NIS-2 - Network and Information Systems Directive 2
Richtlinie (EU) 2022/2555 & NIS-2-Umsetzungsgesetz
Überblick
Die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS-2-Richtlinie) wurde am 14. Dezember 2022 verabschiedet und ist seit dem 18. Oktober 2024 in Kraft. In Deutschland wurde sie durch das NIS-2-Umsetzungsgesetz (NIS-2-UG) umgesetzt. NIS-2 erweitert und verschärft die Anforderungen der ersten NIS-Richtlinie und zielt darauf ab, die Cybersicherheit kritischer und wichtiger Einrichtungen in der gesamten EU zu stärken.
Zielsetzung von NIS-2
Cybersicherheit
Erhöhung des Cybersicherheitsniveaus in der gesamten EU durch harmonisierte Anforderungen
Kritische Infrastrukturen
Schutz kritischer und wichtiger Einrichtungen vor Cyber-Bedrohungen
Meldepflichten
Bewertung und gestaffelte Meldung erheblicher Vorfälle: 24h Erstmeldung, 72h Zwischenbericht, 1 Monat Abschlussbericht
Governance
Verpflichtung zu angemessener Governance und Risikomanagement auf Management-Ebene
Kernanforderungen von NIS-2
Risikomanagement
Einführung von Risikomanagementmaßnahmen zur Bewältigung der Risiken für die Sicherheit von Netz- und Informationssystemen
Cybersicherheitsmaßnahmen
Umsetzung angemessener technischer und organisatorischer Maßnahmen zur Gewährleistung der Cybersicherheit
Incident Management
Etablierung von Prozessen zur Erkennung, Meldung und Behandlung von Cybersicherheitsvorfällen
Meldepflichten
Bewertung und gestaffelte Meldung: Erstmeldung 24h, Zwischenbericht 72h, Abschlussbericht innerhalb von 1 Monat
Governance
Verantwortung des Managements für Cybersicherheit, einschließlich Schulungen und Bewusstseinsbildung
Lieferketten-Sicherheit
Berücksichtigung von Cybersicherheitsrisiken in der Lieferkette und bei Drittanbietern
Anwendungsbereich
NIS-2 gilt für zwei Kategorien von Einrichtungen:
Kritische Einrichtungen
- Energie (Strom, Gas, Öl)
- Transport (Luft, Schiene, Wasser, Straße)
- Banken
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- IKT-Dienstmanagement
- Öffentliche Verwaltung
Wichtige Einrichtungen
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Produktion und Vertrieb von Lebensmitteln
- Herstellung
- Digitale Anbieter
- Forschung
Größenkriterium: NIS-2 gilt für Einrichtungen ab einer bestimmten Größe (meist ab 50 Mitarbeitern oder einem Jahresumsatz von 10 Mio. €), mit Ausnahmen für kritische Einrichtungen, die immer erfasst sind.
NIS-2-Umsetzungsgesetz (NIS-2-UG) in Deutschland
| Aspekt | NIS-2-Richtlinie | NIS-2-UG (Deutschland) |
|---|---|---|
| Zuständige Behörde | Nationale Behörden | BSI (Bundesamt für Sicherheit in der Informationstechnik) |
| Meldepflicht | 24h Erstmeldung; 72h Zwischenbericht; 1 Monat Abschlussbericht | Gleiche Fristen; Meldung an das BSI über das Meldeportal |
| Sanktionen | Bis zu 2% des Jahresumsatzes oder 10 Mio. € | Bis zu 2% des Jahresumsatzes oder 10 Mio. € |
| Governance | Management-Verantwortung | Geschäftsleitung haftet persönlich |
| Audit | Regelmäßige Überprüfungen | BSI kann Audits durchführen |
Cybersicherheitsanforderungen im Detail
1. Risikomanagement
Einführung eines Risikomanagementsystems zur Identifikation, Analyse und Behandlung von Cybersicherheitsrisiken
2. Cybersicherheitsrichtlinien
Entwicklung und Umsetzung von Cybersicherheitsrichtlinien und -verfahren
3. Technische Maßnahmen
Umsetzung technischer Maßnahmen wie Firewalls, Verschlüsselung, Zugriffskontrollen, Patch-Management
4. Organisatorische Maßnahmen
Etablierung organisatorischer Maßnahmen wie Schulungen, Awareness, Notfallpläne, Business Continuity
5. Überwachung
Kontinuierliche Überwachung der Netz- und Informationssysteme zur Erkennung von Vorfällen
6. Lieferketten-Sicherheit
Berücksichtigung von Cybersicherheitsrisiken bei der Auswahl und dem Management von Lieferanten und Drittanbietern
Meldepflichten nach NIS-2
Nur erhebliche Cybersicherheitsvorfälle lösen die Meldepflicht aus. Die Bewertung (ob ein Vorfall erheblich ist) muss zeitnah nach Erkennung erfolgen; die Fristen beziehen sich auf die Kenntniserlangung bzw. die jeweilige Meldestufe.
Incident Reporting – Fristen und Berichtspflichten (Art. 23 NIS-2, § 32 BSIG)
| Phase | Inhalt / Anforderung | Frist |
|---|---|---|
| Bewertung | Prüfung, ob der Vorfall als „erheblich“ einzustufen ist (Auswirkungen auf Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit) | Unverzüglich nach Erkennung |
| Erstmeldung | Frühmeldung an die zuständige Behörde (in Deutschland: BSI): Zusammenfassung, Verdacht auf Straftat, (potenzielle) sektorale/grenzüberschreitende Auswirkungen, bisherige Eindämmungsmaßnahmen | Unverzüglich, spätestens 24 Stunden nach Kenntniserlangung |
| Zwischenbericht | Folgemeldung mit erster Bewertung, validierten Auswirkungen, technischen Details sowie ergriffenen und geplanten Maßnahmen | Innerhalb von 72 Stunden nach Kenntniserlangung |
| Abschlussbericht | Endgültiger Bericht: Grundursache, Chronologie, finale Auswirkungen, Schadensbegrenzung, Lessons Learned. Bei noch andauerndem Vorfall: Fortschrittsmeldung | Spätestens 1 Monat nach Kenntniserlangung |
Alle Meldungen müssen u. a. Beschreibung, Schweregradeinschätzung und Angaben dazu enthalten, ob der Vorfall auf rechtswidrige oder böswillige Einwirkungen zurückgeht. Fristversäumnisse können als Verstöße gegen NIS-2/NIS-2-UG geahndet werden.
Erheblicher Vorfall
Ein Vorfall mit erheblichen Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit der betroffenen Netz- und Informationssysteme
Kenntniserlangung
Fristen laufen ab Kenntniserlangung des erheblichen Vorfalls (nicht ab Eintritt des Vorfalls)
Zuständige Behörde
BSI (Bundesamt für Sicherheit in der Informationstechnik) in Deutschland; Meldung über das BSI-Meldeportal
Governance-Anforderungen
Management-Verantwortung
Die Geschäftsleitung trägt die Verantwortung für die Cybersicherheit und kann persönlich haftbar gemacht werden
Cybersicherheitsstrategie
Entwicklung einer Cybersicherheitsstrategie auf höchster Management-Ebene
Ressourcen
Bereitstellung angemessener personeller und finanzieller Ressourcen für Cybersicherheit
Schulungen
Regelmäßige Schulungen und Bewusstseinsbildung für Mitarbeiter und Management
Sanktionen bei Nichteinhaltung
| Verstoß | Sanktion | Höchstbetrag |
|---|---|---|
| Verstoß gegen Cybersicherheitsanforderungen | Geldbuße | 2% des Jahresumsatzes oder 10 Mio. € |
| Verstoß gegen Meldepflichten | Geldbuße | 1,4% des Jahresumsatzes oder 7 Mio. € |
| Verstoß gegen Governance-Anforderungen | Geldbuße | 2% des Jahresumsatzes oder 10 Mio. € |
| Behinderung von Audits | Geldbuße | 1% des Jahresumsatzes oder 5 Mio. € |
Hinweis: Für kritische Einrichtungen können zusätzlich persönliche Haftungen der Geschäftsleitung bestehen.
Vergleich: NIS-2 vs. DORA
| Aspekt | NIS-2 | DORA |
|---|---|---|
| Anwendungsbereich | Kritische und wichtige Einrichtungen (breit) | Finanzsektor (spezifisch) |
| Meldepflicht | 24h Erstmeldung; 72h Zwischenbericht; 1 Monat Abschlussbericht | 4h Erstmeldung (nach Einstufung); 72h Zwischenbericht; 30 Tage Abschlussbericht |
| Fokus | Cybersicherheit allgemein | Digitale operationelle Resilienz |
| Testing | Empfohlen, nicht explizit vorgeschrieben | Verpflichtend (Penetrationstests, TLPT) |
| IKT-Drittanbieter | Berücksichtigung in Lieferkette | Strenge Anforderungen an kritische IKT-Drittanbieter |
| Governance | Management-Verantwortung | IT-Risikomanagement-Framework |
Umsetzungshinweise
Selbstbewertung
Regelmäßige Selbstbewertung der Cybersicherheitsmaßnahmen und Identifikation von Verbesserungspotenzialen
Dokumentation
Umfassende Dokumentation aller Cybersicherheitsmaßnahmen, Prozesse und Vorfälle
Kontinuierliche Verbesserung
Regelmäßige Überprüfung und Anpassung der Cybersicherheitsmaßnahmen basierend auf neuen Bedrohungen
Zusammenhang mit anderen ISMS-Komponenten
- ISMS: NIS-2 erfordert ein strukturiertes ISMS als Grundlage für Cybersicherheitsmaßnahmen
- Risikomanagement: NIS-2 verlangt umfassendes Risikomanagement zur Identifikation und Behandlung von Cybersicherheitsrisiken
- Assetmanagement: NIS-2 erfordert Kenntnis und Schutz aller relevanten Netz- und Informationssysteme
- Incident Management: NIS-2 definiert spezifische Anforderungen an Incident-Erkennung und -Meldung (24h-Frist)
- BCM: NIS-2 erfordert Business Continuity Pläne für kritische Systeme
- Testmanagement: NIS-2 empfiehlt regelmäßige Tests der Cybersicherheitsmaßnahmen
- DORA: Finanzunternehmen müssen sowohl NIS-2 als auch DORA erfüllen (DORA hat strengere Anforderungen)
- Governance: NIS-2 verlangt explizite Management-Verantwortung und persönliche Haftung
NIS-2-Umsetzungsgesetz: Besonderheiten in Deutschland
BSI als zuständige Behörde
Das BSI ist die zentrale Anlaufstelle für Meldungen und Überwachung nach NIS-2-UG
Meldepflichten
Meldung erheblicher Cybersicherheitsvorfälle innerhalb von 24 Stunden an das BSI über das Meldeportal
Audit-Befugnisse
Das BSI kann Audits durchführen und bei Verstößen Sanktionen verhängen
Zusammenarbeit
Koordination mit anderen Behörden (z.B. BaFin für Finanzsektor) zur Vermeidung von Doppelmeldungen
Beratung
Das BSI bietet Beratung und Unterstützung bei der Umsetzung der NIS-2-Anforderungen