
Roles/Profiles – How to build them efficiently?
In zentralen Bereichen des Wirtschaftslebens wie Energie, IT, Transport und Wasserversorgung soll die NIS2-Richtlinie in der EU für einheitliche Sicherheitsstandards sorgen und die Resilienz von IT-Systemen sowohl physisch wie auch digital sicherstellen. Aber was bedeutet das konkret für die betroffenen Unternehmen? Welche Auflagen haben sie zu erfüllen und was droht bei Nichteinhaltung?
Die NIS2-Richtlinie sollte bis 18. Oktober 2024 in nationales Recht umgesetzt werden, was in Deutschland jedoch noch nicht geschehen ist. Dennoch sollten Unternehmen sich umgehend damit beschäftigen, was die Richtlinie für sie bedeutet, um bei Inkrafttreten Bußgelder und andere Sanktionen zu vermeiden. Wir bieten daher einen Überblick, was die Richtlinie festschreibt, welche Unternehmen betroffen sind und welche Sanktionen bei Nichterfüllung drohen.
Inhalt
- Was ist die NIS2-Richtlinie?
- Was sind die Inhalte der Richtlinie?
- Welche Unternehmen betrifft NIS2?
- Was sind die konkreten Sicherheitsmaßnahmen nach NIS2?
- Welche Sicherheitsmaßnahmen müssen Organisationen auf jeden Fall treffen?
- Festlegung von Strategien
- <strong><strong>Maßnahmen zur Behandlung von Vorfällen festlegen</strong></strong>
- Notfallplan für die Geschäftskontinuität
- Monitoring
- Sicherheit in der Lieferkette
- Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzen und Informationssystemen
- Bewertung der Cybersicherheit
- Zugriffskontrolle
- Multifaktor-Authentifizierung
- Strafen bei Nichteinhaltung von NIS2
- Unterschiede zwischen NIS2 und ISO 27001
- Aktuelle Umsetzung von NIS2 in Deutschland
- Quellen
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist die überarbeitete Version der NIS-Richtlinie (2016) und wurde vom Europäischen Parlament und dem Rat der Europäischen Union verabschiedet. Sie betrifft die Netzwerk- und Informationssysteme (NIS) und beschäftigt sich damit, wie die Cybersicherheit in insgesamt 18 kritischen Sektoren in der gesamten EU aufrechterhalten werden kann. Zudem bestimmt sie, dass von den Mitgliedsstaaten nationale Cybersicherheitsstrategien festgelegt werden müssen, die diese Richtlinie in nationales Recht umsetzen.
Hintergrund für die Erarbeitung der neuen Richtlinie war, dass die Europäische Kommission 2020 vorschlug, NIS1 zu überarbeiten, da eine Überprüfung ergab, dass in der EU tätige Unternehmen eine unzureichende Cyberresilienz aufweisen und es in der EU ein unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen gab. Die Richtlinie trat am 16. Januar 2023 in Kraft, die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen.
Was sind die Inhalte der Richtlinie?
Kurz zusammengefasst soll die Richtlinie:
- die Cyberresilienz kritischer Einrichtungen verbessern
- den Informationsaustausch und die Zusammenarbeit zwischen den Mitgliedsstaaten fördern
- einheitliche Sicherheitsstandards in Bezug auf Netzwerk- und Informationssysteme in der gesamten EU etablieren
Die Mitgliedsstaaten der EU werden durch diese Richtline zur Verabschiedung einer nationalen Cybersicherheitsstrategie verpflichtet, zudem müssen sie nationale Computer Security Incident Response Teams (CSIRTs) für den Umgang mit Risiken und Störungen benennen. Außerdem vereinheitlicht die Richtlinie auch die Sanktionsmöglichkeiten in den Mitgliedsstaaten.
Welche Unternehmen betrifft NIS2?
NIS1 bezog sich auf „besonders wichtige Einrichtungen“ (z.B. Energie und Verkehr), NIS2 gilt dagegen auch für „wichtige Einrichtungen“ wie Postdienste oder die Abfallwirtschaft.
Die besonders wichtigen Einrichtungen unterliegen strengerer Aufsicht und strikteren Meldepflichten, dazu gehören z.B. Unternehmen in folgenden Bereichen:
- Energie
- Transportwesen
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheitswesen
- Trinkwasserversorgung
- Digitale Infrastruktur
- Öffentliche Verwaltung
- Weltrauminfrastruktur
Die wichtigen Einrichten unterliegen einer weniger strengen Aufsicht, sind aber ebenfalls berichtspflichtig. Dazu gehören Unternehmen in folgenden Bereichen:
- Postdienste
- Abfallwirtschaft
- Chemieindustrie
- Lebensmittelherstellung
- Fertigung kritischer Güter (etwa Medizintechnik oder Maschinenbau)
- IT-Dienstleister (etwa Rechenzentren, Content Delivery Networks)
Die NIS2-Richtlinie gilt grundsätzlich für Unternehmen, die 50 oder mehr Beschäftigte haben und mehr als 10 Mio. Euro Jahresumsatz aufweisen. Aber kleinere Unternehmen können auch betroffen sein, wenn sie systemrelevant sind – also wenn sie für das öffentliche oder wirtschaftliche Leben von erheblicher Bedeutung sind, in einer Lieferkette für kritische Dienste tätig sind, wenn eine Gefährdungslage wie etwa bei Cyberangriffen oder die Abhängigkeit von Drittstaaten vorliegt.
Kontaktieren Sie uns
Haben Sie Fragen zu unseren Produkten oder unseren Dienstleistungen? Benötigen Sie Unterstützung?
Wir helfen Ihnen gern weiter!
Was sind die konkreten Sicherheitsmaßnahmen nach NIS2?
Unternehmen, die von der Richtlinie betroffen sind, müssen technische und organisatorische Sicherheitsmaßnahmen treffen, etwa in Bezug auf Risikomanagement, Zugangskontrollen und Verschlüsselung. Sie müssen außerdem regelmäßige Sicherheitsaudits und Risikoanalysen durchführen. Sicherheitsvorfälle müssen sie innerhalb von 24 Stunden melden.
Außerdem müssen die betroffenen Organisationen sich registrieren lassen, d.h. innerhalb von drei Monaten nach Inkrafttreten der nationalen NIS2-Gesetzgebung im jeweiligen Land müssen sie sich z.B. in Deutschland beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
Die genauen Sicherheitsmaßnahmen, die Unternehmen treffen müssen, werden im offiziellen Dokument der NIS2-Richtlinie beschrieben sowie im Rechtsakt für IT-Dienstleister spezifisch für diesen Bereich. Diese beiden Dokumente bieten einen Einblick in die genauen Anforderungen – was das für andere Branchen und auf nationaler Ebene konkret bedeutet, wird sich erst durch Verordnungen auf nationaler Ebene zeigen (die aber beispielsweise in Deutschland und Österreich noch nicht vorliegen).
Welche Sicherheitsmaßnahmen müssen Organisationen auf jeden Fall treffen?
Festlegung von Strategien
Wichtig ist die Festlegung von Strategien zur Risikoanalyse und zur Sicherheit von Informationssystemen. Organisationen müssen ihre Vorgehensweise zur Absicherung ihrer IT-Systeme und ihres Netzwerks beschreiben und dabei auch auf Rollen und Verantwortungen eingehen.
Maßnahmen zur Behandlung von Vorfällen festlegen
Der korrekte Ablauf ist detailliert festzuhalten, um sicherzustellen, dass IT-Vorfälle eingedämmt, Probleme oder Schwächen behoben werden und eine Wiederherstellung des laufenden Betriebs gewährleistet wird. Wichtig sind dabei etwa folgende Fragen: Wer ist zuständig für die Erkennung von und Reaktion auf Vorfälle? Welche Maßnahmen werden gesetzt? Welche Berichtspflichten gegenüber offiziellen Stellen sind zu erfüllen? Bei einem erheblichen Sicherheitsvorfall etwa muss die zuständige Behörde innerhalb von 24 Stunden nach Bekanntwerden informiert werden.
Notfallplan für die Geschäftskontinuität
Das bedeutet, dass z. B. ein Backup-Management und die Wiederherstellung von Systemen und Daten nach Vorfällen, sowie ein klares Krisenmanagement etabliert werden müssen. Damit wird die Betriebsfortführung sowie die Widerherstellung des Normalbetriebs garantiert – der Plan muss auf Rollen, Aufgaben und Abläufe eingehen. Wichtig ist hierbei vor allem die Erstellung und Bereithaltung von Back-ups sowie ausreichend Redundanz bei den Ressourcen, damit die Systeme ausfallsicher sind.
Monitoring
Betreiber sind verpflichtet, Aktivitäten in den IT-Systemen zu überwachen. Das Monitoring sollte durch Tools automatisiert erfolgen. Einige Beispiele für Events, die überwacht und dokumentiert werden sollten: Netzwerktraffic, Zugriffe auf Anwendungen, Ereignisse bei der Authentifizierung, Aktivitäten privilegierter Konten, Zugriff auf Backups sowie physischer Zugang zu Anlagen.
Sicherheit in der Lieferkette
Hier geht es um die Datensicherheit in der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in den Beziehungen zwischen jeder Organisation und ihren direkten Lieferanten oder Dienstleistern – Organisationen müssen dafür eine „Supply Chain Policy“ festlegen. Damit müssen für die Auswahl von Zulieferern klare Kriterien festlegt werden, indem etwa die Sicherheitspraktiken dieser berücksichtigt werden. Bei Service-Level-Agreements (SLAs) müssen Anforderungen an die personelle und die IT-Sicherheit erfüllt werden.
Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzen und Informationssystemen
Dazu gehört, dass auf die Einhaltung von Sicherheitsanforderungen geachtet wird, wenn IT-Produkte und Dienstleistungen ausgewählt werden, und dass für die korrekte Einstellung der darin enthaltenen Sicherheitsfunktionen zu sorgen ist. Der Schutz vor Malware sowie regelmäßige Schwachstellenscans und Sicherheitstests stellen die kontinuierliche Sicherheit von IT-Produkten sicher. Das bedeutet auch, dass Produkte ausgetauscht werden müssen, die keine Sicherheitsupdates mehr erhalten.
Bewertung der Cybersicherheit
Organisationen müssen Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit entwickeln. Damit müssen nicht nur aktuelle Sicherheitsmaßnahmen erhoben, sondern auch regelmäßige Bewertungen und Maßnahmen zur Verbesserung getroffen werden.
Zugriffskontrolle
Es sind klare Vorgaben erforderlich, wer Zugriff auf welche Ressourcen und Systeme hat – das betrifft Mitarbeitende ebenso wie Gäste, externe Dienstleister, Schnittstellen und Apps. Der gesamte Lebenszyklus von Benutzerkonten ist dabei zu bedenken, d.h. auch eine regelmäßige Anpassung der Zugriffsrechte ist relevant (wobei das „Least Privilege Prinzip“ anzuwenden ist) und schlussendlich auch die Löschung bzw. Sperrung der Zugriffe beim Austritt aus der Organisation.
Multifaktor-Authentifizierung
Es müssen Richtlinien festgelegt werden für die Verwendung von Lösungen für die Multi-Faktor-Authentifizierung oder die kontinuierliche Authentifizierung, die gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

tenfold bietet eine vollautomatische Lösung für Ihr Berechtigungsmanagement und IAM – vereinbaren Sie Jetzt eine kostenlose Demo mit unseren Experten.
Strafen bei Nichteinhaltung von NIS2
Um die Erfüllung der Richtlinie durch Unternehmen konsequent durchzusetzen, sind bei Nichteinhaltung deutliche Sanktionen und Haftungsrisiken vorgesehen. Neben Bußgeldern sind auch organisatorische und persönliche Konsequenzen für Geschäftsführungen vorgesehen – Geschäftsführer haften persönlich, wenn nachgewiesen wird, dass sie ihre Überwachungspflichten vernachlässigt haben. Das kann zur Entlassung, zu Berufsverboten oder zu zivil- und strafrechtlichen Haftungen führen.
Folgende Bußgelder sind bei Verstößen vorgesehen:
- Bei besonders wichtigen Einrichtungen: 10 Mio. EUR, wenn der Umsatz größer allerdings ist als 500 Mio. Euro, dann 2% vom weltweiten Umsatz;
- Bei wichtigen Einrichtungen: 7 Mio. EUR, wenn der Umsatz allerdings größer ist als 500 Mio. EUR, dann 1,4% vom weltweiten Umsatz
- Strafhöhe 2 Mio. EUR: Bei der Verweigerung der Mitwirkung an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit von IT-Systemen auf Anweisung des BSI können Herstellern von IT-Systemen 2 Mio. EUR Strafen drohen, TK-Anbietern und Telemedien können eine Strafe in dieser Höhe erhalten, wenn sie durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren nicht treffen.
- Strafhöhe 1 Mio. EUR: Beispielsweise für Betreiber kritischer Anlagen, wenn sie einen Nachweis über die Erfüllung der Anforderungen nicht richtig oder nicht vollständig erbringen.
Eine genauere Übersicht über die möglichen Bußgelder listet OpenKRITIS (Plattform zum Schutz Kritischer Infrastruktur) auf.
Unterschiede zwischen NIS2 und ISO 27001
NIS2 und ISO 27001 ähneln einander auf den ersten Blick und sind beide Regelwerke zur Stärkung der Cybersicherheit und des Risikomanagements in Organisationen – allerdings haben sie einen unterschiedlichen Fokus, rechtlichen Charakter und Anwendungsrahmen. Hier einige zentrale Unterschiede im Überblick:
- Verbindlichkeit: Die NIS2-Richtlinie ist als EU-Richtlinie verbindlich und muss in nationale Gesetze umgesetzt werden, IS0 27001 dagegen ist eine internationale Norm, deren Zertifizierung durch Organisationen freiwillig ist.
- Zertifizierung: Bei NIS2 gibt es keine formale Zertifizierung, die Einhaltung wird durch die zuständigen Behörden überwacht; bei ISO 27001 dagegen ist eine Zertifizierung durch akkreditierte Prüfer möglich.
- Kontrolle bzw. Audits: Bei NIS2 gibt es eine behördliche Überwachung zur Einhaltung sowie Bußgelder bei Verstößen, bei ISO 27001 dagegen regelmäßige externe Audits zur Aufrechterhaltung.
- Meldepflichten und Haftung: Bei NIS2 sind Vorfälle verpflichtend an die zuständige Behörde zu melden, bei ISO 27001 dagegen gibt es keine zuständige Behörde und damit keine Meldung; anders als bei NIS2 haftet das Management auch nicht gesetzlich für die Umsetzung.
ISO 27001 kann daher als Basis dienen, um Anforderungen von NIS2 zu erfüllen in puncto Risikomanagement, technischer Maßnahmen und Sicherheitsrichtlinien. Über diesen Rahmen hinaus garantiert eine ISO 27001-Zertifizierung allerdings nicht, dass damit die NIS2-Richtlinie vollständig eingehalten wird.
Aktuelle Umsetzung von NIS2 in Deutschland
In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik verantwortlich, ein entsprechendes Gesetz zur Umsetzung von NIS2 ist in Vorbereitung. Am 24. Juli 2024 wurde ein Regierungsentwurf vorgelegt, allerdings hat Deutschland die Umsetzungsfrist zum 18. Oktober 2024 nicht eingehalten. Durch die Neuwahlen des Bundestags 2025 müssen Gesetzesentwürfe, die noch nicht beschlossen wurden, neu eingebracht und verhandelt werden. Mit der Umsetzung von NIS2 ist damit frühestens im zweiten Quartal 2025 zu rechnen.
Über den Autor
Ähnliche Artikel
Quellen
- Durchführungsrechtsakt der EU zu NIS2 vom 27. Juni 2024: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14241-Cybersecurity-risk-management-reporting-obligations-for-digital-infrastructure-providers-and-ICT-service-managers_en (zuletzt eingesehen am 27.05.2025)
- Köller, Joe: „NIS2 Anforderungen: Alle Details für betroffene Unternehmen“ (veröffentlicht am 19.07.2024): https://www.tenfold-security.com/nis2-richtlinie/ (zuletzt eingesehen am 27.05.2025)
- NIS2-Richtlinie auf EUR-Lex (Access to European Union law): https://eur-lex.europa.eu/eli/dir/2022/2555 (zuletzt eingesehen am 27.05.2025)
- „NIS2-Richtlinie: neue Vorschriften für die Cybersicherheit von Netz- und Informationssystemen“: https://digital-strategy.ec.europa.eu/de/policies/nis2-directive (zuletzt eingesehen am 27.05.2025)
- OpenKRITIS: „Bußgelder in KRITIS“. https://www.openkritis.de/betreiber/bussgelder-kritis-bsig.html (zuletzt eingesehen am 27.05.2025)
permSECURE GmbH
Storkower Straße 115 A
10407 Berlin
Germany
Contact
+49 30 3642803 0
info@permsecure.com
MO-FR 08:00–17:00
© 2024 permSECURE GmbH | All rights reserved | Website by .kloos