NIS-2 Richtlinie

Der Schutz kritischer Infrastrukturen soll ab dem 17.10.2024 gelten

Die EU versucht mit der NIS-2-Richtlinie kritische Infrastrukturen in Europa zu schützen. Die Richtlinie muss von den jeweiligen EU-Mitgliedsstaaten bis zum 17. Oktober 2024 umgesetzt werden.

Wer muss NIS-2 umsetzen?

Die Richtlinie definiert insgesamt 18 Sektoren. Unternehmen, die in ihre Dienste innerhalb der EU erbringen oder ausüben und in einem dieser Sektoren tätig sind, sind betroffen.

Schwellenwerte: Einrichtungen in insgesamt 18 Sektoren mit mindestens 50 Beschäftigten oder einen Jahresumsatz und einer Jahresbilanzsumme von mindestens 10 Mio. Euro fallen in den Anwendungsbereich von NIS-2.

• 1- 50 Beschäftigte und 10 - 50 Mio. EUR Umsatz oder bis 43 Mio. EUR Bilanzsumme
• 50 - 250 Beschäftigte und bis 50 Mio. EUR Umsatz und 10 - 43 Mio. EUR Bilanzsumme
• Mind. 250 Beschäftigte oder mind. 50 Mio. EUR Umsatz und mind. 43 Mio. EUR Bilanzsumme

Besonders wichtige Einrichtungen

• Betreiber kritischer Anlagen (KRITIS) gelten als „besonders wichtige Einrichtungen“.
• Einrichtungen z. B. für Domains, DNS, qualifizierte Vertrauensdienste, größere Telekommunikationsanbieter.
• Einrichtungen ab 50 Beschäftigte oder mit mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme, die in den Sektoren 1 (Einrichtungen mit hoher Kritikalität) und 2 (sonstige kritische Sektoren) tätig sind.

Wichtige Einrichtungen

• Einrichtungen ab 250 Beschäftigte oder mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme, die in dem Sektor 1 tätig sind.

Sonstige Einrichtungen (Unabhängig der Größe)

• Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
• Vertrauensdienstanbieter
• TLD-Namensregistrierungen und DNS-Dienstanbieter (außer Betreiber von Root-Namenservern)
• Alleinige Anbieter, die essentiell für Gesellschaft und Wirtschaft sind
• Einrichtungen, deren Ausfall einen großen Effekt auf öffentliche Ordnung, Sicherheit oder Gesundheit hätte
• Einrichtungen, deren Ausfall zu einem Systemrisiko mit grenzübergreifenden Folgen führen könnte
• Einrichtungen, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind
• Vom EU-Mitgliedstaat definierte Einrichtung der öffentlichen Verwaltung der Zentralregierung oder kritische Einrichtung der öffentlichen Verwaltung auf regionaler Ebene
• Kritische Infrastrukturen gemäß Richtlinie (EU) 2022/2557
• Einrichtungen, die Domänennamenregistrierungsdienste erbringen
• Zusätzlich gilt die neue Richtlinie indirekt auch für Dienstleister und Lieferanten von betroffenen Einrichtungen.

Sektoren mit hoher Kritikalität

• Energie (Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas und Wasserstoff)
• Verkehr (Luftverkehr, Schienenverkehr, Schiffart, Straßenverkehr (Behörden)
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• Verwaltung von IKT-Diensten
• Öffentliche Verwaltung
• Weltraum

Sonstige kritische Sektoren

• Post- und Kurierdienste
• Abfallbewirtschaftung
• Produktion, Herstellung und Handel mit chemischen Stoffen
• Verarbeitendes Gewerbe/Herstellung von Waren (Herstellung von Medizinprodukten und In-vitro-Diagnostika, Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Herstellung von elektrischen Ausrüstungen, Maschinenbau, Herstellung von Kraftwagen und Kraftwagenteilen und sonstiger Fahrzeugbau)
• Anbieter digitaler Dienste
• Forschung

Pflichten

a) Identifizierung und Registrierung kritischer Dienstleistungen, Anlagen oder Komponenten beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

b) Einrichtung einer Kontaktstelle für kritische Bereiche und Nachweis gegenüber dem BSI. Die Kontaktstelle muss jederzeit erreichbar sein und erhebliche Störungen gegenüber dem BSI melden.

c) Erhebliche Störungen in kritischen Bereichen müssen unverzüglich nach Erkennung der Störung an das BSI gemeldet werden. Es gilt der Grundsatz „Schnelligkeit vor Vollständigkeit“. Der Meldeprozess ist in vier Stufen unterteilt:

• Erstmeldung innerhalb von 24 Stunden nach Kenntnis der Störung
• Bestätigung innerhalb von 72 Stunden nach Kenntnis der Störung
• Optionale Zwischenmeldungen
• Abschussmeldungen innerhalb von 30 Tagen nach der Bestätigung

d) Informationssicherheitsmanagementsystem (ISMS): Das Management von Cyberrisiken muss über ein ISMS erfolgen. Als Standards für das Risikomanagement dienen beispielsweise die ISO 3100 oder ISO 27005, oder der BSI-Standard 200-3.

e) KRITIS-Management: Betroffene Organisationen sollten eine zentrale Koordinierung, Steuerung und Kontrolle der Pflichten zu NIS-2 einrichten.

f) Business Continuity Management und IT-Notfallmanagement: Das Notfallmanagement für kritische Bereiche muss nach geeigneten Standards erfolgen. Beispielsweise dem BSI-Standard 200-4.

g) Lieferanten-/Dienstleister-Management: Risiken innerhalb von Lieferketten und dem Einkauf müssen bewertet werden.

h) Umsetzung des Stands der Technik: Um das Sicherheitsniveau innerhalb kritischer Bereiche gewährleisten zu können, müssen Maßnahmen nach dem Stand der Technik umgesetzt werden.

i) System zur fortlaufenden Angriffserkennung: Kritische Bereiche müssen über eine geeignete Angriffserkennung verfügen.

Fazit

NIS-2 regelt das Risikomanagement und sorgt für ein Verständnis der Informationssicherheit. Dabei geht es darum, mögliche Bedrohungen für die Informationssicherheit zu verstehen und zu begrenzen. Wesentliche Merkmale zur Umsetzung sind eine Asset-Liste und die Analyse von Risiken, denen Assets ausgesetzt sind. Risiken müssen dabei durch Schutzmaßnahmen minimiert werden.

Bei Sicherheitsvorfällen sind Unternehmen verpflichtet, diese dem BSI zu melden und Bedrohungen effektiv und schnell zu regeln. Hierfür sollte ein ISMS eingeführt und eine Notfallvorsorge etabliert werden.

NIS-2 soll ab dem 18. Oktober 2024 angewendet werden.

Autor: Markus Vatter, Head of Compliance, 25.06.2024