2. Was ist NIS2?
2
•Die NIS-2-Richtlinie ist eine im November 2022 veröffentlichte und am 16.01.2023 in Kraft getretene Verordnung der
Europäischen Union, die Anforderungen an die Cybersicherheit für Anbieter wesentlicher Dienste und Anbieter digitaler
Dienste festlegt. Ziel der Richtlinie ist es, "ein hohes gemeinsames Niveau an Cybersicherheit in der gesamten Union zu
erreichen". Die Umsetzung der NIS-2-Richtlinie ins nationale Recht muss bis September 2024 erfolgen. Zur Umsetzung der
NIS-2 Richtlinie in Deutschland gibt es mittlerweile einen Referentenentwurf des Bundesinnenministeriums (NIS-2-
Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG).
Was ist NIS2?
•Die Richtlinie ersetzt die ursprüngliche NIS-Richtlinie und führt neue Bestimmungen zur Verbesserung der Cybersicherheit in
einem breiteren Spektrum von Sektoren ein, die je nach ihrer Bedeutung für die Störung der Gesellschaft oder der Wirtschaft
als "wesentlich" oder "wichtig" eingestuft werden. Dazu gehören das verarbeitende Gewerbe, das Finanzwesen, das
Gesundheitswesen und das Verkehrswesen sowie andere, bisher weniger stark regulierte Branchen, die sich zunehmend auf
Technologie stützen, um ihre Geschäfte zu führen. Während ursprünglich nur Telekommunikation, Nahrungsmittel,
Transportwesen, Gesundheit, Energie, Wasserversorgung und Finanzdienstleistung betroffen waren, sind es nun auch
Datacenter-Services, Internetzugangsdienste, Großhandel, Forschung, Postdienstleistungen und Abfallmanagement.
Was ist neu bei NIS2?
•https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689333/EPRS_BRI(2021)689333_EN.pdf
Wo steht der Gesetzestext?
3. Was ist neu bei NIS2?
3
•Business
Continuity
• Schaffung der
erforderlichen
Strukturen für
das Cyber Crisis
Management
Reporting
• Stärkere
Harmonisierung
der Sicherheits-
anforderungen
und
Meldepflichten
Umfang
•Ermutigung der
Mitgliedstaaten,
neue Bereiche von
Interesse
einzuführen, z. B.
die Lieferkette usw.
Zusammenarbeit
•Förderung neuer
Ideen wie die Peer
Reviews zur
Verbesserung der
Zusammenarbeit
und des
Wissensaustauschs
Geltungsbereich
•Erfasst einen
größeren Teil der
Wirtschaft und
Gesellschaft,
indem mehr
Sektoren
einbezogen werden
Anwendungs-
bereich
Management Cyber-Risiko
Meldung von
Vorfällen
Geldbußen und
Strafen
Kernziele
Wichtigste
Grundsätze
Die NIS-2-Richtlinie unterscheidet zwischen „wesentlichen Unternehmen“ und „wichtigen Unternehmen“
Der Hauptunterschied zwischen den beiden besteht darin, dass für „wichtige Unternehmen“ geringere Geldstrafen vorgesehen sind und sie einer reaktiven Aufsicht durch die Behörden unterliegen, im Gegensatz zur proaktiven Aufsicht, die den „wesentlichen Unternehmen“ vorbehalten ist.
In der EU soll es keine unterschiedlichen Mindestschwellenwerte mehr geben, sondern Betroffenheit nach „uniformen Kriterien“ ermittelt werden.
Unter die Regulierung sollen mittlere und große Unternehmen fallen:
Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. Euro Umsatz, < 43 Mio. Euro Bilanz
Groß (large) >250 Beschäftigte, > 50 Mio. Euro Umsatz, > 43 Mio. Euro Bilanz
Dadurch wird der Anwendungsbereich auch in Deutschland enorm ausgeweitet.
Quelle: Webseite PriceWaterhouseCoopers
Breiterer Anwendungsbereich: Die NIS2 gilt für einen breiteren Kreis von Sektoren und Einrichtungen als in der derzeitigen NIS-Richtlinie vorgesehen.
Die betroffenen Unternehmen und Organisationen müssen angemessene Maßnahmen in Bereichen wie Cyber-Risikomanagement, Sicherheit in der Lieferkette, Business Continuity Management, Penetrationstests und Reaktion auf Vorfälle sowie Berichterstattung an die Behörde und Abhilfemaßnahmen ergreifen.
Aufsicht und Rechenschaftspflicht der "Leitungsorgane": Die NIS2 erlegt den "Leitungsorganen" direkte Verpflichtungen in Bezug auf die Umsetzung und Überwachung der Einhaltung der Rechtsvorschriften durch ihre Organisation auf, was zu Geldstrafen und einem vorübergehenden Verbot der Ausübung von Leitungsfunktionen, auch auf der Ebene der leitenden Angestellten, führen kann.
Maßnahmen zum Management von Cyber-Risiken - einschließlich der Sorgfaltspflicht in der Lieferkette: Die NIS2 verlangt von den Auftraggebern die Umsetzung von Maßnahmen zum Cyber-Risikomanagement, die auch Anforderungen an die Minderung des Sicherheitsrisikos und die Sorgfaltsprüfung von Drittanbietern/Dienstleistern umfassen.
Geänderte Anforderungen für die Meldung von Vorfällen: Die NIS2 sieht stufenweise Meldepflichten vor, darunter eine erste Meldung innerhalb von 24 Stunden nach Bekanntwerden bestimmter Vorfälle oder Cyber-Bedrohungen (statt nur "unverzüglich" wie in der NIS-Richtlinie) sowie "Zwischen-" und "Abschlussmeldungen".
Geldbußen und Sanktionen: Den Mitgliedstaaten wird ein Ermessensspielraum eingeräumt, um wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße gegen die NIS2 festzulegen, sowie Verwaltungsstrafen für bestimmte Verstöße von bis zu 10 Mio. EUR oder 2 % des weltweiten Gesamtumsatzes (je nachdem, welcher Betrag höher ist).
Mit der NIS2 wird ein Peer-Review-Mechanismus eingeführt, um die Fähigkeiten und Strategien der Mitgliedstaaten im Bereich der Cybersicherheit zu verbessern. Die an den Peer-Reviews teilnehmenden Experten müssen Berichte über die Ergebnisse der Überprüfungen verfassen, einschließlich Empfehlungen zur Verbesserung der von den Überprüfungen erfassten Sicherheitsaspekte. (Quelle: Webseite Cullen International)
PCI Security Standards Council (PCI SSC): globales Forum der Payment Branche, das die Entwicklung und Übernahme von Data Security Standards and Ressourcen für sichere Zahlungen weltweit vorantreibt
CIS: Center for Internet Security: globale Community, die öffentliche und private Organisationen gegen Cyber Bedrohungen wappnet.
DISA STIG: Organisation (DISA — Defense Information Systems Agency) und deren technische Leitlinien (STIG — Security Technical Implementation Guide).