NIS2: Wer ist betroffen?

Die NIS2-Richtlinie definiert verschiedene Anforderungen an die Stärkung der IT-Sicherheit in Unternehmen. Ein zentraler Aspekt ist die Einrichtung eines Risiko- und Notfallmanagements, das im Falle eines Cyberangriffes sofort greift. Darüber hinaus ist in den NIS2-Anforderungen festgelegt, dass Unternehmen geeignete Sicherheitstechnologien verwenden und Sicherheitsvorfälle zeitnah an die nationalen Behörden melden. Neu ist auch eine Registrierungspflicht der NIS2 betroffenen Unternehmen.  

Gilt die neue Cybersecurity-Richtlinie NIS-2 für mein Unternehmen?

Von NIS-2 betroffene Unternehmen werden nicht aktiv darüber informiert, dass sie in den Geltungsbereich fallen. Stattdessen müssen sie selbst erkennen, dass sie handeln müssen. Hier gilt der Grundsatz: Unwissenheit schützt vor Strafe nicht. Geschäftsführer werden persönlich dafür haftbar gemacht, wenn die Anforderungen nicht oder nicht richtig umgesetzt wurden.

Geltungsbereich NIS-2 nach Unternehmensgröße

Ein Indikator dafür, ob Ihr Unternehmen von NIS2 betroffen ist, liegt in der Unternehmensgröße bzw. dem Umsatz. Folgende Voraussetzungen müssen erfüllt sein, um in den NIS2 Geltungsbereich zu fallen:

  • Das Unternehmen muss 50 oder mehr Mitarbeiter haben.
  • Der Jahresumsatz muss bei 10 Millionen Euro oder höher liegen.

Auch dann, wenn Sie diese Bedingungen nicht erfüllen, ein potenzieller Cyberangriff aber Systemrisiken verursachen kann, könnte Ihre Organisation NIS2 relevant sein.

Geltungsbereich NIS-2 nach Sektoren und Branchen

In der NIS-1 Richtlinie sind vor allem die KRITIS-Branchen benannt, die eine Zuordnung zum Geltungsbereich relativ leicht gemacht haben. Mit der zunehmenden Bedrohungslage durch Cyberangriffe und der Vernetzung vieler Unternehmen und Branchen untereinander, wurden mit der NIS-2 auch die Sektoren erweitert. Die NIS-2 definiert insgesamt 18 Sektoren, die zwischen „Essential Entities” (11 Sektoren) und “Important Entities” (7 Sektoren) unterscheiden.

Anforderung 2: Einrichtung einer Risikobewertung und eines Risikomanagements

Essential Entitis

• Gesundheitswesen
• Energiesektor
• Trinkwasserversorgung
• Banken
•Finanzmarktinfrastrukturwesen
• Digitale Infrastruktur
• Weitere Gesundheitsbereiche (Pharmaunternehmen, kritische Medizinprodukte)
• Verkehr
• Abwasser
• Raumfahrt
• IKCT-Anbieter (B2B)
• Öffentliche Verwaltung

Es erfolgt in diesen Sektoren eine proaktive Aufsicht, die beispielsweise in Form regelmäßiger Sicherheitsprüfungen durchgeführt wird. Die Strafen bei Verstößen werden höher angesetzt.

Important Entities

• Chemikalien
• Produzenten, Verarbeiter & Händler von Lebensmittelindustrien
• Hersteller kritischer Waren (PC, Automobile)
• Anbieter digitaler DiensteDigitale Anbieter (Social Media, E-Commerce, Suchmaschinen)
• Post- und Kurierdienstleister
• Abfallentsorgung
• Öffentliche Verwaltung
• Forschung

 

 

Eine Aufsicht in diesen Sektoren erfolgt reaktiv, also nur nach einem Hinweis auf Verstöße oder einem vorausgegangenen Sicherheitsvorfall. Die Strafen sind hier etwas niedriger angesiedelt.

Verpflichtende Teilnahme am Informationsaustausch

In den Anforderungen der NIS2 Richtlinie ist vorgesehen, dass wichtige Einrichtungen am Informationsaustausch teilnehmen müssen. Dazu wird das BSI perspektivisch ein Portal einrichten, das als Plattform für den Informationsaustausch dient. Der Hintergrund: Unternehmen sollen voneinander lernen. Insbesondere ein Cyberangriff wird gerne intern abgehandelt – dadurch haben aber andere Firmen keine Gelegenheit, aus der erkannten Sicherheitslücke zu lernen, um ihre eigenen Systeme zu verbessern. Dies soll mit einem verpflichtenden Informationsaustausch erleichtert werden.

Auch Lieferanten sind von der NIS-2 betroffen

Die NIS-2 Regelung soll die Cybersicherheit in der Europäischen Union stärken, indem sie die Anforderungen an die Netz- und Informationssicherheit für kritische Infrastruktur und wichtige Wirtschaftsakteure erweitert. Ein zentraler Punkt der NIS-2 ist die Einbeziehung von Lieferanten in die Sicherheitsstrategien der Unternehmen, da Sicherheitsvorfälle bei Lieferanten sich direkt auf die Sicherheit und den Betrieb von Unternehmen auswirken können.

SolarWinds-Hack: Ein Beispiel aus der Praxis

SolarWinds, ein Unternehmen, das Software zur Netzwerküberwachung und -verwaltung anbietet, wurde im Dezember 2020 von einer mächtigen Cyberattacke getroffen. Durch den Angriff auf SolarWinds konnten die Angreifer eine bösartige Aktualisierung der SolarWinds-Software einfügen. Diese Aktualisierung wurde an Tausende von SolarWinds-Kunden weltweit verteilt, darunter befanden sich auch verschiedene Abteilungen der US-Regierung.

Experten sprachen damals von einem historischen Ereignis, das vor allem beweist, wie wichtig nicht nur die eigene Cybersicherheit, sondern auch die des eigenen Netzwerkes ist.

Cybersecurity

Welche Lieferanten sind von NIS-2 betroffen?

Der Begriff der „Lieferkette“ ist in der NIS2 Richtlinie nicht konkret definiert. Der englische Begriff des Supply Chain umfasst die gesamte Versorgung vom Lieferanten der Rohmaterialien bis zum Endverbraucher. Die Lieferkette nach NIS2 ist dagegen enger gefasst und nimmt insbesondere die Managed Service Provider (MSPs) in die Pflicht, die IT-Dienstleistungen bereitstellen.

Zur MSPs Lieferkette gehören unter anderem:

  • Cloud-Service-Anbieter
  • Software-as-a-Service (SaaS)-Anbieter und Unternehmen
  • Anbieter von Netzwerk- und IT-Sicherheitslösungen

Nicht jedes Unternehmen, das als Zulieferer für ein großes Unternehmen arbeitet, fällt automatisch unter NIS2. Unternehmen, die aber von der NIS2 Richtlinie betroffen sind, müssen Maßnahmen ergreifen, um ihre Lieferkette zu schützen. Dadurch können sie ihre Lieferanten aktiv dazu verpflichten, ebenfalls geeignete Sicherheitsmaßnahmen zu treffen

NIS-2 Richtlinie: Sind Sie betroffen?

Bei Unsicherheiten prüfen wir für Sie, ob Ihr Unternehmen in die NIS2 Anforderungen fällt. Im Anschluss unterstützen wir Sie gerne bei der Umsetzung.

Cybersecurity

Beitrag teilen:

Inhalt

Das könnte Sie auch interessieren:

Aktion: Schnelligkeit zahlt sich aus! Die ersten 50 Terminbucher profitieren: Nutzen Sie den Aktionscode „NIS2-jetzt“, um Ihr NIS2-Assessment
im Wert von 249,00 EUR kostenlos zu erhalten.


Wie geht es nach der Buchung weiter?
Um das NIS2-Assessment für alle Beteiligten effizient vorbereiten zu können, melden wir uns vorm Termin und stimmen Details mit Ihnen ab.

Jetzt anmelden
und auf dem Laufenden bleiben!

Für den Versand unserer Newsletter nutzen wir rapidmail. Mit Ihrer Anmeldung stimmen Sie zu, dass die eingegebenen Daten an rapidmail übermittelt werden. Beachten Sie bitte auch die AGB und Datenschutzbestimmungen.