Richtlinie für mehr Cybersicherheit: Für diese Sektoren gilt NIS2

In der heutigen, schnelllebigen digitalen Welt stehen Unternehmen vor zunehmend komplexen Herausforderungen in Sachen Cybersicherheit. Die EU hat deshalb mit der Einführung der NIS2-Richtlinie einen entscheidenden Schritt unternommen, um den Schutz Kritischer Infrastrukturen und die Cybersicherheit innerhalb ihrer Mitgliedstaaten zu stärken. 

Doch was genau verbirgt sich hinter NIS2, welche Sektoren sind betroffen und wie können Sie die Anforderungen der Richtlinie umsetzen? All das und mehr erfahren Sie in diesem Artikel.

So sorgt NIS2 für digitale Sicherheit in kritischen Sektoren

Die NIS2-Richtlinie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie (kurz für: Richtlinie zur Netzwerk- und Informationssicherheit) – einer EU-weiten Regelung zur Cybersicherheit aus dem Jahr 2016. Um die Widerstandsfähigkeit Kritischer Infrastrukturen (KRITIS) gegen Cyberangriffe zu stärken, schließt NIS2 mehr Sektoren und Unternehmen ein und definiert strengere Sicherheits- und Meldepflichten. 

Dieses Update ist notwendig, da sich die Bedrohungslandschaft seit der Einführung der ersten NIS-Richtlinie erheblich verändert hat: Cyberangriffe werden nicht nur häufiger, sondern auch komplexer. Gleichzeitig erfordert die digitale Transformation vieler Wirtschaftsbereiche eine robustere und umfassendere Regelung. Nur so lassen sich die Sicherheit und Resilienz der Kritischen Infrastrukturen in der EU gewährleisten.

Situation in Deutschland: NIS2 noch nicht final gültig

Grundsätzlich ist NIS2 bereits am 16. Januar 2023 in Kraft getreten. Die Mitgliedstaaten der EU haben jedoch bis zum 18. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Deutschland befindet sich hier noch in der Entwurfsphase, die Umsetzung von NIS2 liegt bisher nur als Referentenentwurf vor. Damit Sie wissen, wann die NIS2-Richtlinie hierzulande vollumfänglich gültig ist, sollten Sie die endgültige Verabschiedung des entsprechenden nationalen Gesetzes im Auge behalten. 

Das ist auch deshalb wichtig, weil NIS2 signifikant über das 2021 in Deutschland verabschiedete IT-Sicherheitsgesetz 2.0 hinausgeht: Die sogenannte Size-Cap-Regel besagt, dass alle mittleren und großen Unternehmen in den von NIS2 betroffenen Sektoren bestimmten Cybersicherheitsvorgaben nachkommen müssen. Während die ursprüngliche NIS-Richtlinie hauptsächlich auf Betreiber wesentlicher Dienste und digitale Diensteanbieter abzielte, nimmt NIS2 eine breitere Palette von Unternehmen in die Pflicht. 

Welche Unternehmen müssen die NIS2-Richtlinie umsetzen?

NIS2 bezieht sich auf Unternehmen, die für die europäische Gesellschaft und Wirtschaft kritisch sind. Sie sollen angemessene Cybersicherheitsmaßnahmen ergreifen und so der immer komplexeren Bedrohungslage entgegenwirken. 

Da immer mehr infrastrukturell bedeutsame Unternehmen zunehmend digitaler und vernetzter werden, ist eine Erweiterung der relevanten Sektoren durch NIS2 nur konsequent – auch wenn das natürlich die damit einhergehenden Verpflichtungen nicht weniger zur Herausforderung macht. 

NIS2 gilt für verschiedene Sektoren

So umfasst die aktualisierte Richtlinie nun eine Bandbreite an Sektoren. Neu sind dabei unter anderem die Branchen öffentliche Verwaltung, Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte und von Lebensmitteln, Post- und Kurierdienste, Raumfahrt und die digitale Infrastruktur. 

Wie bereits erwähnt, ist vor allem die Unternehmensgröße entscheidend: NIS2 betrifft in den relevanten Sektoren – eine vollständige Liste finden Sie weiter unten – all jene Unternehmen, die mehr als 50 Mitarbeitende beschäftigen oder einen Jahresumsatz von mehr als 10 Millionen Euro erzielen. Unternehmen dieser Dimension gelten als „wichtige Einrichtungen“ (betroffen sind hier unabhängig von Größe und Umsatz auch Vertrauensdienste beziehungsweise Trust Service Provider). 

Daneben definiert NIS2 „besonders wichtige Einrichtungen“: Damit sind Unternehmen gemeint, die mindestens 250 Mitarbeitende beschäftigen oder einen Jahresumsatz von 50 Millionen Euro sowie eine Bilanzsumme von über 43 Millionen Euro vorweisen können. Mittlere Unternehmen, die Telekommunikationsnetze und -dienste anbieten, fallen ebenfalls unter „besonders wichtige Einrichtungen”. Betreiber kritischer Anlagen, qualifizierte Vertrauensdienste, DNS-Dienste und TLD-Registries gelten unabhängig von Beschäftigtenzahl und Wirtschaftsleistung als besonders wichtig.

„Sektoren hoher Kritikalität” und „Sonstige kritische Sektoren”

Darüber hinaus unterscheidet die NIS2-Richtlinie selbst zwischen sogenannten „Essential Entities“ (besonders wichtigen Einrichtungen) und „Important Entities“ (wichtige Einrichtungen). Gemäß dem aktuellen Referentenentwurf wird die deutsche Umsetzung diese Kategorisierung allerdings nicht genau übernehmen. Stattdessen soll eine Einteilung in „Sektoren und Teilsektoren mit hoher Kritikalität” und „Sonstige kritische Sektoren und Teilsektoren” stattfinden – basierend vor allem auf der Bedeutung der Unternehmen und dem damit einhergehenden Risiko. 

Sprich: Je dramatischer sich eine Beeinträchtigung der jeweiligen Unternehmensleistungen auf die Allgemeinheit auswirkt, desto höher die Kritikalität und entsprechende Einstufung des Unternehmens beziehungsweise des Sektors. 

Alle von NIS2 betroffenen Sektoren im Überblick 

Wie vielfältig Kritische Infrastrukturen sind, verrät ein Blick auf die Liste der von NIS2 betroffenen Sektoren. Diese umfasst die folgenden Branchen, Industrien und Wirtschaftszweige:

Sektoren und Teilsektoren mit hoher Kritikalität

• Energie
  Stromversorgung, Fernwärme/-kälte, Kraftstoff/Heizöl, Gas
• Transport/Verkehr 
  Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr 
• Finanz/Versicherung
  Banken, Finanzmarkt-Infrastruktur 
• Gesundheit
  Dienstleistungen, Referenzlabore, F&E, Pharma (NACE C Abt. 21), Medizinprodukte 
• Wasser/Abwasser
  Trinkwasser, Abwasser
  Informationstechnik und Telekommunikation
  IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services
• Weltraum
  Bodeninfrastrukturen 

Sonstige kritische Sektoren und Teilsektoren

• Transport/Verkehr 
  Post und Kurier 
• Chemie
  Herstellung, Handel, Produktion
• Forschung
  Forschungseinrichtungen 
• Verarbeitendes Gewerbe
  Medizin/Diagnostika; DV, Elektro, Optik (NACE C Abt. 26 und 27); Maschinenbau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30) 
• Digitale Dienste
  Marktplätze, Suchmaschinen, soziale Netzwerke
• Lebensmittel 
  Großhandel, Produktion, Verarbeitung 
• Entsorgung
  Abfallbewirtschaftung 

Liste umzusetzender Maßnahmen für Risikomanagement 

Doch welche konkreten Verpflichtungen kommen mit NIS2 auf die verschiedenen Sektoren zu? Betroffene Unternehmen müssen folgende Maßnahmen umsetzen.

Risikoanalysen durchführen

Mithilfe regelmäßiger Auswertungen und Überprüfungen sollen Unternehmen potenzielle Cybersicherheitsbedrohungen und Schwachstellen in ihren Systemen und Prozessen identifizieren. Außerdem bilden diese Analysen die Grundlage für alle weiteren Sicherheitsmaßnahmen.

Präventionspläne entwickeln

Unternehmen sind dazu angehalten, auf Basis der Risikoanalyse Präventionspläne zu erstellen. Diese sollten unter anderem Maßnahmen enthalten, um identifizierte Risiken zu mindern. Die Unternehmen müssen die Pläne regelmäßig überprüfen und aktualisieren, um auf neue Bedrohungen vorbereitet zu sein.

Mitarbeitende schulen 

Eine kontinuierliche Schulung der Mitarbeitenden ist entscheidend, um das Bewusstsein für Cybersicherheitsrisiken zu schärfen. So stellen Unternehmen sicher, dass alle Beteiligten wissen, wie sie im Falle eines Sicherheitsvorfalls reagieren sollen.

Cyberkriminalität messen

Unternehmen müssen Verfahren und Tools implementieren, die es ermöglichen, Cyberangriffe und -bedrohungen effektiv zu erkennen, zu messen und zu analysieren. Das beinhaltet auch die Einrichtung von Frühwarnsystemen.

Zugänge überwachen

Es ist essenziell, den Zugang zu kritischen Systemen und Daten streng zu kontrollieren, zu überwachen und zu protokollieren. Dazu gehören die Überprüfung und unter Umständen auch das Update aktueller Türtechnik, Schließsysteme und Sicherheitskonzepte, um unbefugten Zugriff zu verhindern.

Zusätzlich zu diesen spezifischen Maßnahmen sollten Unternehmen auch Notfall- und Wiederherstellungspläne entwickeln, um im Falle eines Cyberangriffs schnell die richtigen Maßnahmen einleiten zu können. Richten Sie zum Beispiel ein Incident-Response-Team ein, das für die Koordination und Bewältigung von Sicherheitsvorfällen verantwortlich ist.

Machen Sie sich bereit für mehr digitale Sicherheit

Bei der NIS2-Richtlinie handelt es sich um einen wesentlichen Schritt der Europäischen Union, um die Cybersicherheit und den Schutz Kritischer Infrastrukturen zu stärken. Sie erweitert den Anwendungsbereich der vorherigen NIS-Richtlinie, indem sie mehr Sektoren und Unternehmen einschließt sowie strengere Sicherheits- und Meldepflichten festlegt. 

Notwendig ist diese Aktualisierung wegen der zunehmenden Komplexität und Häufigkeit von Cyberangriffen sowie der entscheidenden Rolle digitaler und vernetzter Infrastrukturen in der modernen Gesellschaft.

NIS2 betrifft eine breite Palette von Sektoren, die essenziell bis wichtig für das tägliche Leben und die Stabilität Europas sind. Auch wenn es nicht am Verständnis für die Auflagen mangelt, so stellen sie dennoch eine Herausforderung dar: Betroffene Unternehmen müssen umfangreiche Maßnahmen für Risikomanagement implementieren und sich durch einen entsprechenden Schutz für eine Bedrohungslage wappnen, die in ständiger Bewegung ist.