Quickstart: NIS2-Richtlinie

14.05.2024

Roman Yankin

Open Source

Roman Yankin

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie oder die „Richtlinie über die Sicherheit von Netz- und Informationssystemen“ ist eine Richtlinie der Europäischen Union (EU), die darauf abzielt, die allgemeine Cybersicherheit und Widerstandsfähigkeit von Netz- und Informationssystemen in verschiedenen kritischen Sektoren zu verbessern. NIS steht für „Network and Information Systems“ (Netz- und Informationssysteme). Die Richtlinie wurde ursprünglich 2016 verabschiedet und trat im Mai 2018 in Kraft. Im Januar 2023 haben die EU-Mitgliedstaaten offiziell eine Überarbeitung der NIS-Richtlinie von 2016 verabschiedet, um auf die zunehmende Bedrohung durch Cyberangriffe zu reagieren.

Die aktualisierte NIS2-Richtlinie erhöht die Sicherheitsanforderungen, vereinfacht die Meldepflichten und führt strengere Aufsichtsmaßnahmen und Durchsetzungsanforderungen ein. Ziel ist es, kritische Einrichtungen besser gegen Schwachstellen in der Lieferkette, Ransomware-Angriffe und andere Cyberbedrohungen zu schützen.

Die NIS-Richtlinie ist am 16. Januar 2023 in Kraft getreten, und die Mitgliedstaaten haben nun 21 Monate Zeit, bis zum 17. Oktober 2024, um die NIS2-Richtlinie in ihr nationales Recht zu übernehmen.

 

Wer ist betroffen?

Die NIS-2-Richtlinie betrifft sog. “wesentliche” und “wichtige” Einrichtungen:

  • Wesentliche Einrichtungen sind große Unternehmen mit über 249 Beschäftigten oder 50 Mio. Euro Umsatz und über 43 Mio. Euro Bilanz, insbesondere aus Bereichen wie Verkehr, Energie, Gesundheitswesen, Trink- und Abwasser, Verwaltung, Banken und Finanzwesen und digitale Infrastruktur. Hinzu kommen noch – unabhängig von ihrer Größe – u.a. die KRITIS und Einrichtungen, die vom Staat als „wesentlich“ eingestuft werden.
  • Wichtige Einrichtungen sind große Unternehmen, u.a. aus Post- und Kurierdienst, Abfallwirtschaft, Lebensmittelindustrie, Warenherstellung, Anbieter digitaler Dienste und der Forschung. Auch sog. „mittlere Unternehmen“ mit mindestens 50 Beschäftigten oder über 10 Mio. EUR Umsatz und über 10 Mio. EUR Bilanz zählen dabei zu den wichtigen Einrichtungen. NIS2 reguliert sechzehn Sektoren (Entitäten) in der EU.
  • Alle mittleren und großen Unternehmen in den Bereichen Postdienste, Abfallwirtschaft, Chemikalien, Lebensmittelherstellung, medizinische Geräte und digitale Plattformen wie Online-Marktplätze und soziale Netzwerke sind eingeschlossen.

Die vollständige Liste der Sektoren finden Sie in Anhang I und II.

Wer ist wahrscheinlich von der NIS2-Richtlinie ausgenommen?

Unter Berücksichtigung der Definition von Klein- und Kleinstunternehmen sind diese im Allgemeinen von der NIS-Richtlinie ausgenommen, sofern sie bestimmte Kriterien in Bezug auf ihre Größe und ihren Tätigkeitsbereich erfüllen.

 

Wie wird die NIS2-Richtlinie durchgesetzt?

Die neue NIS-Richtlinie unterstreicht die zentrale Rolle der zuständigen Behörden bei Aufsichts- und Durchsetzungsaufgaben und bietet einen einheitlichen Rahmen für diese Tätigkeiten in den EU-Mitgliedstaaten. Um die wirksame Einhaltung der Vorschriften zu verbessern, sieht die NIS2-Richtlinie ein Mindestmaß an Aufsichtsmitteln vor, darunter:

  • Regelmäßige Audits.
  • Gezielte Kontrollen.
  • Informationsersuchen.
  • Zugang zu Dokumenten.

Die Richtlinie führt differenzierte Aufsichtsregelungen für wesentliche und wichtige Unternehmen ein und zielt auf einen ausgewogenen Verpflichtungsrahmen ab. In Anbetracht der historischen Zurückhaltung bei der Verhängung von Sanktionen für Mängel bei den Sicherheitsmaßnahmen oder der Meldung von Vorfällen schafft die Richtlinie einen einheitlichen Rahmen für Sanktionen in der gesamten EU. Sie definiert eine Mindestliste von Verwaltungssanktionen für Verstöße gegen das Risikomanagement im Bereich der Cybersicherheit und die in der NIS2-Richtlinie festgelegten Meldepflichten, um eine wirksame Durchsetzung zu fördern.

Welche Verwaltungssanktionen sind nach der NIS2-Richtlinie anwendbar?

Die NIS2-Richtlinie stellt den zuständigen Behörden die folgenden Sanktionen zur Verfügung:

  • Geschäftsführer und Management können persönlich für Versäumnisse bei der Umsetzung haftbar gemacht werden.
  • Die Regulierungsbehörden können den Geschäftsbetrieb einstellen, wenn dies aus Gründen der Netzsicherheit erforderlich ist.
  • Wesentliche Unternehmen: höchstens 10.000.000 € oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
  • Wichtige Unternehmen: höchstens 7.000.000 € oder mindestens 1,4 % des weltweiten Gesamtjahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.

Was sind die Anforderungen der NIS-2-Richtlinie?

Die NIS-2-Richtlinie definiert vier wichtige organisatorische Anforderungen:

  1. Risikomanagement: Um die neue Richtlinie zu erfüllen, müssen Organisationen Maßnahmen zur Minimierung von Cyberrisiken ergreifen. Zu diesen Maßnahmen gehören Notfallmanagement, Stärkung Sicherheit der Lieferkette, verbesserte Netzwerksicherheit, bessere Zugangskontrolle und Verschlüsselung.
  2. Rechenschaftspflicht des Unternehmens: Die NIS2 verlangt von der Unternehmensleitung, die Cybersicherheitsmaßnahmen des Unternehmens zu überwachen, zu genehmigen und Schulungen durchzuführen. Verstöße können Sanktionen für die Unternehmensleitung nach sich ziehen, die eine Haftung und ein mögliches vorübergehendes Verbot von Führungsaufgaben beinhalten.
  3. Berichtspflichten Einrichtungen, die als wesentlich und wichtig eingestuft sind, müssen Prozesse für die rasche Meldung von Sicherheitsvorfällen einrichten, die sich erheblich auf die Erbringung ihrer Dienste oder deren Empfänger auswirken. In der NIS2 sind spezifische Meldefristen festgelegt, darunter eine 24-stündige „Frühwarnfrist“.
  4. Geschäftskontinuität: Organisationen sind verpflichtet, eine Strategie zur Sicherstellung der Geschäftskontinuität im Falle größerer Cyber-Vorfälle zu entwickeln. Dieser Plan soll Aspekte wie die Systemwiederherstellung, Notfallverfahren und die Einrichtung eines Krisenreaktionsteams umfassen.

Und schreibt 10 grundlegende Sicherheitsmaßnahmen vor:

  1. Bei der Sicherheit von Lieferketten geht es um das Management der Beziehungen zwischen einem Unternehmen und seinen direkten Zulieferern. Die Unternehmen müssen Sicherheitsmaßnahmen auswählen, die auf die Schwachstellen der einzelnen direkten Zulieferer zugeschnitten sind. Anschließend muss eine Bewertung des gesamten Sicherheitsniveaus aller Lieferanten durchgeführt werden.
  2. Risikobewertungen.
  3. Richtlinien und Verfahren für den Einsatz von Kryptographie und Verschlüsselung.
  4. Richtlinien für den Umgang mit und die Meldung von Schwachstellen.
  5. Sicherheitsverfahren für Mitarbeiter mit Zugang zu sensiblen oder wichtigen Daten.
  6. Einsatz der Multifaktor-Authentifizierung zur Bewertung der Wirksamkeit der Sicherheitsmaßnahmen.
  7. Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Sicherheitsmaßnahmen.
  8. Ein Plan für den Umgang mit Sicherheitsvorfällen.
  9. Cybersicherheitsschulung.
  10. Ein Plan für die Verwaltung des Geschäftsbetriebs während und nach einem Sicherheitsvorfall.

 

Wie viel Zeit braucht meine Organisation, um NIS-2-konform zu werden?

Der Standardprozess um NIS2-Konformität aufzubauen, der Sicherheitsbewertungen, Audits, Beratung und die Implementierung geeigneter Werkzeuge dauert in der Regel etwa 12 Monate.

Wie kann Bitsea helfen?

Die NIS2 legt eine Reihe von Anforderungen im Bereich der Cybersicherheit fest. Einer der Schlüsselbereiche, den jeder Anbieter klar im Blick haben sollte, ist die Software-Lieferkette. Dazu gehört auch die Nutzung von Open Source: Jedes Unternehmen muss Komponenten identifizieren, verwalten, Sicherheitslücken verfolgen und Patches installieren.

Um die Schwachstellenanalyse zu erleichtern, sollten Hersteller die in den Produkten enthaltenen digitalen Elemente identifizieren und dokumentieren, unter anderem durch die Erstellung einer Software-Stückliste (SBOM).

Bitsea unterstützt Sie in allen Aspekten des Open-Source-Managements, damit Sie als Unternehmen vor mangelnder Compliance und Cyber-Angriffen auf die Software-Lieferkette geschützt sind. Bitsea hat mehr als ein Jahrzehnt Erfahrung darin, Unternehmen dabei zu helfen, ihren Code zu verstehen und sehr detaillierte und auf ihre Bedürfnisse zugeschnittene SBOMs zu erstellen.

zusätzlich

  • Identifizieren wir Sicherheitslücken in den Komponenten der SBOM.
  • verwalten wir die SBOM: Wir benachrichtigen Sie, wenn eine neue Sicherheitslücke entdeckt wird.
  • richten wir Werkzeugketten ein, um neue Software automatisch auf Open-Source-Komponenten zu analysieren.
  • verwalten wir die FOSS-Daten: Welche Komponenten werden in einem Softwaresystem verwendet.
  • unterstützen wir bei ISO 5230 & ISO 18974 und bei der Vorbereitung auf die Zertifizierung.