Das NIS-Umsetzungsgesetz soll im März 2024 verkündet werden und im Oktober 2024 in Kraft treten. Die nachfolgenden Ausführungen beziehen sich somit auf den derzeit vorliegenden Gesetzesentwurf.

Was ändert sich mit der NIS2-Richtlinie und wen betrifft sie überhaupt?

Die NIS2-Richtlinie gilt EU-weit und hat das Ziel, das Gesamtniveau der Cybersicherheit in der EU zu steigern. Betroffene Unternehmen in den einzelnen Mitgliedstaaten müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Bei Verstößen drohen hohe Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes, im schlimmsten Fall sogar der Entzug der Betriebserlaubnis.

Jetzt könnte man denken, kennen wir das nicht alles schon? Betreiber kritischer Infrastrukturen (KRITIS) sind doch schon länger verpflichtet, spezielle Sicherheitsmaßnahmen zu ergreifen und nachzuweisen. Ja, korrekt. Die NIS2-Richtlinie soll nun aber einiges konkretisieren und erweitern. Insbesondere erweitert sich der Geltungsbereich entscheidend. Denn ab Inkrafttreten der Richtlinie (voraussichtlich im Oktober 24), sind nicht nur Betreiber kritischer Infrastrukturen (KRITIS) von den geforderten Maßnahmen betroffen, sondern auch - neu - "besonders wichtige Einrichtungen" und "wichtige Einrichtungen". Man kann davon ausgehen, dass allein in Deutschland ca. 30.000 Unternehmen neu in die Pflicht genommen werden. Also schauen wir uns die Richtlinie besser mal etwas genauer an.

 

Geltungsbereich der Richtlinie

Für wen ist die Richtlinie relevant?

Auf die Betreiber kritischer Infrastrukturen (KRITIS) wollen wir im Folgenden nicht näher eingehen. Auch hier werden Konkretisierungen der Maßnahmen erwartet. Aber besonders spannend erscheint uns der erweiterte Geltungsbereich um besonders wichtige und wichtige Einrichtungen (§28 NIS2UmsuCG).
 

BESONDERS WICHTIGE EINRICHTUNGEN

  • Unternehmen ab 250 Mitarbeitern oder
  • Unternehmen ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio. EUR

aus den Sektoren nach Anlage 1 der Richtlinie:

  • Energie: Stromversorgung, Fernwärme/-kälte, Kraftstoff/Heizöl, Gas
  • Transport/Verkehr: Luftverkehr Schienenverkehr, Schifffahrt, Straßenverkehr
  • Finanzen/Versicherung: Banken, Finanzmarkt-Infrastruktur
  • Gesundheit: Dienstleistungen, Referenzlabore, F&E, Pharma (NACE C Abt. 21), Medizinprodukte
  • Wasser/Abwasser: Trinkwasser, Abwasser
  • IT und TK: IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services
  • Weltraum: Bodeninfrastrukturen

Sonderfälle: qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen, Zentralregierung

 

WICHTIGE EINRICHTUNGEN

  • Unternehmen ab 50 Mitarbeitern oder
  • Unternehmen ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR

aus den Sektoren nach Anlage 1 UND Anlage 2 der Richtlinie. Zusätzlich zu den oben genannten Sektoren (Anlage 1) kommen somit die Unternehmen aus folgenden Sektoren dazu:

  • Transport/Verkehr: Post und Kurier
  • Chemie: Herstellung, Handel, Produktion
  • Forschung: Forschungseinrichtungen
  • Verarbeitendes Gewerbe: Medizin/Diagnostika; DV, Elektro, Optik (NACE C Abt. 26 und 27); Maschinen­bau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30)
  • Digitale Dienste: Marktplätze, Suchmaschinen, soziale Netzwerke
  • Lebensmittel: Großhandel, Produktion, Verarbeitung
  • Entsorgung: Abfallbewirtschaftung

Sonderfälle: Vertrauensdienste
 

BUNDESVERWALTUNG

Die Pflichten für besonders wichtige Einrichtungen werden in der Regel auch für die Bundesverwaltung gelten. Teile der Bundesverwaltung können zukünftig sowohl im Sinne von KRITIS als auch als besonders wichtige Einrichtung reguliert werden. Teilweise ist hier mit besonderen Regulatorien zu rechnen.

Im Sinne von NIS2 gelten folgende Bereiche als Bundesverwaltung:

  • Stellen des Bundes
  • Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts
  • Öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen

 

Maßnahmen zum Risikomanagement

Geeignete Maßnahmen zum Risikomanagement

Die oben genannten Unternehmen sind gemäß §30 zukünftig dazu verpflichtet, "geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dabei sind

  • das Ausmaß der Risikoexposition
  • die Größe der Einrichtung,
  • die Umsetzungskosten und
  • die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie
  • ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen." 
Minimalanforderungen

Was wird von den Unternehmen erwartet?

Die Definition von geeigneten Maßnahmen nach Abs. 1 lässt sicher einigen Interpretationsspielraum zu. Allerdings werden in Absatz 2 dann gewisse Minimalanforderungen definiert, die wichtige und besonders wichtige Einrichtungen mindestens nachweisen müssen:

  1. Risikoanalyse und Sicherheit für Informationssysteme
  2. Bewältigung von Sicherheitsvorfällen
  3. Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
  4. Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
  5. Sicherheit in der Entwicklung, Beschaffung und Wartung, Management von Schwachstellen
  6. Bewertung der Effektivität von Cybersicherheit und Risiko-Management
  7. Grundlegende Verfahren zur Cyberhygiene inkl. Schulungen zu Cybersicherheit
  8. Kryptografie und Verschlüsselung
  9. Personalsicherheit, Zugriffskontrolle und Anlagen-Management
  10. Multi-Faktor Authentisierung und kontinuierliche Authentisierung
  11. Sichere Kommunikation (Sprach, Video- und Text)

Quellen: openkritisDiskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023

Können wir weiterhelfen?

Access Governance als wesentlicher Baustein

Unsere Access Governance Software daccord erfüllt wesentliche Anforderungen von NIS2 im Hinblick auf die Kontrolle der Zugriffsberechtigungen Ihrer Mitarbeiter. Es ist davon auszugehen, dass Access Governance ein wesentlicher Baustein sein wird, um die Anforderungen von NIS2 zu erfüllen. Eine kontinuierliche, rollenbasierte Rezertifizierung von Berechtigungen minimiert Risiken im Hinblick auf einen möglichen Missbrauch oder auf Cyberangriffe.

Können Sie schon sicherstellen, dass nur die Mitarbeiter Zugriff auf wesentliche Informationen haben, die es im Sinne des Need-to-know Prinzips auch dürten?

DEMO VEREINBAREN

Screenshots daccord Microsoft Edition

Übersichtliches Dashboard zum schnellen Überblick

Anpasspare Dashboard-Ansichten zum schnellen Überblick

Übersicht über User und Gruppen in mehreren Active Directory Domains

Ordner, Dateien und gesetzte Berechtigungen auf den Fileservern

Richtlinie: Benutzerkonten mit direkten Berechtigungen

Integrationspakete zur Anbindung Ihrer IT-Systeme

Welche Konten und Zugriffe besitzt ein Mitarbeiter?

daccord Erklärfilm

Admin Michael erklärt daccord

Welche Herausforderungen hat ein IT-Admin, wenn es um die Verwaltung von Zugriffsberechtigungen geht? Wie zeitaufwändig ist es, alles kontinuierlich zu kontrollieren und wie leicht können Fehler passieren?

Admin Michael zeigt anschaulich, wie übersichtlich und zeitsparend die Kontrolle der Zugriffsberechtigungen sein kann, wenn bestimmte Tätigkeiten automatisiert ablaufen. Besonders in komplexen IT-Landschaften.

ZUM FILM