NIS-2-Richtlinie 2024 für Unternehmen: Das gibt es zu beachten
Mein Name ist Karlheinz Knapp ihr Experte in Sachen IT-Sicherheit. Kontaktieren Sie mich für ein unverbindliches Kennlerngespräch.
Mail. vertrieb@ednt.de
Tel. 06251 - 8405 600
Im Juli 2016 wurde die Richtlinie über die Sicherheit von „Netz- und Informationssystemen (NIS)“ erlassen. Ziel dieser Richtlinie war es, die Cyber-Resilienz in der gesamten Europäischen Union durch regulatorische Maßnahmen zu stärken. Sie konzentrierte sich auf die Verbesserung der Cybersicherheitskapazitäten auf nationaler Ebene, die Förderung der Zusammenarbeit zwischen den Mitgliedstaaten und die Einbettung der Cybersicherheit in die Unternehmensstruktur.
Im Jahr 2023 verabschiedete die Europäische Union eine aktualisierte Version der Richtlinie über Netz- und Informationssicherheit, genannt „NIS-2“. Diese Richtlinie soll die EU auf den neuesten Stand bringen und ein höheres Maß an Cybersicherheit und Resilienz in den Unternehmen der EU schaffen.
Die Mitgliedstaaten der EU müssen die NIS2-Richtlinie bis zum 18. Oktober 2024 in nationales Recht umsetzen. Unternehmen sollten bereits jetzt mit den Vorbereitungen zur Einhaltung der Vorschriften beginnen.
Was ist neu an der NIS2-Richtlinie?
Erweiterter Anwendungsbereich
Die neue Richtlinie erweitert den Anwendungsbereich auf zusätzliche Sektoren und fokussiert sich darauf, Leitlinien für eine einheitliche Umsetzung in den EU-Mitgliedstaaten bereitzustellen. NIS2 unterscheidet zwischen zwei Kategorien von Einrichtungen: wichtigen und wesentlichen Einrichtungen.
Wichtige Einrichtungen:
- Digitale Anbieter
- Hersteller
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemische Erzeugnisse
- Lebensmittel
- Forschungseinrichtungen
Wesentliche Unternehmen:
- Energie
- Straßen-, Schienen-, Luft- und Schiffsverkehr
- Wasser
- Gesundheit
- Öffentliche Verwaltung
- IT-Dienstleistungen
- Bank- und Finanzwesen
Unternehmen beider Kategorien müssen dieselben Anforderungen erfüllen, jedoch unterscheiden sich die Überwachungs- und Sanktionsregeln. Wesentliche Unternehmen unterliegen ab Einführung der NIS2-Richtlinie behördlichen Auflagen, während wichtige Unternehmen erst bei Nachweis von Verstößen überwacht werden.
Betroffene Unternehmen:
- Große Unternehmen: mehr als 250 Mitarbeiter oder einen Umsatz von über 50 Millionen Euro
- Mittelgroße Unternehmen: mehr als 50 Mitarbeiter oder einen Umsatz von über 10 Millionen Euro
Die EU-Mitgliedstaaten können diese Anforderungen ausweiten, falls ein Unternehmen bestimmte Kriterien erfüllt, die seine Schlüsselrolle für Gesellschaft, Wirtschaft oder bestimmte Sektoren oder Dienstleistungen betreffen.
Registrierung wesentlicher und wichtiger Einrichtungen
Bis April 2025 müssen die Mitgliedstaaten wesentliche und wichtige Einrichtungen identifizieren, die in den Anwendungsbereich der NIS2-Richtlinie fallen. Es besteht die Möglichkeit, dass Unternehmen sich selbst registrieren. Diese Registrierung muss mindestens folgende Angaben umfassen:
- Name, Adresse und Registrierungsnummer
- Sektor oder Teilsektor, in dem sie gemäß NIS2 tätig sind
- Aktualisierte Kontaktdaten
- Mitgliedstaaten, in denen sie tätig sind
- Liste der zugewiesenen IP-Adressen
Das endgültige Registrierungsverfahren und die erforderlichen Informationen werden im Zuge der Umsetzung der Richtlinie in nationales Recht festgelegt.
Verbesserte Zusammenarbeit (CSIRT-Plattform)
Ein wichtiges Element der neuen Richtlinie ist die Verbesserung der Zusammenarbeit zwischen den EU-Mitgliedstaaten bei der Bewältigung von Cybervorfällen. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) wird eine europäische Datenbank zur Offenlegung von Schwachstellen aufbauen, um den Wissensaustausch zu erleichtern.
Meldepflichten bei Vorfällen
Wie bereits in der NIS-1-Richtlinie festgelegt, wird jeder EU-Mitgliedstaat eine zentrale Kontaktstelle und ein koordinierendes CSIRT (Computer Security Incident Response Team) für die Meldung von Vorfällen haben. In Deutschland wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Aufgabe übernehmen. Vorfälle mit erheblichen Auswirkungen müssen ohne unnötige Verzögerung gemeldet werden:
- Innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls ist eine Vorabmeldung erforderlich.
- Innerhalb von 72 Stunden muss ein vollständiger Bericht mit einer Bewertung des Vorfalls vorgelegt werden.
- Innerhalb eines Monats ist ein detaillierter Abschlussbericht zu erstellen.
Diese Berichterstattung hilft dabei, aus vergangenen Vorfällen zu lernen und ist eine wichtige Änderung der NIS2-Richtlinie.
Fokus auf wichtige Lieferketten
Die NIS2-Richtlinie betont die Bedeutung der Cybersicherheit in der Lieferkette. Unternehmen müssen sicherstellen, dass sie die Cybersicherheitsrisiken in ihrer Lieferkette sowie bei ihren Zulieferern berücksichtigen.
Unsere Leistungen
Die EDNT IT-Services GmbH bietet im Bereich der NIS-2-Richtlinie als Systemhaus umfassende Dienstleistungen an, um Unternehmen bei der Einhaltung der neuen Cybersicherheitsanforderungen zu unterstützen:
-
Beratung zur NIS2-Konformität
- Analyse der aktuellen Cybersicherheitsstrategie
- Entwicklung eines maßgeschneiderten Fahrplans zur Erfüllung der NIS2-Vorgaben
- Unterstützung bei der Identifizierung kritischer Prozesse und IT-Systeme
-
Implementierung eines Informationssicherheitsmanagementsystems (ISMS)
- Einrichtung von Risikomanagementprozessen zur Erkennung und Behandlung von Sicherheitsrisiken
- Unterstützung bei der Definition und Umsetzung von Sicherheitsrichtlinien
- Durchführung regelmäßiger Sicherheitsüberprüfungen und Audits
-
Vorfallmanagement und Krisenmanagement
- Implementierung eines strukturierten Vorfall- und Krisenmanagements (einschließlich Notfallwiederherstellung)
- Einrichtung von Prozessen zur Meldung von Sicherheitsvorfällen an Behörden gemäß NIS2
- Unterstützung bei der Erstellung von Vorab- und Abschlussberichten zu Sicherheitsvorfällen
-
Schutz der IT-Lieferkette
- Analyse und Absicherung von Schwachstellen in der IT-Lieferkette
- Unterstützung bei der vertraglichen Absicherung von Cybersicherheitsstandards mit Zulieferern
- Implementierung von Maßnahmen zur Überwachung und Bewertung der Lieferkettensicherheit
-
Schulungen und Sensibilisierungsprogramme
- Schulung des Managements und der Mitarbeiter zur Erfüllung der NIS2-Vorgaben
- Förderung einer unternehmensweiten Cybersicherheitskultur
- Spezielle Schulungsprogramme für IT-Fachkräfte und Sicherheitsbeauftragte
-
Regelmäßige Risiko- und Sicherheitsbewertungen
- Durchführung von umfassenden Risikobewertungen zur Einhaltung der NIS2-Vorgaben
- Implementierung von Verfahren zur regelmäßigen Bewertung der Cybersicherheitsmaßnahmen
- Sicherstellung der laufenden Überwachung von IT-Systemen auf Sicherheitsrisiken
-
Unterstützung bei der Registrierung und Berichterstattung
- Unterstützung bei der Registrierung wesentlicher und wichtiger Einrichtungen gemäß NIS2
- Beratung bei der Meldung von Sicherheitsvorfällen und Zusammenarbeit mit Aufsichtsbehörden
- Erstellung der erforderlichen Berichte und Dokumentationen zur Einhaltung der Richtlinien
-
Technologische Lösungen zur Verbesserung der Cybersicherheit
- Implementierung von Sicherheitslösungen wie Firewalls, Verschlüsselung und mehrstufige Authentifizierung
- Schutz kritischer Infrastrukturen und Netzwerke durch modernste Sicherheitslösungen
- Sicherstellung der Geschäftskontinuität durch Backup- und Notfallwiederherstellungslösungen
Mit diesen Dienstleistungen unterstützt die EDNT IT-Services GmbH Unternehmen dabei, die Anforderungen der NIS2-Richtlinie effizient umzusetzen und ihre Cybersicherheitsstrategien nachhaltig zu stärken.
Rechenschaftspflicht des Managements
Ein weiteres wichtiges Element der NIS-2-Richtlinie ist die Rechenschaftspflicht, die dem Management der betroffenen Unternehmen zugewiesen wird. Es wird gefordert, dass das Management die Verantwortung für die Cybersicherheitsreife übernimmt und an Schulungen teilnimmt.
Sanktionen
Die NIS2-Richtlinie sieht strengere Sanktionen für Verstöße vor, einschließlich Geldstrafen von bis zu 10 % des Jahresumsatzes eines Unternehmens.
Für wesentliche Einrichtungen:
- Geldstrafen bis zu 10 Millionen Euro oder mindestens 2 % des weltweiten Gesamtumsatzes des Unternehmens.
Für wichtige Unternehmen:
- Geldstrafen bis zu 7 Millionen Euro oder mindestens 1,4 % des weltweiten Gesamtumsatzes des Unternehmens.
Wie bereitet die EDNT IT-Services GmbH Ihre Organisation auf NIS2 vor?
Auf Basis unserer Erfahrungen mit der NIS-1-Richtlinie unterstützt die EDNT IT-Services GmbH Sie bei der Vorbereitung auf die NIS2-Konformität. Wir helfen Ihnen dabei, Ihre Cybersicherheitsstrategie zu entwickeln, Risiken zu managen und Ihre IT-Lieferkette abzusichern, damit Sie den neuen Anforderungen gerecht werden.
Interessiert? Dann sprechen Sie uns an!
Jetzt Infos anfordernWir freuen uns auf Sie! Sie erreichen uns auch unter:
EDNT IT-Services GmbH
Tel: +49 6251 8405 - 500
E-Mail: vertrieb@ednt.de
Werner-von-Siemens-Str. 7
D-64625 Bensheim