Die NIS-2-Richtlinie der EU soll die Cyberresilienz in der Union stärken und für ein hohes gemeinsames Cybersicherheitsniveau in den Mitgliedsstaaten sorgen. Die 2. EU-Richtlinie für Netzwerk- und Informationssicherheit (kurz: NIS-2) zielt insbesondere auf den Schutz der kritischen Infrastruktur ab. NIS-2 trat Ende 2022 in Kraft und muss bis zum 4. Quartal 2024 in nationales Recht umgesetzt werden. In den folgenden Abschnitten erhalten Sie einen Überblick über die Entwicklung und den Status quo zu NIS-2. Außerdem erfahren Sie, welches die wichtigsten Unterschiede zwischen der 1. NIS-Richtlinie und NIS-2 sind, welche Unternehmen, Einrichtungen und Sektoren von NIS-2 betroffen sind und welche Anforderungen erfüllt werden müssen.
Information für unsere Kunden im Rahmen von NIS-2: Das Umfragetool LamaPoll kann von betroffenen Unternehmen NIS-2-konform als Lieferant/Dienstleiter für Umfragen und Befragungen eingesetzt werden. Detailliertere Info: NIS-2-konformer Einsatz von Lamapoll
NIS-2 ist eine EU-Richtlinie ((EU) 2022/2555) mit dem Ziel, die Cybersicherheit in der EU zu erhöhen und zu vereinheitlichen. Sie löst die vorhergehende NIS-1 Richtlinie ab, erweitert diese in nahezu sämtlichen Punkten und geht auch über die deutschen KRITIS Regularien hinaus.
Die Richtlinie wurde am 27 Dezember 2022 veröffentlicht und ist 20 Tage später in Kraft getreten. Die Mitgliedstaaten der EU müssen die Richtlinie 21 Monate nach dem Inkrafttreten in nationales Recht umsetzen: also im 4. Quartal 2024.
Status quo zu NIS-2: Das Gesetz zur Umsetzung der NIS-2-Richtlinie wurde bis dato noch nicht verabschiedet (Stand September 2024). Nachdem das BMI Ende Juni 2024 einen 4. Referentenentwurf veröffentlicht hat, hat sich das Bundeskabinett im Juli 2024 auf einen Gesetzentwurf geeinigt und diesen angenommen. Der Gesetzentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) muss nun noch weitere Stationen im Gesetzgebungsverfahren durchlaufen.
Während es bis 2024 in Deutschland entsprechende Regelungen fast ausschließlich für kritische Infrastrukturen gab, soll mit NIS-2 ein weitaus breiterer Kreis adressiert bzw. in die Pflicht genommen werden. Die Richtlinie hat direkte Auswirkungen sowohl auf eine Vielzahl von Unternehmen (konkrete Anforderungen an das Risikomanagement, Meldepflichten, Haftung der Leitungsorgane) als auch auf die Mitgliedsstaaten (Einrichtung zentraler Ansprechpartner, länderübergreifende Kooperation, Ausweitung der nationalen Kompetenzen, Bußgeldregelungen). Um vor allem die Kooperation auf EU-Ebene zu fördern werden Normen und Standards gefordert und definiert.
Was bedeutet eigentlich NIS? NIS ist die Abkürzung von „Netzwerk- und Informationssicherheit“. Die entsprechenden NIS-Richtlinien definieren Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union.
Im Rahmen von NIS, NIS-2, KRITIS, IT-Sicherheitsgesetz ist stets die Rede von „kritische Infrastrukturen“, „wesentliche Dienste/Einrichtungen“ und „wichtige Dienste/Einrichtungen“. Was ist damit gemeint und warum müssen diese auf EU-Ebene geregelt werden?
a) Situation in Deutschland: KRITIS bis 2024
„Kritische Infrastrukturen (kurz: KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
(Definition der Bundesressorts)
Das Bundesamt für Sicherheit in der Informationstechnik definiert genauer: Im Sinne des § 2 Abs. 10 BSI-Gesetz sind Kritische Infrastrukturen Einrichtungen, Anlagen oder Teile davon, die den Sektoren
angehören und
von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Zusätzlich sieht das BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe noch die 2 Sektoren Staat/Verwaltung und Medien/Kultur als Kritische Infrastrukturen.
Die Betreiber (§ 1 Nr. 2 BSI-KritisV) Kritischer Infrastruktur sind gemäß BSI-Gesetz (BSIG) und BSI-Kritisverordnung verpflichtet,
b) Regelungen auf EU-Ebene: wesentliche Dienste und wichtige Einrichtungen gemäß NIS-2
Die NIS-2 Richtlinie geht über KRITIS hinaus und erweitert die betroffenen Sektoren um Öffentliche Verwaltungen (Zentralregierung, regionale Regierung), IKT-Dienstleistungsmanagement (B2B) (Managed Service Providers, Managed Security Service Providers) und Forschung (Forschungsinstitute). Die übrigen Sektoren sind teilweise von KRITIS, teilweise von anderen Regelungen wie dem Digitale-Dienste-Gesetz (vormals TMG) in Deutschland abgedeckt. Des Weiteren werden die Unternehmen je nach Größe und Sektor in wesentliche und wichtige Dienste und Einrichtungen unterteilt.
Wichtig: NIS-2 definiert einen weitaus breiteren Anwendungsbereich als KRITIS:
Natürlich inklusive Sonderfällen und Ausnahmen.
NIS-1 hat zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste unterschieden. Dies hat keine Gültigkeit mehr. Die neue Einteilung gemäß NIS-2 ist zwischen besonders wichtigen Sektoren (Sektoren mit hoher Kritikalität) und wichtigen Sektoren.
Bereits 1996 wurde in den USA die PCCIP gegründet, die President’s Commission on Critical Infrastructure Protection. Diese legt nach und nach die Grundsteine und Definitionen für Kritische Infrastrukturen und setzt recht bald den Fokus auf IT.
Funfact zur IT-Sicherheit: Der Beginn des Internets wird gemeinhin mit dem 29. Oktober 1969 in Verbindung gebracht (Start ARPANET), nur 2 Jahre später wurde „Creeper“, der erste Computerwurm, entdeckt. Dem folgte 1972 „Reaper“, quasi das erste Antivirusprogramm.
NIS-Richtlinie 2016
Europaweit wurde mit der lang ersehnten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS) die Grundlage für die nationale Gesetzgebung bzgl. Betreiber Kritischer Infrastrukturen geschaffen. Diese definiert den Geltungsbereich (Betreiber wesentlicher Dienste – OESs) und erweitert diesen um Anbieter digitaler Dienste (DSPs). Des Weiteren schreibt die NIS-Richtlinie sowohl Pflichten der OESs und DSPs (geeignete Maßnahmen zur Sicherung ergreifen, mögliche Risiken berücksichtigen und mehr) als auch Konsequenzen vor.
IT-Sicherheitsgesetz 2015
In Deutschland war man (ausnahmsweise) bestens vorbereitet: Im bereits seit 2015 wirksamen IT-Sicherheitsgesetz wurde dem Bundesamt für Sicherheit die zentrale Rolle beim Schutz kritischer Infrastrukturen zugewiesen. Hierzu wurde das BSI-Gesetz um Sicherheitsanforderungen ergänzt und in einer zugehörigen KRITIS-Verordnung (BSI-KritisV) wurden die zugehörigen Sektoren geklärt. Abgesehen vom Wording (in der NIS-Richtlinie ist von „wesentlichen Diensten“ die Rede, im IT-Sicherheitsgesetz von „kritischen Infrastrukturen“) gleichen sich beide Regelungen.
Das Gesetz zur Umsetzung NIS-Richtlinie 2018
Das Gesetz zur Umsetzung der NIS-Richtlinie wurde 2017 verkündet und 2018 umgesetzt. Es diente der Umsetzung der NIS-Richtlinie in deutsches Recht und erweiterte die bestehenden Regularien um neue Anforderungen vor allem hinsichtlich einer stärkeren Zusammenarbeit der Mitgliedsstaaten der EU sowie der Meldepflichten für KRITIS und Anbieter digitaler Dienste. Die Aufgaben und Befugnisse des BSI wurden erweitert.
IT-Sicherheitsgesetz 2.0 2019
In 2019 veröffentlichte das BSI den Entwurf für das IT-Sicherheitsgesetz 2.0, welches die Kompetenzen des BSI stärkt, die Ermittlungstätigkeit stärkt und auch den Verbraucherschutz stärker berücksichtigt. Trotz Kritik (Machtausweitung des BSI ohne vorherige Einbindung von Verbänden und anderer Interessensvertreter) tritt dieses Ende Mai 2021 in Kraft.
NIS-2 Richtlinie 2023
Die Evaluierung der NIS-Richtlinie zeigte insbesondere aufgrund steigender Abhängigkeiten und der Ausbreitung von digitalen Technologien vor allem zwei Kritikpunkte auf: Die Cyberresilienz (Widerstandsfähigkeit) ist zu niedrig und dazu inkonsistent je nach EU-Land, und es fehlt sowohl an einem gemeinsamen Verständnis als auch an einer kooperativen Zusammenarbeit zwischen den Ländern. Dies führte 2022 zur Verabschiedung der neuen NIS-2-Richtlinie. Diese stellt strengere Anforderungen, vereinheitlicht die Sanktionsmöglichkeiten und weitet den Anwendungsbereich aus.
NIS-1 bzw. die NIS-Richtlinie war die erste Cybersecurity Richtlinie auf europäischer Basis. Die Notwendigkeit für NIS (Netzwerk- und Informationssicherheit) ergab sich aufgrund der steigenden Abhängigkeit von digitalen Netzwerken und Systemen und der gleichzeitig steigenden Bedrohungslage. Beides ist auch der Grund für eine stetige Überarbeitung und Verbesserung, was auch 2022 zu NIS-2 geführt hat.
a) Unterschied NIS-1 vs. NIS-2: die betroffenen (neuen) Sektoren
NIS-1 gilt für „wesentliche Dienste“, also bestimmte Sektoren, welche in Deutschland KRITIS (Kritische Infrastrukturen) genannt werden. NIS-1 betrifft in Deutschland etwa 2000 Unternehmen. NIS-2 hingegen definiert elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren.
Der Unterschied von NIS zu NIS-2 im Detail:
Die NIS-Richtlinie (EU) 2016/1148 benennt sieben kritische Sektoren:
Die NIS-2-Richtlinie (EU) 2022/2555 geht stärker ins Detail und unterteilt zusätzlich die Sektoren in solche mit hoher Kritikalität und „sonstige kritische Sektoren“:
Sektoren mit hoher Kritikalität gem. NIS-2
Ebenfalls neu in NIS-2: Sonstige Kritischen Sektoren
Abb.: Unterschieder von NIS und NIS-2 in Bezug auf Sektoren.
Die 18 Sektoren ähneln denen der deutschen KRITIS Einstufung oder werden vom Digitale-Dienste-Gesetzt (vormals Telemediengesetz) abgedeckt. Eine Ausnahme bilden vor allem die Bereiche Öffentliche Verwaltungen, Forschung und IKT-Dienstleistungsmanagement. Diese werden mit dem neuen Gesetz zur Umsetzung von EU NIS-2 und Stärkung der Cybersicherheit, das „NIS2UmsuCG“, berücksichtigt werden.
b) Unterschied NIS-1 vs. NIS-2: die Einteilung in „besonders kritische" und „sonstige kritische“ Sektoren
Mit NIS-2 wird nicht mehr zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste unterschieden. Die neue Einteilung ist zwischen besonders wichtigen Sektoren (Sektoren mit hoher Kritikalität) und wichtigen Sektoren (Sonstige kritische Sektoren):
Abb.: Neu in NIS-2 - Einteilung in kritische und besonders kritische Sektoren.
c) Unterschied NIS-1 vs. NIS-2: der Anwendungsbereich
NIS-1 unterscheidet zwischen „Betreiber wesentlicher Dienste“ (analog zu KRITIS) und „Anbieter digitaler Dienste“- NIS-2 hingegen definiert die betroffenen Gruppen neu und definiert „Wesentliche Einrichtungen“ und „Wichtige Einrichtungen“, wobei die Betreiber Kritischer Infrastrukturen zu den wesentlichen Einrichtungen gehören.
d) Unterschied NIS-1 vs. NIS-2: Kooperation auf EU-Ebene
NIS-2 fordert mehr Einheitlichkeit auf EU-Ebene und vor allem Austausch von Informationen und Kooperation: Die Cybersecurity-Behörden der Mitgliedsstaaten sollen eng miteinander zusammenarbeiten und die Rolle der EU-Agentur für Cybersicherheit (ENISA) wird gestärkt.
Jedes Land muss Ansprechpartner definieren, bspw. ein Computer Security Incident Response Team (CSIRT) und eine zuständige nationale Netz- und Informationssystembehörde (NIS).
e) Unterschied NIS-1 vs. NIS-2: einheitliche Normen und Standards
Um die weiteren Ziele (allen voran Kooperation) umsetzen zu können, fordert die neue NIS-Richtlinie EU-weite Normen und Standards. Vor NIS-2 ist der nationale Umsetzungsstand je Land unterschiedlich, Beispiel:
Eine einheitliche Definition auf EU-Ebene wäre mit NIS-2 ein sehr großer Schritt in die Zukunft, weil das Thema politische Brisanz hat. Ein Hauptproblem: Gemäß UN-Abkommen ist es völkerrechtlich untersagt, kritische Infrastrukturen anzugreifen (freiwilliger Zusatz: in Friedenszeiten sollte man auch keine böswilligen Cyberaktivitäten gegen KRITIS-Einrichtungen unternehmen). Ein weiteres Problem sind nationale Schwerpunkte: Bspw. spielt das Thema maritime Kommunikation (Unterseekabel) in Frankreich eine Rolle, in Deutschland hingegen nicht.
f) Unterschied NIS-1 vs. NIS-2: Meldepflichten
Die Meldepflichten für Unternehmen werden ausgeweitet und Informationen zu Vorfällen sollen EU-weit ausgetauscht werden.
g) NIS-1 vs. NIS-2: Bußgelder und Sanktionen
Im Gegensatz zur ersten NIS-Richtlinie werden in NIS-2 Geldbußen auf nationaler Ebene gefordert. Dies hat auch in Deutschland Auswirkungen, denn die bisherigen KRITIS-Bußgelder werden teils deutlich erhöht und die Straftatbestände ausgeweitet.
Gemäß Referentenentwurf des BMI für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz sind folgende Unternehmen als „besonders wichtige" bzw. „wichtige" Einrichtungen betroffen:
a) Als „besonders wichtige" bzw. „wesentliche“ Einrichtung gelten Unternehmen unter folgenden Voraussetzungen:
Oder
Oder
Oder
b) Als wichtige Einrichtung gelten Unternehmen unter folgenden Voraussetzungen:
Oder
c) Anwendungsbereich NIS-2 - grafische Darstellung:
Tabelle: Grafik erstellt in Anlehnung an den Referentenentwurf des BMI: Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Bearbeitungsstand: 07.05.2024
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Fragenkatalog zusammengestellt, der Unternehmen als Orientierung dienen kann, ob sie von NIS-2 betroffen sind. Nach Beantwortung der Fragen wird eine automatisierte Ersteinschätzung zur Verfügung gestellt. Den Fragenkatalog des BSI finden Sie hier: NIS-2-Betroffenheitsprüfung
Kleine und mittelgroße Unternehmen sind in der Regel zwar nicht direkt von NIS-2 betroffen, können aber durchaus mittelbar von der neuen Richtlinie betroffen sein. Dies gilt insbesondere, wenn Sie als Lieferant oder Dienstleister für direkt betroffene Unternehmen tätig sind. Auf entsprechende KMU können dann ebenfalls Herausforderungen im Bereich Cybersecurity zukommen.
Da von direkt betroffenen Unternehmen im Rahmen des Risikomanagements auch die gesamte Lieferkette gemäß NIS-2 miteinzubeziehen ist, werden die Verpflichtungen in puncto Cyberresilienz auch in die Auswahl und Bewertung von Zulieferern einfließen. Dadurch können auch zuliefernde und dienstleistende KMU mit den Anforderungen der EU-Richtlinie bzw. den darauf beruhenden Regelungen in den einzelnen Mitgliedsstaaten in Berührung kommen.
Ähnlich wie beim Lieferkettensorgfaltspflichengesetz (LkSG) müssen KMU also damit rechnen, von verpflichteten Unternehmen zur Zusammenarbeit und Mitwirkung aufgefordert zu werden. Dies kann auch für kleinere und mittelgroße Unternehmen z.B. die Implementierung von Sicherheitsmaßnahmen im Bereich Cybersecurity oder die Einführung eines ISMS nach sich ziehen.
KMU sind zwar - abgesehen von sog. Vertrauensdiensteanbietern - nicht unmittelbar von NIS-2 betroffen, können aber als Partnerfirmen betroffener Unternehmen als Teil der Lieferkette indirekt in den Anwendungsbereich der Richtlinie fallen.
Das Umfragetool LamaPoll, bzw. die Einrichtung dahinter, die Lamano GmbH & Co. KG, bietet Dienstleistungen an Einrichtungen in einem der Sektoren mit hoher Kritikalität. Dienste für KRITIS Betreiber werden ebenfalls erbracht. Allerdings ist die zweite Voraussetzung, die Mindestgröße noch nicht ganz erreicht. Somit ist LamaPoll selbst keine Einrichtung gemäß NIS-2.
Allerdings ist LamaPoll dank diverser Zertifizierungen (wie TISAX, ISO 27001) und dank eines umgesetzten und extern auditierten ISMS (Informationssicherheitsmanagementsystem) bestens aufgestellt. Das ermöglicht Ihnen als betroffenes Unternehmen den internen, NIS-2-konformen Einsatz des Umfragetools LamaPoll bzw. den Einsatz von LamaPoll als NIS-2-konformen Dienstleister. Ihre Lieferkette bleibt sicher:
Wenn Ihr Unternehmen bereits zu KRITIS gehört oder aber auch über anerkannte Zertifizierungen verfügt (allen voran ISO 27001), so sind Sie bereits bestens aufgestellt. Die Anforderungen der NIS-2-Richtlinie sind tiefgreifend und umfangreich, jedoch auch stark an Normen wie bspw. ISO 27001 angelehnt:
Auch neue Begrifflichkeiten kommen hinzu, beispielsweise die „Cyberhygiene“. Hierzu zählen gemäß Definition „z. B. Zero-Trust-Grundsätze, Software-Updates, Gerätekonfiguration, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement oder Sensibilisierung der Nutzer, Schulungen für ihre Mitarbeiter organisieren und das Bewusstsein für Cyberbedrohungen, Phishing oder Social-Engineering-Techniken schärfen.“. (Quelle: Richtlinie (EU) 2022/2555)
Eine weitere Besonderheit von NIS-2 (vor allem als Unterschied zu bspw. ISO 27001) ist das Vorhandensein konkreter Anforderungen, wie
LamaPoll ist eines der wenigen Umfragetools mit der anerkannten ISO 27001 Zertifizierung und deckt alle Anforderungen zum Risikomanagement ab. Von NIS-2 (oder KRITIS) betroffene Unternehmen können LamaPoll NIS-2-konform als Lieferant/Dienstleiter für Umfragen und Befragungen einsetzen.
Zögern Sie nicht uns zu kontaktieren
Warum LamaPoll?
Kontakt