ASSA ABLOY Blog

NIS2-Richtlinie: Alle wichtigen Fragen und Antworten im NIS2-Wiki

Geschrieben von ASSA ABLOY | 03.07.2024

Die NIS2-Richtlinie soll ab Oktober 2024 die Cybersicherheit in der EU erhöhen. Hierzu erfasst NIS2 bestimmte Sektoren, deren Infrastrukturen als besonders kritisch gelten. Mehr Unternehmen als zuvor werden von der neuen Richtlinie betroffen sein und entsprechende Maßnahmen umsetzen müssen. Im NIS2-Wiki erfahren Sie alles Wichtige zur neuen EU-Richtlinie und ihrer Umsetzung.

Finden Sie die Antwort auf Ihre Frage hier:
 

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie beabsichtigt, den Schutz Kritischer Infrastrukturen in der EU wirksam zu erhöhen. NIS steht dabei für „Network and Information Security”. Als EU-Richtlinie muss NIS2 bis Oktober 2024 in das nationale Recht der einzelnen Mitgliedstaaten überführt sein. Das betrifft auch Deutschland. Eine Übergangsfrist zur Umsetzung der NIS2-Richtlinie ist nicht vorgesehen. Deshalb sollten Unternehmen sich schon jetzt vorbereiten.

Wie unterscheidet sich NIS2 von NIS?

Mit der NIS-Richtlinie oder NIS1 existiert in der EU ein Vorläufer der NIS2-Richtlinie. NIS wurde von der Europäischen Union bereits 2016 verabschiedet. Die neue Cybersecurity-Richtlinie NIS2 enthält jedoch wesentlich höhere Anforderungen als NIS. So betrifft NIS2 wesentlich mehr Betreiber und Sektoren als bisher. Zudem gelten mit der neuen Richtlinie erweiterte Meldepflichten und Normen.

Wie definiert NIS2 Kritische Infrastrukturen?

Als Kritische Infrastrukturen gelten Unternehmen und Einrichtungen, deren Ausfall schwerwiegende Beeinträchtigungen des öffentlichen Lebens nach sich ziehen würden. Das betrifft beispielsweise die öffentliche Sicherheit und Ordnung, aber auch die Gesundheit und das Wohlergehen der Bevölkerung. Energienetze und Wasserversorgung gehören ebenso dazu wie Gesundheitseinrichtungen, Telekommunikationssysteme, Nahrungsmittel, Transport und Lieferung.

Welche Unternehmen sind von NIS2 betroffen?

NIS2 betrifft verschiedene Unternehmen festgelegter Sektoren:

  • Energie
  • Transport und Verkehr
  • Finanzen und Versicherung
  • Gesundheit
  • Wasser und Abwasser
  • IT und TK
  • Weltraum
  • Ernährung
  • Entsorgung 
  • Einrichtungen der Bundesverwaltung (separat reguliert)

Ausführlichere Informationen zu den Sektoren, die von der NIS2 Richtlinie betroffen sind, finden Sie in diesem Artikel. 

Inwiefern sind kleinere und mittlere Unternehmen (KMU) von NIS2 betroffen?

Auch kleinere und mittlere Unternehmen ab 50 Mitarbeitenden, kurz KMU, können von der NIS2-Richtlinie betroffen sein, wenn sie bestimmte Voraussetzungen erfüllen. Die neue Richtlinie umzusetzen, stellt diese Betriebe häufig vor Herausforderungen. Begrenzte Ressourcen innerhalb des Betriebes können dabei einen externen Partner erforderlich machen, um die Maßnahmen zu realisieren. Kleinere Unternehmen müssen mitunter verstärkt in die Cybersicherheit investieren, was jedoch auch Vorteile bietet.

Welche Anforderungen stellt NIS2 an Unternehmen?

Die NIS2-Richtlinie stellt verschiedene Anforderungen an die betroffenen Unternehmen. So müssen sich Betreiber Kritischer Infrastrukturen selbst bei der zuständigen Behörde registrieren. Für Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik zuständig.

Die Unternehmen sind darüber hinaus verpflichtet, festgelegte Prozesse für Sicherheitsvorfälle zu schaffen und ein entsprechendes Risikomanagement zu betreiben. Dieses umfasst Tests der Cybersicherheit wie auch eine Risikobewertung der Systeme und die Meldung von Vorfällen.

Zu den wichtigen Anforderungen von NIS2 gehören umfassende Meldepflichten. Betroffene Betriebe müssen Vorfälle im Bereich der Cybersicherheit innerhalb von 24 Stunden an die zuständige Behörde melden. Eine Aktualisierung und Bewertung der Meldung muss innerhalb von 72 Stunden erfolgen.

Wie können sich Unternehmen auf NIS2 vorbereiten?

Schon vor Inkrafttreten von NIS2 sollten sich Unternehmen umfassend vorbereiten. Hierzu gehören verschiedene Schritte, wie etwa eine gründliche Sicherheitsanalyse der vorhandenen IT-Systeme. Auch eine Aktualisierung der Cyberabwehr und ein Ausbau des Risikomanagements sind notwendig.

Die Vorbereitung auf NIS2 betrifft dabei nicht nur die digitale Infrastruktur, sondern auch den Zugang zu dieser. Alles Wichtige zur Erhöhung der cyberphysischen Resilienz mittels digitaler Zutrittskontrolle erfahren Sie im Whitepaper über NIS2-Anforderungen für Unternehmen.

Was sind die Hauptziele der NIS2-Richtlinie?

Die Hauptziele der NIS2-Richtlinie sind, die Cybersicherheit in der EU zu erhöhen und einheitliche Richtlinien festzulegen. Kritische Infrastrukturen und Unternehmen sollen so besser geschützt werden. Durch verschiedene Maßnahmen soll sich vor allem die Cyber-Resilienz betroffener Betriebe erhöhen. Eine verbesserte Zusammenarbeit mit den Behörden ist ebenfalls Ziel der Richtlinie.

Welche Rolle spielen Risikoanalysen in der NIS2-Richtlinie?

Wirksame Risikoanalysen gehören zu den Maßnahmen, die viele Unternehmen im Zuge von NIS2 bald umsetzen müssen. Der Schutz digitaler Infrastrukturen erfordert unter anderem Konzepte zur Risikoanalyse sowie zur Steigerung der Sicherheit kritischer Informationssysteme. Indem sie effektive Risikoanalysekonzepte entwickeln und implementieren, können Betreiber auftretende Sicherheitsrisiken besser bewerten und frühzeitig entsprechende Sicherheitsvorkehrungen treffen.

Wie wirkt sich NIS2 auf Unternehmen außerhalb der EU aus?

Die neue Richtlinie NIS2 betrifft nicht nur Betriebe und Organisationen innerhalb der Europäischen Union. Selbst Unternehmen außerhalb der EU können von der NIS2-Richtlinie betroffen sein. Hierzu genügt es mitunter, dass Betreiber innerhalb kritischer Sektoren auf dem EU-Binnenmarkt agieren. Auch die Zusammenarbeit von Unternehmen außerhalb der EU mit Betreibern innerhalb der Mitgliedstaaten kann künftig Maßnahmen erforderlich machen.

Welche Pflichten entstehen für Unternehmen durch NIS2?

Durch die NIS2-Richtlinie entstehen für Unternehmen verschiedene, teils neue Verpflichtungen. Hierzu gehört unter anderem die Selbsteinstufung als kritischer Betreiber. Unternehmen sind in diesem Zusammenhang verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik zu registrieren. Darüber hinaus entstehen Pflichten zur Meldung von Sicherheitsvorfällen wie auch zur Teilnahme am Informationsaustausch. Auch die Implementierung von Sicherheitsverfahren und der Schutz der eigenen Informationssysteme sind für betroffene Unternehmen verpflichtend.

Wie können Unternehmen ihre Compliance mit NIS2 sicherstellen?

Unternehmen sollten die NIS2-Compliance dringend einhalten, da andernfalls erhebliche Strafen drohen. Die Strategien zur Sicherstellung der Einhaltung von NIS2 müssen hierbei auf das jeweilige Unternehmen abgestimmt sein. Für einige Betreiber kann es bereits genügen, nach Checklisten dabei vorzugehen. Vor allem große Betriebe setzen für NIS2 auf einen externen Partner für Cybersicherheit.

Inwieweit beeinflusst NIS2 den Datenschutz?

Bereits mit der Datenschutz-Grundverordnung, kurz DSGVO, wird der Schutz von personenbezogenen Daten in der EU gewährleistet. Durch die Erhöhung der Cybersicherheit trägt NIS2 unter anderem dazu bei, dass personenbezogene Daten besser geschützt sind. Die Einhaltung der NIS2-Richtlinie gewährleistet jedoch nicht, dass Vorschriften der  DSGVO automatisch erfüllt sind – oder umgekehrt.

Wie beeinflusst NIS2 die Anforderungen an die IT-Sicherheit in spezifischen Branchen?

NIS2 kann die Anforderungen an die IT-Sicherheit in spezifischen Branchen auf unterschiedliche Art und Weise beeinflussen. So müssen beispielsweise kleine Zulieferer der Industrie künftig verstärkt in Cybersicherheit investieren, um Lieferketten zu schützen. Dienstleistungsbetriebe mit umfangreichen Cloudstrukturen oder komplizierten Netzwerkumgebungen müssen unter Umständen die Sicherheitsmaßnahmen erhöhen und die Netzüberwachung ausbauen.

Welche Rolle spielen staatliche Behörden bei der Umsetzung und Überwachung von NIS2?

Es ist die Aufgabe des Bundesamts für Sicherheit in der Informationstechnik, den Schutz Kritischer Infrastrukturen zu stärken. Das umfasst vor allem die Überwachung und Durchsetzung der Maßnahmen in den Unternehmen sowie die Erfassung von Störfällen. Es ist möglich, dass die Behörde Sanktionen verhängen kann.

Wie trägt NIS2 zur Verbesserung der grenzüberschreitenden Cybersicherheit bei?

NIS2 trägt zur Verbesserung der grenzüberschreitenden Cybersicherheit bei, indem die Richtlinie den Austausch von Informationen fördert. Das ermöglicht eine bessere Koordination zwischen den Mitgliedstaaten innerhalb der EU. Die einzelnen Behörden können künftig zudem gezielt und gemeinsam auf grenzüberschreitende Cybersicherheitsvorfälle reagieren. Diese enge Zusammenarbeit stärkt die Sicherheit Kritischer Infrastrukturen in der Europäischen Union.

Welche Herausforderungen können Unternehmen bei der Umsetzung von NIS2 begegnen?

Die notwendigen Maßnahmen wie auch die Risikobewertung erfordern Fachwissen auf dem Gebiet der Cybersicherheit. Das kann Unternehmen bei der Umsetzung der NIS2-Richtlinie vor Herausforderungen stellen. Auch die technische und organisatorische Implementierung von geforderten Sicherheitsmaßnahmen ist nicht immer leicht umsetzbar. Oft ist eine externe Beratung hilfreich.

Für Informationen zu Sicherheitslösungen, die Ihnen helfen, die Anforderungen der NIS2-Richtlinie zu erfüllen, zögern Sie nicht, sich mit den Sicherheitsexperten von ASSA ABLOY in Verbindung zu setzen. Jetzt Kontaktformular ausfüllen. 

Inwiefern fördert NIS2 Innovationen und technologische Entwicklungen im Bereich der Cybersicherheit?

Durch die neuen Anforderungen an die Cybersicherheit stärkt NIS2 beispielsweise die Entwicklung von neuen Cybersicherheits-Produkten. Auch Dienstleistungen im Bereich der Datensicherheit sowie Systeme zur Identitätskontrolle könnten dank NIS2 in ihrer Entwicklung gestärkt werden.

Fazit NIS2-Wiki

Wie im NIS2-Wiki ersichtlich, stärkt die neue NIS2-Richtlinie die Cybersicherheit in der EU. Unternehmen der kritischen Sektoren müssen die Maßnahmen bezüglich ihrer Infrastrukturen verpflichtend umsetzen. Durch festgelegte Schritte und Abläufe erhöht sich nicht nur die Cyber-Resilienz – auch entsprechende Gegenmaßnahmen lassen sich besser koordinieren.

Entdecken Sie im Whitepaper weitere Details zur NIS2-Richtlinie und erfahren Sie, wie Unternehmen in Deutschland effektive Maßnahmen zur Umsetzung ergreifen können.