Vertriebliche Beratung:
NIS2 Directive
Blog

|

13.12.2023

Checkliste für NIS2: Ein Leitfaden zur Umsetzung der Security-Richtlinie

Daniel Graßer
Die Europäische Union hat in den letzten Jahren verstärkte Maßnahmen zur Verbesserung der Cybersecurity in Europa ergriffen. Die Network and Information Security Directive 2 (NIS2) ist ein bedeutender Schritt in diese Richtung. Diese Richtlinie verlangt von Organisationen, dass sie ihre Sicherheitsmaßnahmen verstärken, um die digitale Infrastruktur in der EU vor Cyberbedrohungen zu schützen. Die Umsetzung in nationales Recht hat dabei bis zum 17. Oktober 2024 zu erfolgen. Erfahren Sie im Folgenden, worum es in dieser Richtlinie geht, wer betroffen ist, welche Vorgaben sie enthält und welche Empfehlungen wir für die Umsetzung geben.

Worum geht es bei NIS2?

NIS2 ist eine Erweiterung der ursprünglichen NIS-Richtlinie, die darauf abzielt, die Widerstandsfähigkeit und Sicherheit der digitalen Infrastruktur in der EU zu stärken. NIS2 soll sicherstellen, dass Unternehmen und Organisationen in kritischen Sektoren angemessene Sicherheitsmaßnahmen umsetzen, um Cyberangriffe zu verhindern und effektiv darauf zu reagieren. Sie soll zudem eine verstärkte Zusammenarbeit zwischen den EU-Mitgliedstaaten schaffen, um die europäische Cybersicherheit zu fördern.

Warum braucht es eine solche Richtlinie?

Die Kehrseite der fortschreitenden Digitalisierung ist die steigende Bedrohung durch Cyberkriminalität. Die vom Digitalverband Bitkom ermittelten Schäden durch Cyberkriminalität in Deutschland belaufen sich laut Wirtschaftsschutzbericht 2022 auf 203 Milliarden Euro. Doch nicht nur die Wirtschaft, sondern kritische Infrastrukturen (KRITIS) oder öffentliche Einrichtungen sind – auch aufgrund der politischen Lage – heute einem erheblichen Risiko durch Cyberkriminalität ausgesetzt. Der Ausfall kritischer Einrichtungen und Dienste kann schwerwiegende Folgen für das Funktionieren unserer Gesellschaft, der Wirtschaft und der öffentlichen Sicherheit haben.

Welche Rolle spielt der „Stand der Technik“?

Der Stand der Technik im Bereich der Cybersicherheit ist dynamisch und entwickelt sich aufgrund neuer Bedrohungen, technologischer Entwicklungen und bewährter Verfahren ständig weiter. Daher erfordert dessen Einhaltung, dass Unternehmen ihre Sicherheitsmaßnahmen regelmäßig überprüfen, aktualisieren und anpassen, um den aktuellen Herausforderungen und Standards gerecht zu werden. Die Anforderung, dem Stand der Technik zu entsprechen, ist ein wesentlicher Aspekt der NIS2-Richtlinie. Damit wird sichergestellt, dass Organisationen wirksam auf aktuelle und zukünftige Bedrohungen reagieren und die Integrität ihrer digitalen Infrastruktur gewährleisten können.

Wen betrifft NIS2?

Die NIS2-Richtlinie betrifft verschiedene Akteure in der EU, insbesondere Organisationen in kritischen Sektoren. Dazu gehören Unternehmen in den Bereichen Energie, Versorger, Verkehr, Banken und Finanzen, Gesundheit sowie digitale Dienstleistungen.
Wesentliche BereicheWichtige Bereiche
EnergiePost- und Kurierdienste
Verkehr und TransportAbfallwirtschaft
BankwesenProduktion, Herstellung und Handel mit chemischen Stoffen
FinanzmärkteProduktion, Verarbeitung und Handel von Lebensmitteln
GesundheitswesenVerarbeitendes Gewerbe, Herstellung von Waren
TrinkwasserAnbieter digitaler Dienste
AbwasserForschungseinrichtungen
Digitale Infrastruktur
Banken und Finanzmärkte
Öffentliche Verwaltung
Weltraum

Übersicht der betroffenen Sektoren nach NIS2.

Was sind die Vorgaben der NIS2-Richtlinie?

Die Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 umsetzen. Danach muss die Kommission die Anwendung der Richtlinie regelmäßig überprüfen und dem Parlament und dem Rat erstmals bis zum 17. Oktober 2027 Bericht erstatten. Für betroffene Organisationen legt die NIS2-Richtlinie verschiedene Verpflichtungen fest:
1. Meldepflicht für Zwischenfälle

Organisationen müssen erhebliche Cyberincidents innerhalb von 72 Stunden an die nationalen Behörden melden. Dies ermöglicht es den Behörden, schnell auf Bedrohungen zu reagieren und die Auswirkungen zu minimieren.

2. Sicherheitsmaßnahmen

Unternehmen und öffentliche Verwaltungen müssen geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Cybersecurity umsetzen. Dies umfasst die Sicherung von Netzwerken und Systemen sowie die Implementierung von Sicherheitsrichtlinien.

MaßnahmeErläuterung
PoliciesRichtlinien für Risiken und Informationssicherheit
Incident ManagementPrävention, Detektion und Bewältigung von Cyberincidents
Business ContinuityBCM mit Backup Management, Disaster Recovery, Krisenmanagement
Supply ChainSicherheit in der Lieferkette
EinkaufBeschaffung von IT- und Netzwerksystemen
EffektivitätVorgaben zur Messung von Cyber- und Risikomaßnahmen
TrainingCybersecurity-Hygiene
KryptographieVorgaben für Kryptographie und wo möglich Verschlüsselung
PersonalHR-Security
ZugangskontrolleZugriffskontrolle
Asset ManagementInformation Security Management System (ISMS)
AuthentifizierungEinsatz von Multi-Faktor und SSO
KommunikationSichere Kommunikationstools
NotfallkommunikationEinsatz gesicherter Systeme (Sprach, Video und Text)

Sicherheitsmaßnahmen nach NIS2

3. Verantwortung der Geschäftsführung

Die Geschäftsführung ist dazu angehalten, die Umsetzung der Maßnahmen zu überwachen. Dabei haftet sie für Verstöße. Die Teilnahme an entsprechenden Schulungen ist verpflichtend und diese müssen auch den Mitarbeitenden angeboten werden.

Sanktionen bei Verstößen

Bei Verstößen gegen die NIS2-Richtlinie (Risikomanagementmaßnahmen, Art. 21 und Meldepflicht, Art. 23) können Geldstrafen und andere Sanktionen verhängt werden. Die Pflichten der „Essential Entities“ und „Important Entities“ (s. Übersicht oben) sind grundsätzlich gleich, jedoch unterscheiden sie sich in der Intensität der Überwachung und der Höhe der Bußgelder bei Nichteinhaltung. Es drohen je nach Entity Höchstbeträge von mindestens zehn bzw. sieben Millionen Euro bzw. zwei Prozent oder 1,4 Prozent des weltweiten Umsatzes im Vorjahr.

B3S als Orientierung

Soweit verfügbar, können Unternehmen sich an den B3S (Branchenspezifische Sicherheitsstandards) orientieren. Laut BSI können KRITIS-Betreiber oder deren Verbände in diesen konkretisieren, wie die Anforderungen an den „Stand der Technik“ erfüllt werden können. Die B3S können dem BSI zur Feststellung der Eignung vorgelegt werden und sind anschließend über die BSI-Website abrufbar. Eine gesetzliche Verpflichtung zur Erstellung eines B3S besteht zwar nicht, es eröffnet den Branchen allerdings die Möglichkeit, auf Basis der eigenen Expertise selbst Spezifikationen zum Stand der Technik zu formulieren. Darüber hinaus besteht für Betreiber, die sich nach einem solchen anerkannten B3S auditieren lassen, Rechtssicherheit hinsichtlich des Standes der Technik, der bei einem Audit gefordert und überprüft wird.

Was empfehlen wir bei plusserver?

Klären Sie zunächst, ob Ihre Organisation von NIS2 betroffen ist. Dazu können Sie die Übersicht der Entities (s. oben) nutzen und zusätzlich die folgenden Fragen beantworten:

  • Erbringt Ihre Organisation Dienstleistungen in der EU oder übt ihre Tätigkeiten in der EU aus?
  • Haben Sie mindestens 50 Mitarbeitende oder mindestens 10 Millionen Euro Umsatz und mindestens 10 Millionen Euro Bilanz (hier gelten einige Sonderfälle im Hinblick auf die Kritikalität der erbrachten Dienste)?

Sie sind betroffen? Die Umsetzung der NIS2-Richtlinie erfordert eine sorgfältige Planung und Ressourcenallokation. Die folgende Checkliste kann Sie bei dieser Aufgabe unterstützen:

  • Risikobewertung: Führen Sie regelmäßige Risikobewertungen durch, um die spezifischen Bedrohungen und Schwachstellen Ihres Unternehmens zu identifizieren.
  • Sicherheitsmaßnahmen: Implementieren Sie angemessene Sicherheitsmaßnahmen, einschließlich Zugriffskontrollen, Verschlüsselung und Monitoring.
  • Incident-Response-Plan: Erstellen Sie einen gut durchdachten Zwischenfallreaktionsplan, um sicherzustellen, dass Sie auf Incidents effektiv reagieren können.
  • Schulung und Sensibilisierung: Schulen Sie Ihre Mitarbeitenden und stärken Sie die Awareness für Sicherheitsrisiken. Vermitteln Sie Best Practices, um menschliche Fehler zu minimieren.
  • Compliance-Management: Halten Sie sich über die aktuellen Entwicklungen in der Gesetzgebung bezüglich Cybersicherheit auf dem Laufenden und stellen Sie sicher, dass Ihre Organisation stets konform ist.
  • Supply-Chain-Management: Ebenso relevant wie Ihre eigenen Sicherheitsmaßnahmen sind die Maßnahmen Ihrer Zulieferer. Achten Sie besonders auf Zertifizierungen wie ISO 27001 sowie bei Cloud-Anbietern auf ein BSI-C5-Testat.
  • Externe Hilfe: Es ist ratsam, sich auch an externe Berater und Lösungsanbieter zu wenden, um sicherzustellen, dass Sie alle Anforderungen der NIS2-Richtlinie erfüllen.

plusserver-Lösungen, die bei der Umsetzung von NIS2 unterstützen

Security-Beratung/ConsultingSecurity-LösungenZertifizierte Infrastruktur
Pentests und Audits SOC as a ServiceStandorte in DE
Awareness-TrainingsEDR as a ServiceISO 27001
(jeweils durch Partner)Security ScannerBSI C5 (Typ-II)
Workload Protection
Next Gen Firewall
DDoS-Schutz
Backup/Disaster Recovery

Mit einem umfassenden Security-Portfolio, deutschen Cloud-Lösungen und einem breiten Partner-Ökosystem kann plusserver bei der Einhaltung gesetzlicher Vorgaben wie NIS2, aber auch SiG 2.0, unterstützen.

NIS2 jetzt angehen!

Betroffene Organisationen müssen jetzt die erforderlichen Schritte unternehmen, um sicherzustellen, dass sie den Anforderungen dieser Richtlinie entsprechen. Sie benötigen Hilfe?

Mit unserem breiten Partner-Ökosystem und umfangreichen Security-Portfolio begleiten wir Sie gern bei der Umsetzung der nötigen Maßnahmen.

Sprechen Sie uns einfach an!

Über den Autor

Daniel Graßer verantwortet seit Juni 2022 als Senior Director of Security Services das Security Portfolio & Services sowie die dazugehörige Strategie bei plusserver. Das Leistungsportfolio umfasst neben hochstandardisierten Cloud-Produkten u. a. Themen wie Security as a Service, Anti-Ransomware-Strategien bis hin zum Betrieb von SOC-Leistungen.

Weiterführende Inhalte

Blog

EDR Security: Schützen Sie Ihr Business mit Managed Services

Managed EDR Security erleichtert Bedrohungserkennung und Datenschutz mit Endpoint Detection & Response.
Blog

Security Operations Center (SOC): Der Königsweg der IT-Security?

Ein Security Operations Center (SOC) gehört zu den zentralen Bausteinen eines durchdachten IT-Security-Prozesses.
Download

Merkblatt zu NIS2

Erfahren Sie die wichtigsten Fakten zur Security-Richtlinie auf einen Blick.