NIS-2, NIS, KRITIS: Überblick, Unterschiede & Anwendungsbereiche

 

Die NIS-2-Richtlinie der EU soll die Cyberresilienz in der Union stärken und für ein hohes gemeinsames Cybersicherheitsniveau in den Mitgliedsstaaten sorgen. Die 2. EU-Richtlinie für Netzwerk- und Informationssicherheit (kurz: NIS-2) zielt insbesondere auf den Schutz der kritischen Infrastruktur ab. NIS-2 trat Ende 2022 in Kraft und muss bis zum 4. Quartal 2024 in nationales Recht umgesetzt werden. In den folgenden Abschnitten erhalten Sie einen Überblick über die Entwicklung und den Status quo zu NIS-2. Außerdem erfahren Sie, welches die wichtigsten Unterschiede zwischen der 1. NIS-Richtlinie und NIS-2 sind, welche Unternehmen, Einrichtungen und Sektoren von NIS-2 betroffen sind und welche Anforderungen erfüllt werden müssen. 

Information für unsere Kunden im Rahmen von NIS-2: Das Umfragetool LamaPoll kann von betroffenen Unternehmen NIS-2-konform als Lieferant/Dienstleiter für Umfragen und Befragungen eingesetzt werden. Detailliertere Info: NIS-2-konformer Einsatz von Lamapoll

 

 

NIS-1, NIS-2, KRITIS: Überblick und aktueller Stand

NIS-2 ist eine EU-Richtlinie ((EU) 2022/2555) mit dem Ziel, die Cybersicherheit in der EU zu erhöhen und zu vereinheitlichen. Sie löst die vorhergehende NIS-1 Richtlinie ab, erweitert diese in nahezu sämtlichen Punkten und geht auch über die deutschen KRITIS Regularien hinaus.

Die Richtlinie wurde am 27 Dezember 2022 veröffentlicht und ist 20 Tage später in Kraft getreten. Die Mitgliedstaaten der EU müssen die Richtlinie 21 Monate nach dem Inkrafttreten in nationales Recht umsetzen: also im 4. Quartal 2024. 

Status quo zu NIS-2: Das Gesetz zur Umsetzung der NIS-2-Richtlinie wurde bis dato noch nicht verabschiedet (Stand September 2024). Nachdem das BMI Ende Juni 2024 einen 4. Referentenentwurf veröffentlicht hat, hat sich das Bundeskabinett im Juli 2024 auf einen Gesetzentwurf geeinigt und diesen angenommen. Der Gesetzentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) muss nun noch weitere Stationen im Gesetzgebungsverfahren durchlaufen.

Während es bis 2024 in Deutschland entsprechende Regelungen fast ausschließlich für kritische Infrastrukturen gab, soll mit NIS-2 ein weitaus breiterer Kreis adressiert bzw. in die Pflicht genommen werden. Die Richtlinie hat direkte Auswirkungen sowohl auf eine Vielzahl von Unternehmen (konkrete Anforderungen an das Risikomanagement, Meldepflichten, Haftung der Leitungsorgane) als auch auf die Mitgliedsstaaten (Einrichtung zentraler Ansprechpartner, länderübergreifende Kooperation, Ausweitung der nationalen Kompetenzen, Bußgeldregelungen). Um vor allem die Kooperation auf EU-Ebene zu fördern werden Normen und Standards gefordert und definiert.

Was bedeutet eigentlich NIS? NIS ist die Abkürzung von „Netzwerk- und Informationssicherheit“. Die entsprechenden NIS-Richtlinien definieren Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union.

Was sind Kritische Infrastrukturen, wesentliche Dienste und wichtige Dienste und Einrichtungen?

Im Rahmen von NIS, NIS-2, KRITIS, IT-Sicherheitsgesetz ist stets die Rede von „kritische Infrastrukturen“, „wesentliche Dienste/Einrichtungen“ und „wichtige Dienste/Einrichtungen“. Was ist damit gemeint und warum müssen diese auf EU-Ebene geregelt werden? 
 

a) Situation in Deutschland: KRITIS bis 2024

„Kritische Infrastrukturen (kurz: KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“  
(Definition der Bundesressorts)
 

Das Bundesamt für Sicherheit in der Informationstechnik definiert genauer: Im Sinne des § 2 Abs. 10 BSI-Gesetz sind Kritische Infrastrukturen Einrichtungen, Anlagen oder Teile davon, die den Sektoren 

  1. Energie, 
  2. Informationstechnik und Telekommunikation, 
  3. Transport und Verkehr, 
  4. Gesundheit, 
  5. Wasser, 
  6. Ernährung, 
  7. Finanz- und Versicherungswesen sowie 
  8. Siedlungsabfallentsorgung (seit dem im Mai 2021 verabschiedeten IT-Sicherheitsgesetz 2.0 und den damit verbundenen Änderungen des BSI-Gesetzes)

angehören und 
 

von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Zusätzlich sieht das BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe noch die 2 Sektoren Staat/Verwaltung und Medien/Kultur als Kritische Infrastrukturen.
 

Die Betreiber (§ 1 Nr. 2 BSI-KritisV) Kritischer Infrastruktur sind gemäß BSI-Gesetz (BSIG) und BSI-Kritisverordnung verpflichtet,
 

  • eine Kontaktstelle für die betriebene Kritische Infrastruktur zu benennen,
  • IT-Störungen oder erhebliche Beeinträchtigungen zu melden,
  • IT-Sicherheit auf dem "Stand der Technik" umzusetzen
  • und dies alle zwei Jahre gegenüber dem BSI nachzuweisen 
     

b) Regelungen auf EU-Ebene: wesentliche Dienste und wichtige Einrichtungen gemäß NIS-2

Die NIS-2 Richtlinie geht über KRITIS hinaus und erweitert die betroffenen Sektoren um Öffentliche Verwaltungen (Zentralregierung, regionale Regierung), IKT-Dienstleistungsmanagement (B2B) (Managed Service Providers, Managed Security Service Providers) und Forschung (Forschungsinstitute). Die übrigen Sektoren sind teilweise von KRITIS, teilweise von anderen Regelungen wie dem Digitale-Dienste-Gesetz (vormals TMG) in Deutschland abgedeckt. Des Weiteren werden die Unternehmen je nach Größe und Sektor in wesentliche und wichtige Dienste und Einrichtungen unterteilt.
 

Wichtig: NIS-2 definiert einen weitaus breiteren Anwendungsbereich als KRITIS:
 

Natürlich inklusive Sonderfällen und Ausnahmen.

NIS-1 hat zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste unterschieden. Dies hat keine Gültigkeit mehr. Die neue Einteilung gemäß NIS-2 ist zwischen besonders wichtigen Sektoren (Sektoren mit hoher Kritikalität) und wichtigen Sektoren.  

Geschichte der Kritischen Infrastrukturen (Schwerpunkt IT) in der EU

Bereits 1996 wurde in den USA die PCCIP gegründet, die President’s Commission on Critical Infrastructure Protection. Diese legt nach und nach die Grundsteine und Definitionen für Kritische Infrastrukturen und setzt recht bald den Fokus auf IT.

  • 2008: In Europa werden Kritische Infrastrukturen (EU-Richtlinie 2008/114/EG) definiert, Deutschland definiert diese im Raumordnungsgesetz.
  • 2010: erste digitale Agenda für Europa 2010-2020
  • 2015 wurde in der UN-Resolution „Transformation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“ (kurz: Agenda2030) unter anderem das Nachhaltigkeitsziel 9 vereinbart. Dieses sieht eine widerstandsfähige und verlässliche Infrastruktur vor. 
  • 2015: IT-Sicherheitsgesetzt in Deutschland wird wirksam
  • 2016: EU-Richtlinie zur Netz- und Informationssicherheit (NIS). Diese NIS-Richtlinie schrieb unter anderem vor, dass die Mitgliedstaaten nationale Strategien zur Cybersicherheit entwickeln und Sicherheitsmaßnahmen für Betreiber kritischer digitaler Dienste einführen müssen.
  • 2018: Umsetzung der NIS-Richtlinie in nationales Recht in Deutschland.
  • 2019: BSI veröffentlicht den Entwurf für das IT-Sicherheitsgesetz 2.0
  • 2020: Erste Evaluierung der NIS-Richtlinie in Deutschland, Identifizierung von Verbesserungsmöglichkeiten.
  • 2022: Vorschlag zur Überarbeitung der NIS-Richtlinie und Einführung von NIS-2 auf EU-Ebene.
  • 2024: Oktober 2024: Aufhebung NIS, NIS-2 muss in nationales Recht umgesetzt werden
  • 2024: Deutschland: Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz)

Funfact zur IT-Sicherheit: Der Beginn des Internets wird gemeinhin mit dem 29. Oktober 1969 in Verbindung gebracht (Start ARPANET), nur 2 Jahre später wurde „Creeper“, der erste Computerwurm, entdeckt. Dem folgte 1972 „Reaper“, quasi das erste Antivirusprogramm. 

Kurzer Überblick: IT-Sicherheitsgesetz, NIS-1, IT-Sicherheitsgesetz 2.0, NIS-2

NIS-Richtlinie 2016

Europaweit wurde mit der lang ersehnten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS) die Grundlage für die nationale Gesetzgebung bzgl. Betreiber Kritischer Infrastrukturen geschaffen. Diese definiert den Geltungsbereich (Betreiber wesentlicher Dienste – OESs) und erweitert diesen um Anbieter digitaler Dienste (DSPs). Des Weiteren schreibt die NIS-Richtlinie sowohl Pflichten der OESs und DSPs (geeignete Maßnahmen zur Sicherung ergreifen, mögliche Risiken berücksichtigen und mehr) als auch Konsequenzen vor. 
 

IT-Sicherheitsgesetz 2015

In Deutschland war man (ausnahmsweise) bestens vorbereitet: Im bereits seit 2015 wirksamen IT-Sicherheitsgesetz wurde dem Bundesamt für Sicherheit die zentrale Rolle beim Schutz kritischer Infrastrukturen zugewiesen. Hierzu wurde das BSI-Gesetz um Sicherheitsanforderungen ergänzt und in einer zugehörigen KRITIS-Verordnung (BSI-KritisV) wurden die zugehörigen Sektoren geklärt. Abgesehen vom Wording (in der NIS-Richtlinie ist von „wesentlichen Diensten“ die Rede, im IT-Sicherheitsgesetz von „kritischen Infrastrukturen“) gleichen sich beide Regelungen. 
 

Das Gesetz zur Umsetzung NIS-Richtlinie 2018

Das Gesetz zur Umsetzung der NIS-Richtlinie wurde 2017 verkündet und 2018 umgesetzt. Es diente der Umsetzung der NIS-Richtlinie in deutsches Recht und erweiterte die bestehenden Regularien um neue Anforderungen vor allem hinsichtlich einer stärkeren Zusammenarbeit der Mitgliedsstaaten der EU sowie der Meldepflichten für KRITIS und Anbieter digitaler Dienste. Die Aufgaben und Befugnisse des BSI wurden erweitert.
 

IT-Sicherheitsgesetz 2.0 2019

In 2019 veröffentlichte das BSI den Entwurf für das IT-Sicherheitsgesetz 2.0, welches die Kompetenzen des BSI stärkt, die Ermittlungstätigkeit stärkt und auch den Verbraucherschutz stärker berücksichtigt. Trotz Kritik (Machtausweitung des BSI ohne vorherige Einbindung von Verbänden und anderer Interessensvertreter) tritt dieses Ende Mai 2021 in Kraft.
 

NIS-2 Richtlinie 2023

Die Evaluierung der NIS-Richtlinie zeigte insbesondere aufgrund steigender Abhängigkeiten und der Ausbreitung von digitalen Technologien vor allem zwei Kritikpunkte auf: Die Cyberresilienz (Widerstandsfähigkeit) ist zu niedrig und dazu inkonsistent je nach EU-Land, und es fehlt sowohl an einem gemeinsamen Verständnis als auch an einer kooperativen Zusammenarbeit zwischen den Ländern. Dies führte 2022 zur Verabschiedung der neuen NIS-2-Richtlinie. Diese stellt strengere Anforderungen, vereinheitlicht die Sanktionsmöglichkeiten und weitet den Anwendungsbereich aus. 

Die wichtigsten Unterschiede: NIS-1 vs. NIS-2

NIS-1 bzw. die NIS-Richtlinie war die erste Cybersecurity Richtlinie auf europäischer Basis. Die Notwendigkeit für NIS (Netzwerk- und Informationssicherheit) ergab sich aufgrund der steigenden Abhängigkeit von digitalen Netzwerken und Systemen und der gleichzeitig steigenden Bedrohungslage. Beides ist auch der Grund für eine stetige Überarbeitung und Verbesserung, was auch 2022 zu NIS-2 geführt hat. 
 

a) Unterschied NIS-1 vs. NIS-2: die betroffenen (neuen) Sektoren

NIS-1 gilt für „wesentliche Dienste“, also bestimmte Sektoren, welche in Deutschland KRITIS (Kritische Infrastrukturen) genannt werden. NIS-1 betrifft in Deutschland etwa 2000 Unternehmen. NIS-2 hingegen definiert elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren.  
 

Der Unterschied von NIS zu NIS-2 im Detail:
 

Die NIS-Richtlinie (EU) 2016/1148 benennt sieben kritische Sektoren: 

  1. Energie (Elektrizität, Erdöl und -gas), 
  2. Verkehr/Transport (Luft, Schiene, Schifffahrt und Straßenverkehr), 
  3. Banksektor und explizit zusätzlich 
  4. Finanzmarkt-Infrastruktur, 
  5. Gesundheitswesen,
  6. Trinkwasser (Versorgung und Lieferung/Distribution) sowie 
  7. Digitale Infrastruktur (explizit: IXPs, DNS-provider, TLD Registries).
     

Die NIS-2-Richtlinie (EU) 2022/2555 geht stärker ins Detail und unterteilt zusätzlich die Sektoren in solche mit hoher Kritikalität und „sonstige kritische Sektoren“:
 

Sektoren mit hoher Kritikalität gem. NIS-2

  1. Energie: analog NIS-1 aber zzgl. Fernwärme und-kälte sowie Wasserstoff
  2. Verkehr
  3. Bankwesen
  4. Finanzmarktinfrastrukturen
  5. Gesundheitswesen

    Neu: die „Trinkwasserlieferung und -versorgung“ von NIS-1 wird in NIS-2 aufgeteilt in
  6. Trinkwasser und
  7. NEU in NIS-2: Abwasser
     
  8. Digitale Infrastruktur (analog zu NIS-1 aber erweitert um Anbieter von Cloud-Computing Diensten, von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste)
  9. NEU in NIS-2: Verwaltung von IKT-Diensten (Business-to-Business)
  10. NEU in NIS-2: Öffentliche Verwaltung
  11. NEU in NIS-2: Weltraum
     

Ebenfalls neu in NIS-2: Sonstige Kritischen Sektoren

  1. Post- und Kurierdienste
  2. Abfallbewirtschaftung
  3. Produktion, Herstellung und Handel mit chemischen Stoffen
  4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  5. Verarbeitendes Gewerbe/Herstellung von Waren (Medizinprodukte, Datenverarbeitungsgeräte, elektrische Ausrüstungen, Maschinenbau, Kraftwagen, sonstiger Fahrzeugbau)
  6. Anbieter digitaler Dienste (online Marktplätze, Suchmaschinen, Soziale Netzwerke)
  7. Forschung (Forschungseinrichtungen)

 

Abb.: Unterschieder von NIS und NIS-2 in Bezug auf Sektoren.
 

Die 18 Sektoren ähneln denen der deutschen KRITIS Einstufung oder werden vom Digitale-Dienste-Gesetzt (vormals Telemediengesetz) abgedeckt. Eine Ausnahme bilden vor allem die Bereiche Öffentliche Verwaltungen, Forschung und IKT-Dienstleistungsmanagement. Diese werden mit dem neuen Gesetz zur Umsetzung von EU NIS-2 und Stärkung der Cybersicherheit, das „NIS2UmsuCG“, berücksichtigt werden.
 

b) Unterschied NIS-1 vs. NIS-2: die Einteilung in „besonders kritische" und „sonstige kritische“ Sektoren

Mit NIS-2 wird nicht mehr zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste unterschieden. Die neue Einteilung ist zwischen besonders wichtigen Sektoren (Sektoren mit hoher Kritikalität) und wichtigen Sektoren (Sonstige kritische Sektoren):
 

Abb.: Neu in NIS-2 - Einteilung in kritische und besonders kritische Sektoren.
 

c) Unterschied NIS-1 vs. NIS-2: der Anwendungsbereich

NIS-1 unterscheidet zwischen „Betreiber wesentlicher Dienste“ (analog zu KRITIS) und „Anbieter digitaler Dienste“- NIS-2 hingegen definiert die betroffenen Gruppen neu und definiert „Wesentliche Einrichtungen“ und „Wichtige Einrichtungen“, wobei die Betreiber Kritischer Infrastrukturen zu den wesentlichen Einrichtungen gehören.
 

d) Unterschied NIS-1 vs. NIS-2: Kooperation auf EU-Ebene

NIS-2 fordert mehr Einheitlichkeit auf EU-Ebene und vor allem Austausch von Informationen und Kooperation: Die Cybersecurity-Behörden der Mitgliedsstaaten sollen eng miteinander zusammenarbeiten und die Rolle der EU-Agentur für Cybersicherheit (ENISA) wird gestärkt. 

Jedes Land muss Ansprechpartner definieren, bspw. ein Computer Security Incident Response Team (CSIRT) und eine zuständige nationale Netz- und Informationssystembehörde (NIS).
 

e) Unterschied NIS-1 vs. NIS-2: einheitliche Normen und Standards

Um die weiteren Ziele (allen voran Kooperation) umsetzen zu können, fordert die neue NIS-Richtlinie EU-weite Normen und Standards. Vor NIS-2 ist der nationale Umsetzungsstand je Land unterschiedlich, Beispiel: 

  • In Deutschland gibt es die KRITIS Regularien. 
  • In Österreich gibt es keine spezifische Gesetzgebung, welche explizit den Schutz kritischer Infrastrukturen zum Gegenstand hat, dafür existieren mehrere Gesetze (wie das Sicherheitspolizeigesetz oder das Strafgesetzbuch), welche den Schutz kritischer Infrastrukturen definieren. Die zuständigen Behörden werden bei der Umsetzung vom APCIP (Austrian Program for Critical Infrastructure Protection) unterstützt. Darüber hinaus existieren bilaterale Verträge mit der Slowakei und Tschechien.
  • Die Schweiz definiert neun kritische Sektoren mit 27 Branchen.
  • Monaco hat gar keine Definition für kritische Sektoren (so wie 93 weitere Staaten weltweit auch).
     

Eine einheitliche Definition auf EU-Ebene wäre mit NIS-2 ein sehr großer Schritt in die Zukunft, weil das Thema politische Brisanz hat. Ein Hauptproblem: Gemäß UN-Abkommen ist es völkerrechtlich untersagt, kritische Infrastrukturen anzugreifen (freiwilliger Zusatz: in Friedenszeiten sollte man auch keine böswilligen Cyberaktivitäten gegen KRITIS-Einrichtungen unternehmen). Ein weiteres Problem sind nationale Schwerpunkte: Bspw. spielt das Thema maritime Kommunikation (Unterseekabel) in Frankreich eine Rolle, in Deutschland hingegen nicht.
 

f) Unterschied NIS-1 vs. NIS-2: Meldepflichten

Die Meldepflichten für Unternehmen werden ausgeweitet und Informationen zu Vorfällen sollen EU-weit ausgetauscht werden. 
 

g) NIS-1 vs. NIS-2: Bußgelder und Sanktionen

Im Gegensatz zur ersten NIS-Richtlinie werden in NIS-2 Geldbußen auf nationaler Ebene gefordert. Dies hat auch in Deutschland Auswirkungen, denn die bisherigen KRITIS-Bußgelder werden teils deutlich erhöht und die Straftatbestände ausgeweitet. 

Anwendungsbereich von NIS-2: Wer ist betroffen?

Gemäß Referentenentwurf des BMI für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz sind folgende Unternehmen als „besonders wichtige" bzw. „wichtige" Einrichtungen betroffen: 

 

a) Als besonders wichtige" bzw. „wesentliche“ Einrichtung gelten Unternehmen unter folgenden Voraussetzungen:

 

  • Unternehmen, welches Waren oder Dienstleistungen an einer Einrichtung in einem der Sektoren mit hoher Kritikalität anbietet UND
  • Mindestens 250 Mitarbeiter beschäftigt ODER einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweist.

Oder

  • Betreiber kritischer Anlagen.

Oder

  • Anbieter von TK-Diensten oder öffentlich zugänglichen Telekommunikationsnetzen UND
  • Mindestens 50 Mitarbeiter beschäftigt ODER einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.

Oder

  • Vertrauensdiensteanbieter, Top Level Domain Registry Unternehmen oder DNS Diensteanbieter für Einrichtungen aus einem der Sektoren mit hoher Kritikalität. 
     

b) Als wichtige Einrichtung gelten Unternehmen unter folgenden Voraussetzungen:
 

  • Unternehmen, welches Waren oder Dienstleistungen an einer Einrichtung in einem der Sektoren mit hoher Kritikalität ODER einem sonstigen kritischen Sektor anbietet UND
  • Mindestens 50 Mitarbeiter beschäftigt ODER einen Jahresumsatz von über 10 Millionen Euro aufweist.

Oder

  • Vertrauensdiensteanbieter. 
     

c) Anwendungsbereich NIS-2 - grafische Darstellung:


Tabelle: Grafik erstellt in Anlehnung an den Referentenentwurf des BMI: Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Bearbeitungsstand: 07.05.2024 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Fragenkatalog zusammengestellt, der Unternehmen als Orientierung dienen kann, ob sie von NIS-2 betroffen sind. Nach Beantwortung der Fragen wird eine automatisierte Ersteinschätzung zur Verfügung gestellt. Den Fragenkatalog des BSI finden Sie hier: NIS-2-Betroffenheitsprüfung  

Sind auch KMU von NIS-2 betroffen?

Kleine und mittelgroße Unternehmen sind in der Regel zwar nicht direkt von NIS-2 betroffen, können aber durchaus mittelbar von der neuen Richtlinie betroffen sein. Dies gilt insbesondere, wenn Sie als Lieferant oder Dienstleister für direkt betroffene Unternehmen tätig sind. Auf entsprechende KMU können dann ebenfalls Herausforderungen im Bereich Cybersecurity zukommen. 

Da von direkt betroffenen Unternehmen im Rahmen des Risikomanagements auch die gesamte Lieferkette gemäß NIS-2 miteinzubeziehen ist, werden die Verpflichtungen in puncto Cyberresilienz auch in die Auswahl und Bewertung von Zulieferern einfließen. Dadurch können auch zuliefernde und dienstleistende KMU mit den Anforderungen der EU-Richtlinie bzw. den darauf beruhenden Regelungen in den einzelnen Mitgliedsstaaten in Berührung kommen.
Ähnlich wie beim Lieferkettensorgfaltspflichengesetz (LkSG) müssen KMU also damit rechnen, von verpflichteten Unternehmen zur Zusammenarbeit und Mitwirkung aufgefordert zu werden. Dies kann auch für kleinere und mittelgroße Unternehmen z.B. die Implementierung von Sicherheitsmaßnahmen im Bereich Cybersecurity oder die Einführung eines ISMS nach sich ziehen. 

KMU sind zwar - abgesehen von sog. Vertrauensdiensteanbietern - nicht unmittelbar von NIS-2 betroffen, können aber als Partnerfirmen betroffener Unternehmen als Teil der Lieferkette indirekt in den Anwendungsbereich der Richtlinie fallen.   

LamaPoll als konformer Teil der Lieferkette nach NIS-2

Das Umfragetool LamaPoll, bzw. die Einrichtung dahinter, die Lamano GmbH & Co. KG, bietet Dienstleistungen an Einrichtungen in einem der Sektoren mit hoher Kritikalität. Dienste für KRITIS Betreiber werden ebenfalls erbracht. Allerdings ist die zweite Voraussetzung, die Mindestgröße noch nicht ganz erreicht. Somit ist LamaPoll selbst keine Einrichtung gemäß NIS-2.

Allerdings ist LamaPoll dank diverser Zertifizierungen (wie TISAX, ISO 27001) und dank eines umgesetzten und extern auditierten ISMS (Informationssicherheitsmanagementsystem) bestens aufgestellt. Das ermöglicht Ihnen als betroffenes Unternehmen den internen, NIS-2-konformen Einsatz des Umfragetools LamaPoll bzw. den Einsatz von LamaPoll als NIS-2-konformen Dienstleister. Ihre Lieferkette bleibt sicher:
 

  • ISMS etabliert, extern auditiert
  • Informationssicherheitsrisikomanagement (Identifikation, Bewertung, Behandlung) 
  • Sicherheitsvorfälle sind klar definiert, inklusive Verantwortlichkeiten, Eskalationsstufen und Prozesse
  • Notfallkonzept/-handbuch vorhanden, inklusive Business Continuity Management und regelmäßig durchgeführte Notfalltests
  • Kryptografiekonzept, regelmäßig reviewed und extern auditiert
  • Schulungen und Weiterbildungen als fester Prozess ausgearbeitet und gelebt
  • Meldewesen ist etabliert, regelmäßig getestet 

NIS-2: Die wichtigsten (Mindest-)Anforderungen zum Risikomanagement

Wenn Ihr Unternehmen bereits zu KRITIS gehört oder aber auch über anerkannte Zertifizierungen verfügt (allen voran ISO 27001), so sind Sie bereits bestens aufgestellt. Die Anforderungen der NIS-2-Richtlinie sind tiefgreifend und umfangreich, jedoch auch stark an Normen wie bspw. ISO 27001 angelehnt: 
 

  • Konzepte zur Risikoanalyse und Sicherheit für Informationssysteme; sowie zu Bewältigung von Sicherheitsvorfällen
  • BCM: Business Continuity Management - Aufrechterhaltung des Betriebs sicherstellen, Notfallmanagement und Krisenmanagement
  • Risikomanagement, auch die gesamte Lieferkette betreffend
  • Maßnahmen zur Risikobehandlung, inkl. Konzept zur Bewertung der Wirksamkeit
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  • Kryptografie: Konzepte und Verfahren für den Einsatz
  • Personal: Schulungen, Konzept für Zugriffskontrolle, Sicherheit des Personals
     

Auch neue Begrifflichkeiten kommen hinzu, beispielsweise die „Cyberhygiene“. Hierzu zählen gemäß Definition „z. B. Zero-Trust-Grundsätze, Software-Updates, Gerätekonfiguration, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement oder Sensibilisierung der Nutzer, Schulungen für ihre Mitarbeiter organisieren und das Bewusstsein für Cyberbedrohungen, Phishing oder Social-Engineering-Techniken schärfen.“. (Quelle: Richtlinie (EU) 2022/2555)
 

Eine weitere Besonderheit von NIS-2 (vor allem als Unterschied zu bspw. ISO 27001) ist das Vorhandensein konkreter Anforderungen, wie 
 

  • die Verwendung von Multi-Faktor-Authentifizierung
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
  • gesicherte Sprach-, Video- und Textkommunikation 

LamaPoll ist eines der wenigen Umfragetools mit der anerkannten ISO 27001 Zertifizierung und deckt alle Anforderungen zum Risikomanagement ab. Von NIS-2 (oder KRITIS) betroffene Unternehmen können LamaPoll NIS-2-konform als Lieferant/Dienstleiter für Umfragen und Befragungen einsetzen.

 


 

Gunther Koschnick
(5/5)
sagt über LamaPoll
Zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben wir erstmals eine Sicherheitsumfrage durchgeführt. Für Datenschutz, Cybersicherheit und Anonymität bestanden hohe Anforderungen seitens der Unternehmen. Lamapoll konnte diese technisch und organisatorisch bestens umsetzen. Zudem war bei jeder Gelegenheit ein Ansprechpartner zur Stelle. Wir sind mit der Zusammenarbeit äußerst zufrieden.

 

Umfrage erstellen

 


 

Haben Sie Fragen an unser Team?

Wir beantworten Ihnen gern alle Fragen rund um das Thema Sicherheit bei LamaPoll.

Zögern Sie nicht uns zu kontaktieren

Warum LamaPoll?

 

  • DSGVO-konform
  • Zertifizierte Server
  • Hosting in Deutschland

 

unverbindlich Free Account erstellen
 
Wir beraten Sie gern!
Rufen Sie uns an!
 030 120 885 12
Mitarbeiterbefragungen - wertvolles Wissen über Ihre Mitarbeiter auswerten und Unternehmensprozesse optimieren

© golubovy

Mitarbeiterumfragen mit LamaPoll

  • Einfaches & intuitives Tool
  • 100% DSGVO-konform 
  • Professioneller Funktionsumfang
  • Umfangreiche Auswertungen
  • Attraktiv auf allen Geräten

 

Mehr als 10.000 Unternehmen erstellen bereits Online Umfragen mit unserem Umfragetool.
Bekannt aus:

 

 Kontakt

Schreiben Sie uns!

Unser Support-Team hilft bei Fragen oder Problemen gern weiter.

Saubere Homepage: keine Tracker, keine Cookies!
Wir respektieren WIRKLICH Ihre Privatsphäre: Auf unserer Website setzen wir KEINE Tracking-, Werbe- oder Drittanbieter-Cookies ein.

Und selbstverständlich verfolgen wir auch NICHT Ihr Verhalten auf unserer Webseite!