Die NIS-2-Richtlinie  (NIS steht dabei für „Network and Information Security“) wurde 2023 auf europäischer Ebene mit dem Ziel verabschiedet, den Schutz der kritischen Infrastruktur hinsichtlich möglicher IT-Vorfälle und Cyberangriffe auszubauen und ist ab 18. Oktober 2024 bindend.

Damit vergrößert sich die Anzahl der seit 2016 mit der ersten Richtlinie betroffenen Unternehmen und Organisationen (KRITIS) deutlich. Erweitert wurden sowohl die Branchen als auch die Größen, sodass nun auch kleinere Unternehmen als bisher dazugehören sowie unter Umständen auch deren Dienstleister und Auftragnehmer (siehe Abschnitt zur Betroffenheit). Unterteilt wird nun zudem in wesentliche und wichtige Einrichtungen mit Unterschieden bei der Aufsicht und den Konsequenzen.

Der Geltungsbereich der neuen NIS-Richtlinie geht weit über die bisher bekannten Schlüsselunternehmen im Bereich der kritischen Infrastrukturen hinaus. Konkret wird bei NIS-2 zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden.

Die NIS-2-Richtlinie gilt für Unternehmen (und öffentliche Einrichtungen) der Branchen bzw. Sektoren mit mindestens 50 Mitarbeitenden oder mindestens 10 Millionen Euro Jahresumsatz und Jahresbilanzsumme, die in Anhang I und Anhang II auf geführt sind. Damit neue Sektoren, die bislang noch nicht zu den Betreibern kritischer Infrastrukturen (KRITIS) zählten, sind in der folgenden Übersicht aufgelistet.

Wesentliche Einrichtungen sind demnach Unternehmen, die in folgenden Bereichen tätig sind:

• Energie – Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Wasserstoff, Heizung sowie Ladestationen für die Elektromobilität
• Straßen-, Schienen, Luft- und Schiffsverkehr – dazu zählen auch Reedereien, Hafenanlagen und Flughäfen
• Wasser – Trink- und Abwasserversorgungsunternehmen
• Digitale Infrastruktur und IT-Dienste – dazu zählen auch Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten sowie Anbieter öffentlicher elektronischer Kommunikaitonsnetze und -dienste
• Bank- und Finanzwesen – Kredit, Handel, Markt, Infrastruktur und Versicherungswesen
• Gesundheit – Gesundheitsdienstleister, Pharmazeutika, Hersteller medizinischer Geräte, Forschungseinrichtungen
• Öffentliche Verwaltung
• Raumfahrt

Zu den wichtigen Einrichtungen werden Unternehmen folgender Bereiche gezählt:

• Abfallwirtschaft
• Post- und Kurierdienste
• Chemische Erzeugnisse – Produktion und Vertrieb
• Lebensmittel – Produktion und Vertrieb
• Hersteller – Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel
• Digitale Anbieter – Suchmaschinen, soziale Netzwerke, Online-Marktplätze
• Forschungseinrichtungen

Auch die Lieferkette ist zu beachten, so werden sich indirekt die Vorgaben auch auf Dienstleister und Lieferanten der Unternehmen und Einrichtungen aus den betroffenen Sektoren auswirken. Dazu zählen auch neue Passwortrichtlinien, die Passwortlängen von mindestens 14 Zeichen fordern.

Somit werden Unternehmen dazu verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu erhöhen, strengere Sicherheitsstandards zu etablieren und ihre IT-Systeme stets auf dem neuesten Stand zu halten.

Auftretende Sicherheitsvorfälle müssen durch die betroffenen Unternehmen gemeldet werden. In Deutschland ist die zuständige Behörde das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Vorgesehen ist dafür ein dreistufiger Prozess:

• Innerhalb von 24 Stunden muss direkt nach Bekanntwerden eines Vorfalls ein vorläufiger Bericht übermittelt werden.
• Innerhalb von 72 Stunden muss ein vollständiger Bericht folgen, der auch eine erste Bewertung des Vorfalls enthält.
• Innerhalb eines Monats muss ein Abschlussbericht eingereicht werden, der detaillierte Beschreibungen des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält.

Von NIS-2 betroffene Unternehmen müssen sich ab dem 18. Oktober 2024 beim BSI registrieren lassen. Die Details dazu kommen noch.

Außer der Meldepflicht für Vorfälle verschärft NIS-2 auch die Sanktionen für die Missachtung der Vorgaben.

• Bei wesentlichen Einrichtungen können die Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist.
• Bei wichtigen Einrichtungen ist das maximale Bußgeld auf 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes gedeckelt.

Die NIS-2 Richtlinie sieht vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der IT-Sicherheitsmaßnahmen mit ihrem Privatvermögen haften. Das Bußgeld kann dabei maximal 2 Prozent des weltweiten Jahresumsatzes betragen.

Mit NIS-2 ist eine klare Verantwortung für die Umsetzung und Überwachung der Maßnahmen bei der Geschäftsführung und dem weiteren Leitungspersonal festgeschrieben. Zudem sind sie verpflichtet, selbst an Schulungen teilzunehmen sowie diese den Mitarbeitenden anzubieten. Ziel dabei ist es, ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen zu erhalten. Außerdem ist es angeraten Next Gen Firewalls und das Splitting von Administratorenrechte einzusetzen.

• Umsetzungsprojekt aufsetzen
• Organisatorische Maßnahmen fixieren
• Informationssicherheits-Managementsystems (ISMS) einführen
• Lieferketten überprüfen
• Cybersicherheits-Zertifizierungen verifizieren
• Meldeprozesse definieren
• Auf regelmäßigen Austausch mit BSI vorbereiten
• Registrierung beim BSI