{"id":6769,"date":"2024-02-28T13:10:25","date_gmt":"2024-02-28T11:10:25","guid":{"rendered":"https:\/\/www.psw-consulting.de\/blog\/?p=6769"},"modified":"2024-02-28T13:10:25","modified_gmt":"2024-02-28T11:10:25","slug":"nis-2-richtlinie-klare-anforderungen-fuer-cybersicherheit","status":"publish","type":"post","link":"https:\/\/www.psw-consulting.de\/blog\/nis-2-richtlinie-klare-anforderungen-fuer-cybersicherheit\/","title":{"rendered":"NIS-2-Richtlinie: Klare Anforderungen f\u00fcr Cybersicherheit"},"content":{"rendered":"<h1 style=\"text-align: center;\">NIS-2-Richtlinie<\/h1>\n<p>Die zweite Fassung der <strong>Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2)<\/strong> ist seit Anfang 2023 in der gesamten Europ\u00e4ischen Union in Kraft. Alle EU-Mitgliedsstaaten m\u00fcssen NIS 2 <strong>bis zum 17. Oktober 2024 in nationales Recht<\/strong> umsetzen. In Deutschland liegt bereits ein <strong>Referentenentwurf<\/strong> des Bundesinnenministeriums f\u00fcr das <strong>NIS-2-Umsetzungsgesetz (NIS2UmsuCG)<\/strong> vor&#8230;.<\/p>\n<h3>&#8230;doch warum eine neue Fassung der NIS?<\/h3>\n<p>Im Jahr 2016 f\u00fchrte die Europ\u00e4ische Union mit der ersten Richtlinie zur Netzwerk- und Informationssicherheit <strong>(NIS 1)<\/strong> Vorschriften f\u00fcr die <strong>Cybersicherheit<\/strong> ein. NIS 1 verlangte von den EU-Mitgliedsstaaten, dass sie <strong>&#8218;kritische Dienste&#8216;<\/strong> definieren und <strong>spezifische Verfahren zur Cybersicherheit<\/strong> sowie<strong> Meldepflichten f\u00fcr Sicherheitsvorf\u00e4lle<\/strong> einf\u00fchren. Die Richtlinie wurde zeitnah in nationales Recht umgesetzt. Zum Beispiel wurden Unternehmen in Frankreich als <strong>&#8218;Operateurs de Services Essentiels (OSE)&#8216;<\/strong> und in Deutschland als <strong>&#8218;KRITIS-Betreiber (KRITIS = Kritische Infrastrukturen)&#8216;<\/strong> eingestuft. Allerdings geschah die nationale Umsetzung uneinheitlich und unterschiedlich, sodass vergleichbare Unternehmen in verschiedenen EU-Staaten <strong>unterschiedlich eingestuft<\/strong> wurden. Die Anzahl der als kritisch betrachteten Dienste <strong>variierte<\/strong> zwischen 12 und 87 in den verschiedenen EU-Mitgliedsstaaten. Mit der NIS-2-Richtlinie schafft die EU nun <strong>Klarheit<\/strong> und legt genau fest, welche Unternehmen als kritische Dienste eingestuft werden und welche Anforderungen f\u00fcr sie gelten. Die Unternehmen m\u00fcssen ihre Ma\u00dfnahmen zum <strong>Schutz vor Cyberangriffen verbessern<\/strong>, <strong>strengere Sicherheitsstandards<\/strong> einf\u00fchren und ihre <strong>IT-Systeme stets auf dem neuesten Stand<\/strong> halten.<\/p>\n<h3>1. Ausweitung des Geltungsbereichs<\/h3>\n<p>Die NIS-2-Richtlinie wurde ausgeweitet, sodass sie nicht nur f\u00fcr bekannte Schl\u00fcsselunternehmen im Bereich der kritischen Infrastruktur gilt, sondern eben auch f\u00fcr wesentliche und wichtige Einrichtungen.<\/p>\n<h4><strong>1.1 Wesentliche Einrichtungen (Essential Entities):<\/strong><\/h4>\n<p>Unter den wesentlichen Einrichtungen fallen u.a. die nachfolgenden Bereiche:<\/p>\n<ul>\n<li><strong>Energie:<\/strong> Lieferung, Verteilung und Verkauf von Strom, Gas, \u00d6l, Wasserstoff, Heizung und Elektromobilit\u00e4tsladestationen<\/li>\n<li><strong>Stra\u00dfen-, Schienen-, Luft- und Schiffsverkehr:<\/strong> einschlie\u00dflich Reedereien, Hafenanlagen und Flugh\u00e4fen<\/li>\n<li><strong>Wasser:<\/strong> Trink- und Abwasserversorgungsunternehmen<\/li>\n<li><strong>Digitale Infrastruktur und IT-Dienste:<\/strong> einschlie\u00dflich Rechenzentren, Clouddiensten, elektronischer Kommunikation, Internetknoten und Anbietern \u00f6ffentlicher elektronischer Kommunikationsnetze und -dienste<\/li>\n<li><strong>Bank- und Finanzwesen:<\/strong> Kredit, Handel, Markt, Infrastruktur und Versicherungswesen<\/li>\n<li><strong>Gesundheitswesen:<\/strong> Gesundheitsdienstleister, Pharmaunternehmen, Hersteller von medizinischen Ger\u00e4ten und Forschungseinrichtungen<\/li>\n<li><strong>usw<\/strong>.<\/li>\n<\/ul>\n<h4><strong>1.2 Wichtige Einrichtungen <\/strong><strong>(Important Entities) <\/strong><\/h4>\n<h4><strong>W\u00e4hrend die wichtige Einrichtungen folgende sind:<\/strong><\/h4>\n<ul>\n<li><strong>Abfallwirtschaft<\/strong><\/li>\n<li><strong>Post- und Kurierdienste<\/strong><\/li>\n<li><strong>Chemische Erzeugnisse: <\/strong>Produktion und Vertrieb<\/li>\n<li><strong>Lebensmittel: <\/strong>Produktion und Vertrieb<\/li>\n<li><strong>Hersteller: Computer<\/strong>, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anh\u00e4nger, Transportmittel<\/li>\n<li><strong>Digitale Anbieter: <\/strong>Suchmaschinen, soziale Netzwerke, Online-Marktpl\u00e4tze<\/li>\n<li><strong>usw.<\/strong><\/li>\n<\/ul>\n<p>Die Frage, welches Unternehmen diese Anforderungen bzw. die Vorgaben der NIS-2-Richtlinie erf\u00fcllen muss, h\u00e4ngt von der <strong>Unternehmensgr\u00f6\u00dfe<\/strong> und den <strong>Umsatz<\/strong> des Unternehmens ab.<\/p>\n<p><strong>1.3 Die Unternehmen werden hier in zwei Kategorien unterteilt:<\/strong><\/p>\n<ul>\n<li><strong>mittlere Unternehmen: <\/strong>50-250 Mitarbeiter, 10-50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR<\/li>\n<li><strong>gro\u00dfe Unternehmen: <\/strong>mehr als 250 Mitarbeiter, mehr als 50 Millionen EUR Umsatz, Bilanzsumme gr\u00f6\u00dfer als 43 Millionen EUR<\/li>\n<\/ul>\n<p>Aufgrund dieser Kategorien werden jetzt <strong>wesentlich mehr Unternehmen<\/strong> als kritische Infrastrukturen betrachtet. Etwa <strong>30.000 Unternehmen<\/strong> in Deutschland werden von den Anforderungen der NIS-2-Richtlinie betroffen sein.<\/p>\n<h3>2. Selbstermittlung der Betroffenheit<\/h3>\n<p>Eine Besonderheit besteht darin, dass die Unternehmen selbst ermitteln m\u00fcssen, ob die NIS-2-Vorgaben f\u00fcr sie gelten. Staatliche Stellen teilen ihnen dies nicht mit.<\/p>\n<h3>3. Was m\u00fcssen Unternehmen und Organisationen, die von NIS-2 betroffen sind, tun?<\/h3>\n<h4><strong>Ma\u00dfnahmen zum Risikomanagement f\u00fcr Cybersicherheit (Art. 21)<\/strong><\/h4>\n<p>Unternehmen m\u00fcssen ein <strong>Risikomanagement<\/strong> einf\u00fchren und <strong>technische sowie organisatorische Ma\u00dfnahmen<\/strong> treffen. Dadurch soll die Sicherheit ihrer Anlagen, Netzwerke, IT-Systeme und Lieferketten <strong>verbessert und gesch\u00fctzt<\/strong> werden.<\/p>\n<p>Gem\u00e4\u00df NIS-2 sind Unternehmen verpflichtet, <strong>mindestens<\/strong> die folgenden Ma\u00dfnahmen zur Cybersicherheit umzusetzen, um die <strong>Risiken f\u00fcr die Sicherheit Ihrer Netz- und Informationssysteme<\/strong> zu kontrollieren und die <strong>Auswirkungen von Sicherheitsvorf\u00e4llen<\/strong> zu verhindern oder zu minimieren. Dabei geht es um den <strong>Schutz Ihrer IT-Systeme<\/strong> und ihrer physischen Umgebung <strong>(\u201eAll-Gefahren-Ansatz\u201c)<\/strong>. Die genaue Umsetzung dieser Ma\u00dfnahmen sollte <strong>individuell<\/strong> und <strong>risikobasiert<\/strong> erfolgen.<\/p>\n<ul>\n<li><strong>Policies:<\/strong> Konzepte f\u00fcr Risikoanalyse und Sicherheit f\u00fcr Informationssysteme<\/li>\n<li><strong>Vorfallbew\u00e4ltigung:<\/strong> Erkennen, analysieren, eind\u00e4mmen und reagieren auf Sicherheitsvorf\u00e4lle<\/li>\n<li><strong>Business Continuity:<\/strong> Sicherung und Wiederherstellung von Informationen, Krisenmanagement<\/li>\n<li><strong>Lieferkette:<\/strong> Sicherheit in der Zusammenarbeit mit Lieferanten und Dienstleistern<\/li>\n<li><strong>Einkauf:<\/strong> Sicherheitsaspekte beim Erwerb, der Entwicklung und der Wartung von IT-Systemen ber\u00fccksichtigen<\/li>\n<li><strong>Wirksamkeit:<\/strong> Bewertung, ob die ergriffenen Risikomanagementma\u00dfnahmen wirksam sind<\/li>\n<li><strong>Cyberhygiene, Schulung:<\/strong> Regelm\u00e4\u00dfige Aktualisierung von Systemen (z.B. Updates) und Schulungen zur Sensibilisierung f\u00fcr Cybersicherheit<\/li>\n<li><strong>Kryptografie:<\/strong> Verwendung von Verschl\u00fcsselungstechnologien, wenn erforderlich<\/li>\n<li><strong>Personal, Zugriffe, Assets:<\/strong> Sicherheit des Personals gew\u00e4hrleisten, Zugriffskontrollen einf\u00fchren und Asset Management durchf\u00fchren<\/li>\n<li><strong>Authentifizierung:<\/strong> Mehrstufige oder kontinuierliche Authentifizierung implementieren<\/li>\n<li><strong>Kommunikation:<\/strong> Sicherstellung sicherer Sprach-, Video- und Textkommunikation, auch unter Notfallbedingungen<\/li>\n<\/ul>\n<p><em><strong>Deutscher NIS2-Gesetzesentwurf:<\/strong><\/em> Nur zertifizierte IKT-Produkte und -Dienstleistungen d\u00fcrfen verwendet werden.<\/p>\n<h3>4. Es wird noch strenger<\/h3>\n<p>Die Strafen f\u00fcr das Nichtmelden sind <strong>h\u00e4rter<\/strong> geworden.<\/p>\n<p>Unternehmen m\u00fcssen bedeutende St\u00f6rungen, Vorf\u00e4lle oder Cybergefahren <strong>sofort<\/strong> ihrer <strong>nationalen Beh\u00f6rde f\u00fcr Cybersicherheit<\/strong> melden. Das <strong>Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) ist in Deutschland die zust\u00e4ndige Stelle<\/strong>.<\/p>\n<p><strong>Der Meldungsprozess ist dreistufig:<\/strong><\/p>\n<ul>\n<li><strong>Innerhalb von 24 Stunden<\/strong> nach Bekanntwerden des Vorfalls muss ein erster Bericht \u00fcbermittelt werden.<\/li>\n<li><strong>Innerhalb von 72 Stunden<\/strong> muss ein vollst\u00e4ndiger Bericht folgen. Der Bericht enth\u00e4lt eine erste Einsch\u00e4tzung des Vorfalls.<\/li>\n<li><strong>Innerhalb eines Monats<\/strong> muss abschlie\u00dfend ein detaillierter Bericht eingereicht werden. Der Bericht enth\u00e4lt eine genaue Beschreibung des Vorfalls, der Art der Bedrohung und der grenz\u00fcberschreitenden Auswirkungen.<\/li>\n<\/ul>\n<p>Unternehmen, die die Vorgaben nicht einhalten, m\u00fcssen mit <strong>strengeren Strafen<\/strong> rechnen. Bei <strong>wesentlichen<\/strong> Einrichtungen k\u00f6nnen die Geldbu\u00dfen bis zu <strong>10 Millionen EUR oder 2 Prozent<\/strong> des weltweiten Jahresumsatzes betragen. Bei <strong>wichtigen<\/strong> Einrichtungen ist das Maximum auf <strong>7 Millionen EUR oder 1,4 Prozent<\/strong> des weltweiten Jahresumsatzes begrenzt.<\/p>\n<p>Der Referentenentwurf des Bundesinnenministeriums sieht vor, dass <strong>Gesch\u00e4ftsf\u00fchrer und andere F\u00fchrungskr\u00e4fte pers\u00f6nlich<\/strong> f\u00fcr die Einhaltung der Ma\u00dfnahmen zum Risikomanagement <strong>haften<\/strong> k\u00f6nnen. Die Geldbu\u00dfe kann <strong>h\u00f6chstens 2 Prozent des weltweiten Jahresumsatzes<\/strong> betragen und <strong>auch das private Verm\u00f6gen der Verantwortlichen<\/strong> betreffen.<\/p>\n<p>Solltet Ihr Hilfe bei der Umsetzung ben\u00f6tigen, so z\u00f6gert nicht uns zu kontaktieren! \ud83d\ude42<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>NIS-2-Richtlinie Die zweite Fassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) ist seit Anfang 2023 in der gesamten Europ\u00e4ischen Union in Kraft. Alle EU-Mitgliedsstaaten m\u00fcssen NIS 2 bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums f\u00fcr das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor&#8230;. &#8230;doch warum eine neue Fassung &hellip; <\/p>\n<p class=\"read-more\"><a class=\"btn btn-default\" href=\"https:\/\/www.psw-consulting.de\/blog\/nis-2-richtlinie-klare-anforderungen-fuer-cybersicherheit\/\"> Mehr Lesen<span class=\"screen-reader-text\">  Mehr Lesen<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":6772,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,46],"tags":[231,40,230,232],"class_list":["post-6769","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-informationssicherheit","category-rechtliches","tag-cybersicherheit","tag-informationssicherheit","tag-nis-2","tag-richtlinie"],"_links":{"self":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6769","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/comments?post=6769"}],"version-history":[{"count":14,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6769\/revisions"}],"predecessor-version":[{"id":6880,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6769\/revisions\/6880"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media\/6772"}],"wp:attachment":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media?parent=6769"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/categories?post=6769"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/tags?post=6769"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}