NIS-2 - Network and Information Systems Directive 2
Richtlinie (EU) 2022/2555 & NIS-2-Umsetzungsgesetz
Überblick
Die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS-2-Richtlinie) wurde am 14. Dezember 2022 verabschiedet und ist seit dem 18. Oktober 2024 in Kraft. In Deutschland wurde sie durch das NIS-2-Umsetzungsgesetz (NIS-2-UG) umgesetzt. NIS-2 erweitert und verschärft die Anforderungen der ersten NIS-Richtlinie und zielt darauf ab, die Cybersicherheit kritischer und wichtiger Einrichtungen in der gesamten EU zu stärken.
Zielsetzung von NIS-2
Cybersicherheit
Erhöhung des Cybersicherheitsniveaus in der gesamten EU durch harmonisierte Anforderungen
Kritische Infrastrukturen
Schutz kritischer und wichtiger Einrichtungen vor Cyber-Bedrohungen
Meldepflichten
Frühzeitige Meldung erheblicher Cybersicherheitsvorfälle innerhalb von 24 Stunden
Governance
Verpflichtung zu angemessener Governance und Risikomanagement auf Management-Ebene
Kernanforderungen von NIS-2
Risikomanagement
Einführung von Risikomanagementmaßnahmen zur Bewältigung der Risiken für die Sicherheit von Netz- und Informationssystemen
Cybersicherheitsmaßnahmen
Umsetzung angemessener technischer und organisatorischer Maßnahmen zur Gewährleistung der Cybersicherheit
Incident Management
Etablierung von Prozessen zur Erkennung, Meldung und Behandlung von Cybersicherheitsvorfällen
Meldepflichten
Meldung erheblicher Cybersicherheitsvorfälle innerhalb von 24 Stunden nach Erkennung an die zuständige Behörde
Governance
Verantwortung des Managements für Cybersicherheit, einschließlich Schulungen und Bewusstseinsbildung
Lieferketten-Sicherheit
Berücksichtigung von Cybersicherheitsrisiken in der Lieferkette und bei Drittanbietern
Anwendungsbereich
NIS-2 gilt für zwei Kategorien von Einrichtungen:
Kritische Einrichtungen
- Energie (Strom, Gas, Öl)
- Transport (Luft, Schiene, Wasser, Straße)
- Banken
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- IKT-Dienstmanagement
- Öffentliche Verwaltung
Wichtige Einrichtungen
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Produktion und Vertrieb von Lebensmitteln
- Herstellung
- Digitale Anbieter
- Forschung
Größenkriterium: NIS-2 gilt für Einrichtungen ab einer bestimmten Größe (meist ab 50 Mitarbeitern oder einem Jahresumsatz von 10 Mio. €), mit Ausnahmen für kritische Einrichtungen, die immer erfasst sind.
NIS-2-Umsetzungsgesetz (NIS-2-UG) in Deutschland
| Aspekt | NIS-2-Richtlinie | NIS-2-UG (Deutschland) |
|---|---|---|
| Zuständige Behörde | Nationale Behörden | BSI (Bundesamt für Sicherheit in der Informationstechnik) |
| Meldepflicht | 24 Stunden nach Erkennung | 24 Stunden nach Erkennung erheblicher Vorfälle |
| Sanktionen | Bis zu 2% des Jahresumsatzes oder 10 Mio. € | Bis zu 2% des Jahresumsatzes oder 10 Mio. € |
| Governance | Management-Verantwortung | Geschäftsleitung haftet persönlich |
| Audit | Regelmäßige Überprüfungen | BSI kann Audits durchführen |
Cybersicherheitsanforderungen im Detail
1. Risikomanagement
Einführung eines Risikomanagementsystems zur Identifikation, Analyse und Behandlung von Cybersicherheitsrisiken
2. Cybersicherheitsrichtlinien
Entwicklung und Umsetzung von Cybersicherheitsrichtlinien und -verfahren
3. Technische Maßnahmen
Umsetzung technischer Maßnahmen wie Firewalls, Verschlüsselung, Zugriffskontrollen, Patch-Management
4. Organisatorische Maßnahmen
Etablierung organisatorischer Maßnahmen wie Schulungen, Awareness, Notfallpläne, Business Continuity
5. Überwachung
Kontinuierliche Überwachung der Netz- und Informationssysteme zur Erkennung von Vorfällen
6. Lieferketten-Sicherheit
Berücksichtigung von Cybersicherheitsrisiken bei der Auswahl und dem Management von Lieferanten und Drittanbietern
Meldepflichten nach NIS-2
Frühmeldung
Meldung erheblicher Cybersicherheitsvorfälle innerhalb von 24 Stunden nach Erkennung an das BSI
Detaillierte Meldung
Nachmeldung mit detaillierten Informationen innerhalb von 72 Stunden nach der Frühmeldung
Meldungsinhalt
Beschreibung des Vorfalls, betroffene Systeme, Auswirkungen, ergriffene Maßnahmen und geplante Schritte
Abschlussmeldung
Finale Meldung nach Abschluss der Incident-Behandlung mit Lessons Learned
Erheblicher Vorfall
Ein Vorfall, der erhebliche Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit hat
Meldungsfrist
24 Stunden nach Erkennung des erheblichen Vorfalls (nicht nach Eintritt)
Zuständige Behörde
BSI (Bundesamt für Sicherheit in der Informationstechnik) in Deutschland
Governance-Anforderungen
Management-Verantwortung
Die Geschäftsleitung trägt die Verantwortung für die Cybersicherheit und kann persönlich haftbar gemacht werden
Cybersicherheitsstrategie
Entwicklung einer Cybersicherheitsstrategie auf höchster Management-Ebene
Ressourcen
Bereitstellung angemessener personeller und finanzieller Ressourcen für Cybersicherheit
Schulungen
Regelmäßige Schulungen und Bewusstseinsbildung für Mitarbeiter und Management
Sanktionen bei Nichteinhaltung
| Verstoß | Sanktion | Höchstbetrag |
|---|---|---|
| Verstoß gegen Cybersicherheitsanforderungen | Geldbuße | 2% des Jahresumsatzes oder 10 Mio. € |
| Verstoß gegen Meldepflichten | Geldbuße | 1,4% des Jahresumsatzes oder 7 Mio. € |
| Verstoß gegen Governance-Anforderungen | Geldbuße | 2% des Jahresumsatzes oder 10 Mio. € |
| Behinderung von Audits | Geldbuße | 1% des Jahresumsatzes oder 5 Mio. € |
Hinweis: Für kritische Einrichtungen können zusätzlich persönliche Haftungen der Geschäftsleitung bestehen.
Vergleich: NIS-2 vs. DORA
| Aspekt | NIS-2 | DORA |
|---|---|---|
| Anwendungsbereich | Kritische und wichtige Einrichtungen (breit) | Finanzsektor (spezifisch) |
| Meldepflicht | 24 Stunden nach Erkennung | 4 Stunden nach Erkennung |
| Fokus | Cybersicherheit allgemein | Digitale operationelle Resilienz |
| Testing | Empfohlen, nicht explizit vorgeschrieben | Verpflichtend (Penetrationstests, TLPT) |
| IKT-Drittanbieter | Berücksichtigung in Lieferkette | Strenge Anforderungen an kritische IKT-Drittanbieter |
| Governance | Management-Verantwortung | IT-Risikomanagement-Framework |
Umsetzungshinweise
Selbstbewertung
Regelmäßige Selbstbewertung der Cybersicherheitsmaßnahmen und Identifikation von Verbesserungspotenzialen
Dokumentation
Umfassende Dokumentation aller Cybersicherheitsmaßnahmen, Prozesse und Vorfälle
Kontinuierliche Verbesserung
Regelmäßige Überprüfung und Anpassung der Cybersicherheitsmaßnahmen basierend auf neuen Bedrohungen
Zusammenhang mit anderen ISMS-Komponenten
- ISMS: NIS-2 erfordert ein strukturiertes ISMS als Grundlage für Cybersicherheitsmaßnahmen
- Risikomanagement: NIS-2 verlangt umfassendes Risikomanagement zur Identifikation und Behandlung von Cybersicherheitsrisiken
- Assetmanagement: NIS-2 erfordert Kenntnis und Schutz aller relevanten Netz- und Informationssysteme
- Incident Management: NIS-2 definiert spezifische Anforderungen an Incident-Erkennung und -Meldung (24h-Frist)
- BCM: NIS-2 erfordert Business Continuity Pläne für kritische Systeme
- Testmanagement: NIS-2 empfiehlt regelmäßige Tests der Cybersicherheitsmaßnahmen
- DORA: Finanzunternehmen müssen sowohl NIS-2 als auch DORA erfüllen (DORA hat strengere Anforderungen)
- Governance: NIS-2 verlangt explizite Management-Verantwortung und persönliche Haftung
NIS-2-Umsetzungsgesetz: Besonderheiten in Deutschland
BSI als zuständige Behörde
Das BSI ist die zentrale Anlaufstelle für Meldungen und Überwachung nach NIS-2-UG
Meldepflichten
Meldung erheblicher Cybersicherheitsvorfälle innerhalb von 24 Stunden an das BSI über das Meldeportal
Audit-Befugnisse
Das BSI kann Audits durchführen und bei Verstößen Sanktionen verhängen
Zusammenarbeit
Koordination mit anderen Behörden (z.B. BaFin für Finanzsektor) zur Vermeidung von Doppelmeldungen
Beratung
Das BSI bietet Beratung und Unterstützung bei der Umsetzung der NIS-2-Anforderungen