Die NIS2-Richtlinie: Was Unternehmen jetzt wissen müssen

NIS2-Richtlinie im Fokus

Die NIS2-Richtlinie verschärft die Mindestanforderungen an die IT-Sicherheit kritischer Infrastrukturen und betrifft erheblich mehr Unternehmen als bisher. Welche Neuerungen kommen auf Sie zu? Und was müssen Sie jetzt tun, um gut vorbereitet zu sein? Hier finden Sie Antworten auf die wichtigsten Fragen. 

Die NIS2-Richtlinie: Was Unternehmen jetzt wissen müssen

Was ist NIS2?

Die NIS2-Richtlinie (Netzwerk und Informationssysteme) ist ein Rechtsakt, in dem ein von den EU-Ländern zu erreichendes Ziel festgelegt wird, der Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen definiert. Die EU-Kommission will damit das Cybersicherheits-Niveau in der Europäischen Union verbessern und die internationale Zusammenarbeit bei der Bekämpfung von Cyberangriffen stärken. NIS2 ist seit dem 16. Januar 2023 in Kraft und muss bis zum 17. Oktober 2024 von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Die neue Richtlinie betrifft circa 30.000 Unternehmen in Deutschland und bringt neue Pflichten mit sich. 

nis2

Revolutionäre Cybersicherheit: NIS2 und Trend Micro im Fokus

Unternehmen definieren mit NIS2 und intelligentem Angriffsflächen-Management ihre Sicherheitsstrategien neu, da Cybercrime zu einem lukrativen Geschäftsmodell geworden ist. Deswegen ist es wichtig, sich gegen Cyberbedrohungen zu wappnen, Cyberrisiken als Geschäftsrisiken zu erkennen und frühzeitig darauf zu reagieren. 

Cyberkriminalität - betrifft mich doch nicht! Oder doch?

Im wöchentlichen Business-Podcast der Solutions by Handelsblatt Media Group "So klingt Wirtschaft - Zukunftsthemen für Unternehmen" spricht Hannes Steiner darüber, was gerade die deutsche Wirtschaft zu einem so attraktiven Angriffsziel macht. Denn Hacker haben es verstärkt auf deutsche Firmen abgesehen. Hören Sie, welche einfachen Schritte Ihr Unternehmen sicherer machen.

Was bedeutet NIS2 in Deutschland?

Das deutsche Gesetz zur Umsetzung von NIS2 (NIS2UmsuCG) liegt mittlerweile als zweiter Referentenentwurf vor. Dieser wird derzeit abgestimmt und muss dann noch das Gesetzgebungsverfahren auf Bundesebene durchlaufen. NIS2UmsuCG ist ein Artikelgesetz, das bestehende KRITIS-Gesetze in Deutschland anpasst – vor allem das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik).

Um gut vorbereitet zu sein, sollten Unternehmen nicht auf den finalen deutschen Gesetzestext warten, sondern das Thema jetzt angehen. Denn Security-Maßnahmen einzuführen, kostet Zeit, und auf den letzten Drücker werden meist die Berater-Ressourcen knapp. 

Die wichtigsten Neuerungen von NIS2 auf einen Blick

Die NIS2-Richtlinie überarbeitet die NIS-Richtlinie von 2016 und löst sie ab. Das sind die wichtigsten Änderungen:

  • Erheblich mehr Unternehmen sind betroffen. Die Zahl der Sektoren wächst insgesamt auf 18. Sieben neue „Important Entities“ (wichtige Einrichtungen) kommen hinzu und Schwellenwerte werden gesenkt.
  • Unternehmen müssen das Risiko eines Cyberangriffs über ihre Lieferkette beurteilen können.
  • Cyberrisikomanagement wird Pflicht.
  • Unternehmen müssen Mitarbeiterschulungen und Audits zur Cybersicherheit durchführen.
  • Geschäftsführer haften persönlich für den Schaden, der durch Missachtung ihrer Pflicht zum Cyberrisikomanagement entsteht.
  • Bei Verstößen drohen empfindliche Strafen.
  • Es gelten strenge Meldepflichten. Aufsichtsbehörde ist das BSI.
  • Die Mitgliedsstaaten richten ein nationales CSIRT (Computer Security Incident Response Team) ein. In Deutschland übernimmt diese Rolle wahrscheinlich das BSI. Die CSIRTs arbeiten EU-weit zusammen und berichten an die übergreifende, koordinierende Cybersecurity Behörde ENISA (European Union Agency for Cybersecurity).

Bin ich von NIS2 betroffen?

Unternehmen müssen selbst klären, ob sie unter die NIS2-Richtlinie fallen, und sich gegebenenfalls beim BSI registrieren. Die folgenden Kriterien sind entscheidend:

Sie waren bisher schon KRITIS expand_more

Sie waren bisher schon KRITIS

Damit sind Sie automatisch von NIS2 betroffen. Die deutsche Umsetzung definiert „Betreiber kritischer Anlagen“ als eigene Kategorie.

Sie fallen in einen der 18 Sektoren expand_more

Sie fallen in einen der 18 Sektoren

Außerdem beschäftigen Sie mindestens 50 Mitarbeitende und haben mindestens zehn Millionen Euro Jahresumsatz.

Besonders wichtige vs. wichtige Einrichtungen expand_more

Besonders wichtige vs. wichtige Einrichtungen

Die NIS2-Richtlinie unterscheidet zwischen besonders wichtigen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities) sowie mittleren Unternehmen und großen Unternehmen. Diese Einteilung hat Auswirkungen auf die Höhe der Sanktionen und die Aufsicht durch die Behörden.

Unternehmensgröße expand_more

Unternehmensgröße

Folgende Schwellenwerte gelten für die Sektoren:

  • Mittlere Unternehmen = 50 bis 249 Mitarbeitende und weniger als 50 Millionen Euro Umsatz und/oder weniger als 43 Millionen Euro Bilanz.
  • Große Unternehmen = mindestens 250 Mitarbeitende, mindestens 50 Millionen Euro Umsatz und/oder mindestens 43 Millionen Euro Bilanz.
Sonderfälle expand_more

Sonderfälle

Einige Sonderfälle aus dem Bereich der besonders wichtigen Einrichtungen sind unabhängig von ihrer Größe von der NIS2-Richtlinie betroffen. Dazu zählen zum Beispiel qualifizierte Vertrauensdienste, TLD-Registries und DNS-Dienste.

Besonders wichtige – und wichtige Einrichtungen

Diese 18 Sektoren definiert die NIS2-Richtlinie

Besonders wichtige Einrichtungen

  • Energie (Strom, Öl. Wasser. Wasserstoff)
  • Gesundheit (Krankenhäuser, Labore, Forschung und Entwicklung, Pharmazeutika, Medizingerätehersteller)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Banken und Finanzwesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastrukturen (IXPs, Cloud Provider, Rechenzentren, CDNs, TSPs, elektronische Kommunikation)
  • ICT Service Management im B2B
  • Raumfahrt
  • Öffentliche Verwaltung (Zentralregierung, regionale Regierung)

Wichtige Einrichtungen

  • Post und Kurierdienste
  • Abfallwirtschaft
  • Chemische Produkte
  • Lebensmittel
  • Verarbeitende / herstellende Industrie
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung
image

Sind Sie Zulieferer einer (besonders) wichtigen Einrichtung?

Dann sind auch Sie indirekt von NIS2 betroffen. Denn die Richtlinie schreibt KRITIS-Betreibern sowie besonders wichtigen und wichtigen Einrichtungen der 18 Sektoren vor, dass sie die Cybersecurity in Ihrer Lieferkette betrachten müssen. Wer weiterhin Aufträge erhalten will, muss davon ausgehen, dass Diskussionen zur Cybersicherheit in Vertragsverhandlungen künftig zur Normalität werden. 

Anforderungen der NIS2-Richtlinie an Geschäftsführer/CEOs

NIS2 betont Cyberrisikomanagement als Teil des unternehmerischen Risikomanagements. Und das aus gutem Grund, denn Cyberangriffe sind heute das größte Geschäftsrisiko. Gerade im Bereich der kritischen Infrastrukturen ist es wichtig, den Betrieb sicherzustellen. Daher nimmt die NIS2-Richtlinie CEOs in die Verantwortung: Sie müssen Maßnahmen zum Cyberrisikomanagement billigen und deren Umsetzung überwachen. Geschäftsführer, die ihrem Cyberrisikomanagement nicht nachkommen, haften persönlich die entstandenen Gefährdungen und/oder Schäden.

Für CEOs, die sich bisher wenig mit Cybersicherheit auseinandergesetzt haben, ist Cyberrisiko-Management Neuland. In der Praxis bedeutet das: Sie müssen Cyberrisiken erkennen, bewerten und entscheiden, welche für das Unternehmen akzeptabel sind und welche nicht. Dabei gilt es, Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß für das eigene Unternehmen zu betrachten. Eine wichtige Voraussetzung bilden regelmäßige Meetings mit dem/der Security-Verantwortlichen. Laut einer Trend Micro-Studie sprechen immerhin bereits 51 Prozent der befragten IT-Teams einmal wöchentlich mit der Geschäftsleitung über Cyberrisiken.

PODCAST

Hören Sie im Podcast, welche Tipps Hannes Steiner, Vice President Germany bei Trend Micro, zur NIS2-Richtlinie hat.

Anforderungen der NIS2-Richtlinie an CISOs/IT-Security-Verantwortliche

IT-Security-Verantwortliche stehen vor der Herausforderung, die NIS2-Richtlinie umzusetzen. In Artikel 21 listet die Direktive die Mindestanforderungen an die Cybersicherheit auf. Dazu zählen neben Cyberrisiko-Management zum Beispiel Backup-Management, Incident-Management, Konzepte und Verfahren für den Einsatz von Kryptographie sowie Zugriffskontrollen und Identitätsmanagement. Die gute Nachricht: Wenn Sie bereits gängige Security Best Practices etabliert haben, können Sie viele der Anforderungen abhaken.

Für das Cyberrisiko-Management müssen CISOs/IT-Security-Verantwortliche in der Lage sein, der Geschäftsleitung jederzeit verständlich darzulegen, wie der aktuelle Risiko-Status aussieht, welche Risiken am dringlichsten sind und welche Maßnahmen das Unternehmen ergreifen sollte. Cyberrisikomanagement muss kontinuierlich erfolgen, da sich die Angriffsfläche und das Bedrohungsumfeld ständig ändern.

Trend Micro unterstützt mit modernster Security-Technologie bei der NIS2-Umsetzung. 

Cyberrisiko-Management leicht gemacht mit ASRM expand_more

Cyberrisiko-Management leicht gemacht mit ASRM

Attack Surface Risk Management (ASRM) von Trend Micro ermittelt automatisiert und KI-gestützt den Risiko-Score Ihrer IT-Umgebung. Dabei nimmt die Technologie die Angreifer-Perspektive ein: Sie sammelt interne Daten aus den angeschlossenen Sensoren und korreliert sie mit Security-Informationen aus unzähligen externen Quellen, darunter Veröffentlichungen von Regierungsbehörden, Polizeiorganisationen, Security-Unternehmen und Analysten. In einem Dashboard behalten Sie den Überblick. Sie sehen dank einer Ampeldarstellung sofort, wie gefährlich die ermittelten Risiken sind. Die Lösung alarmiert Sie, sobald ein bestimmter Schwellenwert überschritten ist, und zeigt Details an – etwa, welche Systeme betroffen sind. Außerdem erhalten Sie Handlungsempfehlungen zu Gegenmaßnahmen und können Risiken sogar automatisiert adressieren.

Schadensausmaß mindern mit XDR expand_more

Schadensausmaß mindern mit XDR

Da es nie möglich sein wird, alle Risiken zu beseitigen, müssen Sie trotz bester Sicherheitsvorkehrungen immer damit rechnen, dass es zum Angriff kommt. Um das Schadensausmaß zu mindern, sollten Sie in der Lage sein, den Vorfall schnell zu erkennen und zu stoppen. Am besten gelingt dies mit Trend Micro XDR (Extended Detection and Response). Die Technologie schafft Transparenz in der gesamten IT-Umgebung, sammelt Bedrohungsinformationen aller angeschlossenen Systeme und korreliert sie KI-gestützt zu verwertbaren Warnungen. Die Zahl der False Positives minimiert sich. So sehen Sie auf einen Blick, was passiert ist, welche Systeme betroffen sind und wo Handlungsbedarf besteht.

So spielen ASRM und XDR zusammen expand_more

So spielen ASRM und XDR zusammen

Sowohl ASRM als auch XDR sind in die Cybersecurity-Plattform Trend Vision One integriert. dort lassen sie sich zentral überwachen und steuern. Beide Technologien greifen auf dieselben Sensoren zu und kommunizieren miteinander. Wenn das ASRM ein Risiko erkennt, kann das XDR dieses genauer untersuchen. Umgekehrt wird der Risiko-Status im ASRM sofort angepasst, wenn das XDR Anzeichen für einen Cyberangriff aufdeckt. Zusammen ermöglichen es die beiden Technologien, sowohl die Eintrittswahrscheinlichkeit als auch das Schadensausmaß eines Cyberangriffs zu mindern.

Gartner Peer Insights Customers' Choice Logo

Trend Micro als Leader eingestuft

Forrester Wave™: Endpoint Security, Q4 2023

Trend Micro erhielt die höchste Punktzhal in der Kategorie Strategie sowie Bestnoten für Innovation, Roadmap und Akzeptanz.

MÖGLICHE LÖSUNGEN FÜR NIS2

Trend Micro-Lösungen die bei der NIS2-Umsetzung unterstützen

Eine detaillierte Übersicht der Anwendbarkeit von Trend Micro-Angeboten in einzelnen Bereichen des NIS2UmsuCG finden Sie im aktuellen Whitepaper. Die einzelnen Komponenten, sowie deren Voraussetzungen sind dabei modular kombinierbar und können bedarfsorientiert beschafft und betrieben werden.

image

Anforderungen der NIS2-Richtlinie an Compliance Manager

Um sicherzustellen, dass Ihr Unternehmen die NIS2-Richtlinie erfüllt, müssen Sie die regulatorischen Anforderungen genau kennen, die ergriffenen Maßnahmen dokumentieren und ihre Wirksamkeit überprüfen. Außerdem sollten Sie Schulungen durchführen, um die Mitarbeitenden für die NIS2-Compliance zu sensibilisieren. Für dem Fall, dass Sie von einem Cyberangriff betroffen sind, brauchen Sie ein Verfahren, um den Vorfall fristgerecht innerhalb von 24 Stunden an das BSI zu melden.

Erst, wenn das deutsche Umsetzungsgesetz zu NIS2 verabschiedet ist, stehen die finalen Anforderungen in Deutschland fest. Bis dahin ist es empfehlenswert, sich mit dem aktuellen Stand der Gesetzgebung zum IT-Sicherheitsgesetz vertraut zu machen.

Juristischer Leitfaden

Im Falle eines erheblichen Sicherheitsvorfalls müssen Unternehmen unverzüglich Meldungen abgeben, einschließlich einer Frühwarnung innerhalb von 24 Stunden und einer detaillierten Meldung innerhalb von 72 Stunden. Bei Verstößen gegen die gesetzlichen Vorgaben drohen erhebliche Bußgelder: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen und bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes für wichtige Einrichtungen. Darüber hinaus können Zwangsgelder bis zu 100.000 Euro verhängt werden.

Erfahren Sie alle juristischen Details und bereiten Sie Ihr Unternehmen optimal auf die neuen gesetzlichen Anforderungen vor. Laden Sie unser ausführliches Whitepaper herunter!

image

NIS2 und DSGVO

Auch wenn die finale deutsche Gesetzgebung zu NIS2 noch aussteht, ist jetzt schon klar: NIS2 wird sich unter die DSGVO einordnen. Bei Vorfällen, die beide Gesetze betreffen, richtet sich das Strafmaß nach der DSGVO. Der Bußgeldrahmen für besonders gravierende Verstöße ist hier doppelt so hoch und liegt bei bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.

Wachsen Sie mit Trend Micro – Bild

FAQs

Wer kontrolliert die Umsetzung der NIS2-Richtlinie?

remove add

In Deutschland ist die zuständige Aufsichtsbehörde das BSI. Unternehmen, die zu den besonders wichtigen Einrichtungen oder den KRITIS-Betreibern zählen, müssen dem BSI gegenüber alle zwei Jahre nachweisen, dass sie die NIS2-Maßnahmen umgesetzt haben. Das BSI legt nach der Registrierung des Unternehmens fest, wann der erste Audit stattfindet – spätestens aber vier Jahre, nachdem das neue Gesetz in Kraft getreten ist. Die Audits werden von externen Prüfern durchgeführt, ähnlich wie bisher die KRITIS-Prüfungen. Wenn die Prüfer Mängel feststellen, haben Unternehmen anschließend Gelegenheit, diese innerhalb einer bestimmten Frist zu beheben. 

Welche Strafen drohen bei Verstößen gegen die NIS2-Richtlinie?

remove add

Wer die NIS2-Pflichten nicht erfüllt, muss mit empfindlichen Sanktionen rechnen. Die deutsche Umsetzung  der Richtlinie sieht unterschiedliche Bußgelder für wichtige Einrichtungen sowie KRITIS-Betreiber und besonders wichtige Einrichtungen vor. Bei allgemeinen Tatbeständen gelten für alle Gruppen dieselben hohen Strafen.

  • Allgemeine Tatbestände: bis zu 2 Millionen Euro
  • Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes
  • KRITIS-Betreiber und besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes

Relevante Ressourcen                

Infographic

Stand der Technik in der IT-Sicherheit

Wie erreichen Unternehmen Compliance mit NIS2, DORA & Co.?

Infographic

NIS2-konformes Risikomanagement

Cyberrisiken als Geschäftsführungsverantwortung

Infographic

Praxisleitfaden mit Prof. Dr. Dennis-Kenji Kipker

Demo

NIS2 Übersicht

Demo

NIS2 Countdown - Summary

Demo

Verbesserungen und Umsetzung der NIS2-Richtlinie

Infographic

Ein neues Cybersicherheitsgesetz – braucht‘s das?

Infographic

NIS2 - Die 5 Gebote: Daran sollten betroffene Unternehmen jetzt denken

Aktuelle Veranstaltungen

Demo

Webinar-Serie „Architect‘s Corner“

Demo

Trend Micro Summer Camp

27./28./29. August 2024

Demo

NIS2 unter der Lupe

03./05./10./12. September 2024

Haben Sie Fragen?

Sprechen Sie uns gerne an!

Trend Micro Deutschland GmbH

Nehmen Sie mit mit uns Kontakt auf, denn wir unterstützen Sie gerne auf dem Weg zur NIS2-Konformität

Die zur Verfügung gestellten Informationen dienen lediglich der Information und ersetzen keine individuelle juristische Beratung.