Vollständiger Leitfaden zur NIS2-Richtlinie: Alles, was Unternehmen wissen müssen, um die neuen europäischen Cybersicherheitsvorschriften einzuhalten.

Für in der Europäischen Union tätige Organisationen hat die digitale Sicherheit höchste Priorität.. Die Beschleunigung der Digitalisierungsprozesse und die exponentielle Zunahme von Cyberangriffen haben deutlich gemacht, dass gemeinsame und robuste Regelungen erforderlich sind, die die Wirtschaft, wichtige Dienste und die Privatsphäre der Bürger schützen können. In diesem Zusammenhang Die NIS2-Richtlinie ist einen Schritt weiter gegangen, hat ihre Anforderungen erweitert und alles im Zusammenhang mit der Cybersicherheit verschärft., mit einer beispiellosen Reichweite in Europa.

Egal, ob Sie zur Geschäftsführung eines Unternehmens gehören, im öffentlichen Sektor tätig sind oder für die IT verantwortlich sind: Ein umfassendes Verständnis der Auswirkungen von NIS2 auf Sie ist unerlässlich.. Dieser Artikel behandelt umfassend die wichtigsten Aspekte der Richtlinie, darunter wer von ihr betroffen ist, ihre technischen und betrieblichen Anforderungen, wichtige Termine, Verfahren zur Meldung von Vorfällen, Auswirkungen auf die Lieferkette, neue Verantwortlichkeiten des Managements, Sanktionen, die bevorstehende Umsetzung der Gesetzgebung in Spanien sowie praktische Ressourcen zur Vorbereitung und Vermeidung von Risiken. Wenn Sie Bußgelder in Millionenhöhe vermeiden, Ihre Geschäftskontinuität sichern und an der Spitze der europäischen digitalen Sicherheit bleiben möchten, lesen Sie weiter.

Was ist die NIS2-Richtlinie und warum ist sie für Europa so wichtig?

NIS2 – die Abkürzung steht für Network and Information Systems Directive 2 – ist die Weiterentwicklung und Erweiterung der ersten europäischen Cybersicherheitsgesetzgebung (NIS-Richtlinie von 2016)., entwickelt, um auf eine viel komplexere und exponiertere digitale Umgebung zu reagieren. Die neue Richtlinie wurde Ende 2022 im Amtsblatt der Europäischen Union veröffentlicht und formell in Kraft getreten am 16. Januar 2023. Die Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen und ab dem darauffolgenden 18. Oktober anwenden, wobei die Fristen in einigen Ländern verlängert wurden.

Das Ziel von NIS2 besteht darin, ein gemeinsames und hohes Sicherheitsniveau in Netzwerken und Informationssystemen in der gesamten Europäischen Union zu gewährleisten.Damit wird die Grundlage dafür geschaffen, dass die digitale Wirtschaft – und die grundlegenden Dienste der Gesellschaft – auch vor immer ausgefeilteren und aggressiveren Bedrohungen geschützt bleiben.

Zu den wichtigsten neuen Funktionen gehören:

• Deutliche Ausweitung der regulierten Sektoren und der Zahl der Verpflichteten.
• Deutlich strengere Anforderungen an das Risikomanagement und die Meldung von Vorfällen.
• Ein homogenes und strenges System der Aufsicht und Sanktionen auf europäischer Ebene.
• Neue spezifische Pflichten für die Lieferkette, Lieferanten und Subunternehmer.
• Eine gestärkte Rolle und direkte Verantwortung der Leitungsgremien der Unternehmen.

Geltungsbereich: Wer ist zur Einhaltung von NIS2 verpflichtet?

NIS2 betrifft unmittelbar und verbindlich öffentliche und private Einrichtungen in den sogenannten „kritischen Sektoren“ und „Sektoren mit hoher Kritikalität“, die in den Anhängen I und II der Richtlinie aufgeführt sind.. Der größte Unterschied zum ursprünglichen NIS besteht darin, dass Die Liste der Sektoren und Organisationstypen hat sich vervielfacht, und das Kriterium ist nicht mehr nur die Aktivität, sondern auch Größe und strategische Bedeutung.

Im Allgemeinen müssen sie NIS2 einhalten:

• Alle mittleren und großen Unternehmen (mehr als 50 Mitarbeiter oder Jahresumsatz über 10 Millionen Euro), die in diesen Branchen tätig sind.
• In bestimmten Fällen können auch Klein- und Kleinstunternehmen förderfähig sein, wenn ihre Funktion für das Land von entscheidender Bedeutung ist oder sie der einzige Anbieter einer wesentlichen Dienstleistung sind.

Der Gesetzestext unterscheidet zwischen:

• Wesentliche Entitäten: Zu den hochkritischen Sektoren gehören qualifizierte Betreiber vertrauenswürdiger Dienste, Top-Level-Domain-Name-Register, DNS-Anbieter, mittelgroße Unternehmen, die öffentliche elektronische Kommunikationsnetze bereitstellen, bestimmte öffentliche Einrichtungen und solche, die jeder Staat als strategisch betrachtet.
• Wichtige Entitäten: Die übrigen Unternehmen in kritischen Sektoren, die die oben genannten Kriterien nicht erfüllen.

Die betroffenen Sektoren lassen sich in zwei große Gruppen unterteilen:

Sektoren mit hoher Kritikalität (Anhang I):

• Energie (Strom, Gas, Erdöl, Wasserstoff, Fernwärme und Fernkälte)
• Transport (Luft, Schiene, See- und Flussverkehr, Straße)
• Banken- und Finanzmarktinfrastruktur
• Gesundheit
• Trinkwasser und Abwasser
• Digitale Infrastruktur (Rechenzentren, Cloud, Internet-Knotenpunkte, DNS usw.)
• IKT-Servicemanagement
• Öffentliche Verwaltungen (zentral und regional)
• Raum

Andere kritische Sektoren (Anhang II):

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemieindustrie
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Fertigung (einschließlich IT, Optik, elektrische Geräte, Maschinenbau, Transport usw.)
• Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, Social-Media-Plattformen)
• Forschung

sind ausgenommen, mit wenigen Ausnahmen, die Bereiche Verteidigung, nationale Sicherheit, Polizei, Justiz, Parlamente und Zentralbanken.

WICHTIG: Das bloße Fehlen Ihres Unternehmens auf der Liste befreit Sie nicht von der Einhaltung der Vorschriften, wenn Sie wichtige Dienstleistungen für das Funktionieren des Landes anbieten.. Die Mitgliedstaaten können die Liste der verpflichteten Stellen auf der Grundlage nationaler Kritikalitätskriterien erweitern.

Wichtige Grundsätze und Entwicklungen der NIS2-Richtlinie

Die NIS2-Richtlinie stellt einen radikalen Wandel im Cybersicherheitsmanagement dar, da sie nicht nur den Schutz auf mehr Sektoren ausweitet, sondern auch die Anforderungen und die Aufsicht verschärft.. Einige seiner Hauptneuheiten sind:

• Umfangserweiterung: Es verpflichtet nicht mehr nur Anbieter klassischer wesentlicher Dienste oder kritischer Infrastrukturen; deckt viele weitere Sektoren und Unternehmenstypen ab.
• Ansatz „Maximale Größe“: Die meisten Verpflichtungen betreffen mittlere und große Unternehmen, es gibt jedoch Ausnahmen für kleine Unternehmen, wenn ihre Funktion eine Schlüsselfunktion hat.
• Überprüfung des Kritikerkonzepts: Unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einheiten und verhängt für erstere ein strengeres Aufsichts- und Sanktionsregime.
• Europäische Harmonisierung: Es verringert die Unterschiede zwischen den Ländern und erleichtert die Zusammenarbeit und gemeinsame Reaktion auf grenzüberschreitende oder groß angelegte Vorfälle.

Wichtige Verpflichtungen: Was verlangt NIS2 von Unternehmen und Einrichtungen?

Die Verpflichtungen von NIS2 sind zahlreich und werden wie folgt formuliert: zwei Hauptachsen: proaktives Management von Cybersicherheitsrisiken und schnelle Meldung schwerwiegender Vorfälle. Darüber hinaus werden die interne Governance und die Beziehungen zu Lieferanten, Kunden und Behörden gestärkt.

1. Bewertung und Management von Cybersicherheitsrisiken

Alle Verpflichteten müssen Risiken identifizieren, analysieren und behandeln die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer digitalen Systeme und Dienste bedrohen.

Zu den Mindestmaßnahmen gehören:

• Sicherheitsrichtlinien und Risikoanalyse: Bestandsaufnahme der Vermögenswerte, Identifizierung von Bedrohungen, Schwachstellen und potenziellen Auswirkungen.
• Vorfallmanagement: Reaktionspläne, Spezialausrüstung und Überwachungssysteme.
• Geschäftskontinuität und Krisenmanagement: Backups, regelmäßige Wiederherstellungstests, Backup-Pläne und Disaster Resilience Management.
• Sicherheit der Lieferkette: Fordern und überprüfen Sie, dass Lieferanten und Partner die Standards einhalten, und halten Sie dies in Verträgen schriftlich fest.
• Sicherheit bei Entwicklung, Beschaffung und Wartung von Systemen: Verschlüsselung, Zugriffskontrolle, regelmäßige Aktualisierung und Patches.
• Regelmäßige Evaluierung der Wirksamkeit der Maßnahmen: Regelmäßige Audits und Überprüfungen (intern oder extern) zur Überprüfung der Einhaltung.
• Regelmäßige Schulungen zu Cybersicherheit und Cyberhygiene für alle Mitarbeiter und insbesondere für die Führungskräfte.
• Verschlüsselungs- und Informationsschutzrichtlinien.
• Zugriffskontrolle, Multi-Faktor-Authentifizierung und Asset-Management.

2. Meldung von Vorfällen: Fristen und Verfahren

Die schnelle Benachrichtigung der Behörden ist eine der Hauptsäulen von NIS2. Unternehmen müssen CSIRTs (Incident Response Teams) oder nationale zuständige Behörden über alle bedeutender Vorfall die schwerwiegende Betriebsstörungen oder erhebliche wirtschaftliche Schäden verursachen oder verursachen können oder Dritte beeinträchtigen.

Die Fristen sind äußerst streng:

• Vorwarnung: Innerhalb der ersten 24 Stunden nachdem er über den Vorfall informiert wurde.
• Vollständige Benachrichtigung: In maximal 72 Stunden, Aktualisierung der Informationen, Schweregrad, Auswirkungen und ergriffene Maßnahmen. (Für vertrauenswürdige Dienstanbieter 24 Stunden).
• Finale informierenInnerhalb eines Monats mit allen relevanten Details, Ursachen, Maßnahmen und Auswirkungen.

Daran muss man sich auch erinnern Es besteht die Pflicht, betroffene Benutzer oder Kunden zu informieren, wenn der Vorfall für sie schwerwiegende Auswirkungen haben kann., und bietet Handlungsrichtlinien und Maßnahmen zu ihrem Schutz.

3. Governance, Schulung und Führungsverantwortung

NIS2 konzentriert sich auf die Einbindung des oberen Managements. Managementteams müssen Sicherheitsmaßnahmen genehmigen und deren Umsetzung aktiv überwachen. Darüber hinaus müssen sie (und die Mitarbeiter ebenfalls) regelmäßig geschult und ausgebildet werden.

Die Richtlinie sieht ausdrücklich vor, dass im Falle grober Fahrlässigkeit oder mangelnder Aufsicht Disziplinarmaßnahmen gegen Führungskräfte verhängt werden können, darunter auch die vorübergehende Entlassung aus der Funktion in wesentlichen Unternehmen.

4. Lieferkettenmanagement und Sicherheit in Lieferantenverträgen

Vorfälle in der Lieferkette waren in jüngster Zeit einer der schwerwiegendsten Angriffspunkte für Cyberangriffe in Europa.. Aus diesem Grund verlangt NIS2 von Unternehmen, die Sicherheit ihrer direkten Lieferanten und Subunternehmer zu bewerten und zu überwachen, indem sie Klauseln und Anforderungen zur Cybersicherheit in Verträge aufnehmen, Audits durchführen, die allgemeine Belastbarkeit von Produkten und Dienstleistungen bewerten und bekannte Schwachstellen in Komponenten von Drittanbietern überwachen.

5. Internationale Zusammenarbeit

Der Austausch relevanter Informationen zu Bedrohungen, Vorfällen, Schwachstellen und bewährten Verfahren ist sowohl auf nationaler Ebene als auch über europäische Mechanismen (Kooperationsgruppe, CSIRT-Netzwerk und EU-CyCLONe für groß angelegtes Krisenmanagement) obligatorisch.

6. Audits, Inspektionen und Überwachungsregime

Die Richtlinie unterscheidet zwischen zwei Aufsichtssystemen:

• Für wesentliche Einheiten: Regelmäßige Audits, Inspektionen vor Ort oder per Fernzugriff, kontinuierliche Überwachung durch nationale Behörden und ein Sanktionsregime sowohl a priori als auch a posteriori.
• Für Großunternehmen gilt: Nur reaktive Aufsicht, d. h. nur nach Hinweisen oder Beweisen einer Nichteinhaltung.

Die Behörden können Unterlagen, Prüfergebnisse, Zugriff auf Systeme und Daten oder sogar die öffentliche Bekanntgabe schwerwiegender Verstöße verlangen.

7. Weitere relevante Verpflichtungen

• Obligatorische Registrierung von Unternehmen, grundlegende Informationen und regelmäßige Aktualisierungen an die zuständigen Behörden.
• Zusammenarbeit mit europäischen Organisationen, Aufnahme in die ENISA-Datenbank wichtiger europäischer Einrichtungen.
• Sektorale Einzeleintragsmechanismen für die Meldung und das Management von Vorfällen.
• Datenschutzanforderungen unterliegen stets der Datenschutz-Grundverordnung (DSGVO).

Wichtige Termine und Zeitplan für die Umsetzung der NIS2-Richtlinie

Der Zeitplan für die Implementierung und Einhaltung ist einer der heikelsten Aspekte von NIS2.. Dies sind die kritischen Daten:

• Januar 16 2023: Offizielles Inkrafttreten der Richtlinie.
• 17 Oktober 2024: Frist für die Länder zur Verabschiedung und Veröffentlichung nationaler Rechtsvorschriften zur Umsetzung von NIS2.
• 18 Oktober 2024: Die Umsetzung in allen Mitgliedstaaten steht unmittelbar bevor; Unternehmen müssen vorbereitet werden.
• 17 April 2025: Frist für die Erstellung und Übermittlung der Liste der wesentlichen und wichtigen Einrichtungen auf nationaler Ebene an Brüssel.
• Januar 17 2025: Frist für die Mitteilung des in jedem Land geltenden Sanktionsregimes.

Für die verbleibenden Meilensteine, wie etwa die Entwicklung nationaler Strategien zur Cybersicherheit oder die Veröffentlichung von Durchführungsrechtsakten (spezifische technische Anforderungen), gibt es Termine, die regelmäßig auf offiziellen europäischen und nationalen Portalen veröffentlicht werden.

Umsetzung in Spanien: Gesetz zur Koordinierung und Governance der Cybersicherheit

Spanien hat den Gesetzentwurf zur Koordinierung und Governance der Cybersicherheit verabschiedet seinen Rechtsrahmen an NIS2 anzupassen. Obwohl der endgültige Text möglicherweise noch Anpassungen unterliegt, sind folgende wichtige Aspekte zu nennen:

• Breites Anwendungsspektrum: Umfasst gemäß den Anhängen der Richtlinie öffentliche und private Organisationen mit Sitz oder Tätigkeit in Spanien in allen kritischen und hochkritischen Sektoren.
• Detaillierte Risikoanalyse und Schutzpflichten von Netzwerken, Systemen und Diensten, einschließlich der Bewertung von Lieferanten und Partnern mit Zugriff auf kritische Daten.
• Meldepflicht bei relevanten Vorfällen und schwerwiegenden Bedrohungen sowohl gegenüber Behörden als auch gegenüber betroffenen Benutzern oder Kunden.
• Schaffung der Position eines Informationssicherheitsbeauftragten In jeder Einheit ist ein für die Gestaltung, Überwachung und Sicherstellung der Einhaltung gesetzlicher Vorschriften zuständiger Mitarbeiter mit zentraler Verwaltung zuständig.
• Gründung des Nationalen Zentrums für Cybersicherheit als Hauptkoordinator auf staatlicher Ebene und Kanal für den Dialog mit der EU.
• Übertragung von Kontroll- und Aufsichtsbefugnissen auf mehrere Ministerien: Innenministerium (Koordinationsbüro für Cybersicherheit), Verteidigung (CCN), Digitale Transformation, zusammen mit sektoralen Behörden.
• Spezialisierte Incident-Management-Teams, Erkennung von Schwachstellen, Unterstützung betroffener Unternehmen und Ausgabe von Frühwarnungen.
• Dringende Bearbeitung und vorrangige parlamentarische Koordinierung um das Inkrafttreten des Gesetzes vor den von der EU festgelegten Fristen zu beschleunigen.

Klassifizierung von Entitäten: „wesentlich“ und „wichtig“

NIS2 legt zwei unterschiedliche Kategorien von Unternehmen fest:

• Wesentliche Entitäten: Große Unternehmen in hochkritischen Sektoren, qualifizierte vertrauenswürdige Anbieter und DNS-Anbieter, mittelgroße Unternehmen in bestimmten Teilsektoren, kritische Unternehmen gemäß nationaler Gesetzgebung und solche, die vom Staat bestimmt werden (wie etwa ehemalige Betreiber wesentlicher Dienste von NIS1).
• Wichtige Entitäten: Alle anderen in kritischen Sektoren enthaltenen Unternehmen, die die wesentlichen Kriterien nicht erfüllen.

Diese Unterscheidung hat Auswirkungen auf die Intensität der Überwachung, die Schwere der Sanktionen und die Art der Dokumentationspflichten.

Meldepflichten für Vorfälle und Krisenmanagement

Unternehmen und Organisationen sollten sich über die Begriffe „signifikanter Vorfall“, „Beinaheunfall“ und „signifikante Cyberbedrohung“ im Klaren sein.:

• Bedeutender Vorfall: Jedes Ereignis, das schwerwiegende Dienstunterbrechungen oder erhebliche wirtschaftliche Verluste verursacht oder Einzelpersonen oder juristischen Personen erheblichen Schaden zufügt.
• Erhebliche Cyber-Bedrohung: Eine technische Bedrohung, die aufgrund ihres Ausmaßes erhebliche Schäden oder Störungen verursachen kann.
• Beinaheunfall: Ein Ereignis, das einen Zwischenfall hätte verursachen können, das aber dank vorbeugender Maßnahmen nicht eintrat.

In all diesen Fällen sollte die Meldung vorzugsweise auf elektronischem Wege über die jeweilige nationale Zugangsstelle erfolgen.und befolgen Sie das Verfahren:

• Erste Frühwarnung (24h).
• Vollständige Vorankündigung (72 Stunden, außer in Ausnahmefällen).
• Abschlussbericht (1 Monat nach Abschluss des Vorfalls).

Die Nichtbefolgung der Benachrichtigung innerhalb der Frist kann als schwerwiegender und strafbarer Verstoß angesehen werden..

Erforderliche technische, betriebliche und organisatorische Maßnahmen

NIS2 enthält eine Liste mit Mindestmaßnahmen, die alle Unternehmen ergreifen müssen, wobei stets der Grundsatz der Verhältnismäßigkeit und die Kosten der Umsetzung zu berücksichtigen sind.:

• Interne Sicherheitsrichtlinien und laufende Risikoanalyse.
• Vorfallmanagement und Reaktion: Einschließlich Überwachungssysteme, Reaktionsteams, CSIRT-Integration und Eskalationsprotokolle.
• Business Continuity-Pläne, Backup-Management, Wiederherstellungstests und Krisenpläne.
• Rigoroses Management der Lieferkette und der Lieferanten: Auditing, vertragliche Anforderungen, Überwachung der Produkt- und Service-Resilienz, Integration bewährter Methoden zur Cybersicherheit von Drittanbietern.
• Sicherheit im Lebenszyklus von Systemen und Anwendungen: Einsatz von Verschlüsselung, Programmierung Sicherheit, Patching und Zugriffskontrolle.
• Regelmäßige Evaluierung der Wirksamkeit der Maßnahmen: Interne und externe Audits, Dokumentenprüfung und technische Tests.
• Interne Schulungsprogramme und regelmäßige Sensibilisierung.
• Klare Richtlinien zur Verwendung von Kryptografie und Multi-Faktor-Authentifizierung.
• Anlagenverwaltung, Inventarisierung und Kontrolle des Informationszugriffs.

Sanktions- und Aufsichtsregime

Die in NIS2 vorgesehenen Sanktionen sind für systemrelevante Unternehmen besonders streng und sollen die Einhaltung und Wirksamkeit der Regelung sicherstellen.:

• Wesentliche Entitäten: Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).
• Wichtige Entitäten: Bußgelder von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

Darüber hinaus können die Sanktionen öffentlich sein und die Aussetzung von Zertifizierungen, die Veröffentlichung der Nichteinhaltung oder in den schwerwiegendsten Fällen sogar die vorübergehende Disqualifikation von Führungspositionen umfassen.

So bereiten Sie sich auf die NIS2-Konformität vor: praktische Schritte

NIS2-Konformität ist unerlässlich. Unternehmen sollten umgehend einen Fahrplan erstellen, der Folgendes umfasst:

• Umfassende Bestandsaufnahme der IT-Infrastruktur und digitalen Assets.
• Risikoanalyse und Definition von Cybersicherheitsrichtlinien ausgerichtet an ISO 27001, ENS und anderen international anerkannten Rahmenwerken.
• Überprüfung und Aktualisierung von Verträgen und Vereinbarungen mit Lieferanten um die Einhaltung der Vorschriften in der Lieferkette sicherzustellen.
• Implementierung von Incident-Response-Plänen und Gestaltung interner Alarmkanäle sowie reibungsloser Kommunikation mit CSIRT.
• Durchführung regelmäßiger Cybersicherheitsaudits (intern und extern).
• Spezifische und kontinuierliche Schulungen für Führungskräfte und Mitarbeiter.
• Einrichtung von Überwachungs- und Frühwarnmechanismen.
• Formelle Ernennung des Informationssicherheitsbeauftragten.
• Entwicklung dokumentierter Protokolle zur Krisenbenachrichtigung und -bewältigung.