatz/Bilanzsumme
  • Groß: 250+ Mitarbeiter ODER €50 Mio.+ Umsatz ODER €43 Mio.+ Bilanzsumme

Einige Einrichtungen gelten unabhängig von der Größe (DNS, TLD-Register, Cloud-Anbieter, Rechenzentren usw.).

Wesentliche Anforderungen

Risikomanagementmaßnahmen (Artikel 21)[3]

Einrichtungen müssen geeignete technische, operative und organisatorische Maßnahmen umsetzen:

  1. Richtlinien: Risikoanalyse und Informationssicherheitssystem-Richtlinien
  2. Vorfallbehandlung: Erkennungs-, Reaktions- und Wiederherstellungsverfahren
  3. Geschäftskontinuität: Backup, Notfallwiederherstellung, Krisenmanagement
  4. Lieferkettensicherheit: Sicherheitsanforderungen für Lieferanten
  5. Netzwerksicherheit: Sicherheit bei Erwerb, Entwicklung und Wartung
  6. Wirksamkeitsbewertung: Richtlinien zur Bewertung der Effektivität von Sicherheitsmaßnahmen
  7. Grundlegende Cyberhygiene: Schulungs- und Sensibilisierungsprogramme
  8. Kryptographie: Richtlinien zu kryptographischen Kontrollen und Verschlüsselung
  9. Personalwesen: Personalsicherheit und Zugangskontrollen
  10. Mehrfaktor-Authentifizierung: MFA und sichere Kommunikationssysteme

Vorfallmeldung (Artikel 23)[4]

FristAnforderung
24 StundenFrühwarnung an CSIRT/zuständige Behörde
72 StundenVorfallmeldung mit erster Bewertung
1 MonatAbschlussbericht mit Ursachenanalyse und Gegenmaßnahmen

Signifikante Vorfälle müssen gemeldet werden, wenn sie erhebliche Betriebsstörungen oder finanzielle Verluste verursachen oder verursachen können oder andere natürliche oder juristische Personen betreffen.

Verantwortlichkeit der Geschäftsführung

Leitungsgremien müssen:

  • Cybersicherheits-Risikomanagementmaßnahmen genehmigen
  • Umsetzung der Sicherheitsmaßnahmen überwachen
  • Für Nicht-Einhaltung persönlich haftbar sein
  • Cybersicherheitsschulungen absolvieren

Sanktionen

  • Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes
  • Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes[5]

Mitgliedstaaten können zusätzliche Sanktionen verhängen, einschließlich vorübergehender Managementverbote.

Pflichten von Entwicklern und ICT-Dienstleistern

Wenn Sie ICT-Dienste oder -Produkte bereitstellen:

  1. Managed Service Provider: Direkt als wesentliche Einrichtungen im Geltungsbereich
  2. Cloud-Anbieter: Direkt als wesentliche Einrichtungen im Geltungsbereich
  3. Softwareentwickler: Lieferkettenpflichten von Kunden-Einrichtungen
  4. Sicherheitsanbieter: Können als wichtige Einrichtungen eingestuft werden

Quellen & Referenzen

[1]
Richtlinie (EU) 2022/2555 über ein hohes gemeinsames Cybersicherheitsniveau. EUR-Lex: NIS2 Offizieller Text
[2]
NIS2 Anhänge I und II: Sektoren wesentlicher und wichtiger Einrichtungen. NIS2-Directive.com: Sektoren
[3]
NIS2 Artikel 21: Maßnahmen zum Cybersicherheits-Risikomanagement. NIS2-Directive.com: Artikel 21
[4]
NIS2 Artikel 23: Meldepflichten bei Vorfällen. NIS2-Directive.com: Artikel 23
[5]
NIS2 Artikel 34: Verwaltungsgelder. NIS2-Directive.com: Artikel 34