NIS-2: Jetzt die Weichen für mehr Cybersicherheit stellen

Die europäische Netzwerk- und Informationssicherheits-Richtlinie* wurde Ende 2022 in ihrer zweiten Version veröffentlicht und soll in ganz Europa ein einheitliches, gemeinsames IT-Sicherheitsniveau fördern. Und das über den bisherigen, in Deutschland mit dem für die Kritischen Infrastrukturen (KRITIS) zu umschreibenden Anwendungsbereich hinaus.

Als Richtlinie muss NIS-2 eigentlich bis zum 18.10.2024 in deutsches Gesetz umgesetzt werden – diese Frist wird der deutsche Gesetzgeber aber reißen. Die neuesten Pläne (Stand: Oktober 2024) sprechen von März oder April 2025. 

Der Kreis der betroffenen Unternehmen (und damit auch deren Lieferanten und Dienstleister) ist stark gewachsen und richtet sich grundsätzlich nach der Branche und der Unternehmensgröße.

Die normierten Pflichten reichen von der "Cyberhygiene", also technischen Maßnahmen zur Erhöhung der Cybersicherheit, über ein Risikomanagement, Schulungsmaßnahmen, Melde- und Informationspflichten bis hin zum Vorhalt von Plänen zur Vorbeugung, aber auch zur angemessenen Reaktion auf Notfälle.

*Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates v. 14.12.2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der VO (EU) Nr. 910/2014 und der RL (EU) 2018/1972 sowie zur Aufhebung der RL (EU) 2016/1148 (NIS-2-Richtlinie)
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555.

Die CER-Richtlinie stärkt den Schutz kritischer Einrichtungen in der EU, die für das Funktionieren von Wirtschaft und Gesellschaft unerlässlich sind – etwa in den Bereichen Energie, Verkehr, Gesundheit oder Trinkwasserversorgung. Sie verpflichtet die Mitgliedstaaten, nationale Strategien zur Resilienz kritischer Einrichtungen zu entwickeln und regelmäßige Risikoanalysen durchzuführen.

Betroffene Betreiber müssen Maßnahmen ergreifen, um sich besser gegen physische und hybride Bedrohungen – etwa Naturkatastrophen, Terroranschläge oder Sabotage – zu wappnen. Die Richtlinie ersetzt die bisherige Regelung von 2008, erweitert deren Geltungsbereich deutlich und fördert die grenzüberschreitende Zusammenarbeit innerhalb der EU. Ziel ist es, die Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen europaweit zu harmonisieren und zu erhöhen.

Die CER-Richtlinie soll in Deutschland durch das neue KRITIS-Dachgesetz (Gesetz über die Resilienz kritischer Infrastrukturen) umgesetzt werden. Mit einem Inkrafttreten ist nicht vor Herbst 2025 zu rechnen.

*Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates
eur-lex.europa.eu/legal-content/DE/TXT/
 

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) dient der Umsetzung der EU-Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) in deutsches Recht.

Das Gesetz betrifft nicht nur Betreiber kritischer Infrastrukturen, sondern auch zahlreiche weitere Unternehmen und Organisationen, die als "wesentliche" oder "wichtige" Einrichtungen eingestuft werden. Die Einstufung erfolgt anhand von Kriterien wie Unternehmensgröße und Zugehörigkeit zu bestimmten Sektoren.

Zu den Verpflichtungen der betroffenen “Einrichtungen” (Unternehmen, öffentliche Verwaltungen) sollen u.a. gehören:

• Implementierung von Risikomanagementmaßnahmen zur Gewährleistung der IT-Sicherheit
• Meldepflichten bei erheblichen Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI)
• Registrierungspflicht beim BSI
• Nachweispflichten für besonders wichtige Einrichtungen hinsichtlich der Umsetzung von Sicherheitsmaßnahmen

Das BSI soll als zentrale Aufsichts- und Koordinierungsstelle für die Umsetzung der NIS-2-Richtlinie in Deutschland etabliert werden. Es erhält erweiterte Befugnisse zur Überwachung und Durchsetzung der gesetzlichen Anforderungen.

Das NIS2UmsuCG würde zu einer umfassenden Neufassung des BSI-Gesetzes führen und die neuen Anforderungen in das bestehende rechtliche Rahmenwerk integrieren.

Die Umsetzung der NIS-2-Richtlinie in nationales Recht sollte bis zum 17. Oktober 2024 erfolgen. In Deutschland wurde der Regierungsentwurf des NIS2UmsuCG am 24. Juli 2024 veröffentlicht. Aufgrund politischer Entwicklungen, wie den vorgezogenen Bundestagswahlen im Februar 2025, verzögert sich jedoch die Verabschiedung des Gesetzes. Mit einem Inkrafttreten wird frühestens im dritten Quartal 2025 gerechnet.

Weitere Informationen und den aktuellen Stand des Gesetzgebungsverfahrens findest Du auf der Website des Bundesministeriums des Innern. 

Die im Ende 2022 verabschiedete und Anfang 2023 in Kraft getretene EU-Cybersicherheitsstrategie liefert den strategischen Rahmen zur Verbesserung der Cybersicherheit in Europa. Die NIS-2-Richtlinie konkretisiert diesen Rahmen in Form verbindlicher Anforderungen an Unternehmen und Behörden – und ist somit ein zentrales Werkzeug zur Umsetzung der Strategie.

Die wesentlichen Ziele der europäischen Cybersicherheitsstrategie liegen in

• der Gewährleistung eines hohen gemeinsamen Cybersicherheitsniveaus in der Union,
• der Stärkung der Fähigkeiten und der Abwehrbereitschaft der Mitgliedstaaten und Unternehmen sowie die Verbesserung der Zusammenarbeit sowie
• dem Informationsaustausch und der Koordinierung zwischen den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der Union

Die europäische Cybersicherheitsstrategie wird - neben NIS-2 - durch eine Reihe von Gesetzen, Richtlinien und Verordnungen konkretisiert und umgesetzt. Zu den zentralen Rechtsinstrumenten zählen der:

• Cybersecurity Act (EU) 2019/881,
• Cyber Resilience Act (EU) 2024/2847
• Digital Operational Resilience Act (DORA) (EU) 2022/2554 und die
• Richtlinie zur Resilienz kritischer Einrichtungen (CER-Richtlinie, EU) 2022/2557

Die NIS2-Richtlinie erfasst deutlich mehr Unternehmen und Organisationen als ihre Vorgängerversion aus dem Jahr 2016. Sie gilt für Wirtschaftsakteure und die öffentliche Verwaltung aus insgesamt 18 Sektoren – 11 davon gelten als "wesentlich", 7 als "wichtig":

Wesentliche Sektoren
⦁    Abwasserentsorgung
⦁    Bankwesen
⦁    Digitale Infrastruktur und IT-Dienste
⦁    Energie
⦁    Finanzmarkt
⦁    Gesundheit
⦁    Öffentliche Verwaltung
⦁    Raumfahrt
⦁    Transport
⦁    Trinkwasserversorgung
⦁    Verkehr

Wichtige Sektoren
⦁    Abfallwirtschaft
⦁    Chemie
⦁    Digitale Dienste
⦁    Ernährung und Lebensmittel
⦁    Forschung
⦁    Post und Kurierdienste
⦁    Verarbeitendes Gewerbe

Die Sektoren werden nach den Anhängen I und II zur NIS-2-Richtlinie nochmals nach Teilsektoren differenziert. Bei der rechtlichen Betroffenheitsfeststellung ist also höchste Genauigkeit erforderlich.

Alle betroffenen Unternehmen (und Verwaltungen) sind verpflichtet, wirksame Maßnahmen zum Schutz ihrer IT-Systeme vor Cyberangriffen umzusetzen. Der zentrale Unterschied zwischen "wesentlichen" und "wichtigen" Sektoren liegt in der behördlichen Kontrolle und der Höhe möglicher Bußgelder: Während für wesentliche Einrichtungen strengere Aufsichtsmechanismen und höhere Sanktionen gelten, unterliegen wichtige Einrichtungen einer reaktiven Aufsicht.

Bei den Sicherheitsanforderungen selbst macht die Richtlinie jedoch keine Unterschiede – und auch bei den Schwellenwerten zur Einstufung verzichtet die EU auf differenzierte Regelungen.

Betroffen sind grundsätzlich mittlere und große Unternehmen, wenn folgende Kriterien erfüllt sind:

Mittlere Unternehmen 

• 50 – 250 Beschäftigte
• 10 – 50 Mio. Euro Umsatz
• < 43 Mio. Euro Bilanzsumme

Große Unternehmen

• > 250 Beschäftigte
• > 50 Mio. Euro Umsatz
• > 43 Mio. Euro Bilanzsumme

EU-Mitgliedsstaaten können zudem die Anwendung regeln für die öffentliche Verwaltung auf lokaler Ebene und auch für bestimmte Bildungseinrichtungen.

Im Rahmen der Reifegradprüfung nach NIS-2 analysieren wir, inwieweit bestehende Maßnahmen in eurem Unternehmen bereits zu einem angemessenen Cybersicherheitsniveau beitragen. Dabei beziehen wir unter anderem folgende Bereiche ein:

• euer IT-Risiko-Management und die Art, wie Cyber-Risiken identifiziert, bewertet und behandelt werden,
• das vorhandene Informationssicherheitsmanagementsystem (ISMS) und dessen Integration in die Unternehmensprozesse,
• den strukturierten Umgang mit Cyber-Sicherheitsvorfällen – von der Erkennung bis zur Nachbereitung,
• eure Backup-, Notfall- und Krisenmanagementkonzepte zur Aufrechterhaltung des Geschäftsbetriebs,
• die Absicherung eurer Lieferkette und die Bewertung von Risiken bei IT-Dienstleistern und -Zulieferern,
• die Sicherheitsanforderungen beim Erwerb, der Entwicklung und Wartung eurer IT-Systeme und Anwendungen,
• die Qualität und Wirksamkeit eurer Cyber-Schulungs- und Awareness-Maßnahmen für Mitarbeitende und Führungskräfte,
• die Angemessenheit eurer Zugriffs- und Zutrittskontrollen auf physischer und digitaler Ebene sowie
• den Einsatz moderner Authentifizierungsverfahren zur Sicherstellung der Identitätsprüfung im Unternehmen.

So schaffen wir ein ganzheitliches Bild eurer Cybersicherheitslandschaft – und identifizieren gezielt, wo Handlungsbedarf besteht.

Für die Reifegradprüfung haben wir in unserer eigens entwickelten SaaS-Lösung "CloudGate" einen strukturierten Fragenkatalog hinterlegt. Dieser ermöglicht die Bewertung des aktuellen Erfüllungsgrads der NIS-2-Anforderungen und dient gleichzeitig als workflowbasierte, kollaborative Checkliste.

So können notwendige Maßnahmen gezielt identifiziert, priorisiert und deren Umsetzung effizient verfolgt werden – transparent, nachvollziehbar und teamübergreifend.

Gerne stellen wir dir und deinem Team CloudGate im Rahmen einer Live-Demo vor - vereinbare noch heute deinen Termin mit uns und erfahre, wie dich unser Tool bei der Umsetzung der Anforderungen aus NIS-2 zuverlässig entlastet und unterstützt

Die Reifegradanalyse fokussiert auf die hinsichtlich der gesetzlich vorgesehenen technischen und organisatorischen Mindestmaßnahmen: Diese sollen darauf abzielen, dass Störungen der Verfügbarkeit, der Integrität und der Vertraulichkeit von IT-Systemen, -Komponenten und -Prozessen vermieden werden. Und falls sich doch ein Cybersicherheits-Vorfall ereignet haben sollte, sollen dessen Auswirkungen möglichst geringgehalten werden.

Eine Konkretisierung dieser Maßnahmen sah der bisherige Entwurf von § 30 Absatz 2 des BSI-Gesetzes vor, der fast wortwörtlich mit der Regelung in der NIS-2-Richtlinie übereinstimmt und im Zuge des NIS-2-Umsetzungsgesetzes eingeführt werden sollte:

• Konzepte für
  • Risikoanalyse und
  • Sicherheit in der Informationstechnik
  • Bewertung der Wirksamkeit von Risikomanagementmaßnahmen in diesem Bereich (mit entsprechenden Verfahren)
  • Einsatz von Kryptografie und Verschlüsselung (mit entsprechenden Verfahren)
  • Zugriffskontrolle
  • Anlagenmanagement
• Bewältigung von Sicherheitsvorfällen
• Aufrechterhaltung des Betriebs durch
  • Backup-Management,
  • Wiederherstellung,
  • Krisenmanagement
• Sicherheit der Lieferkette (mit Auswirkungen auf IT-Drittanbieter)
• Sicherheitsmaßnahmen und Schwachstellenmanagement im Lifecycle informationstechnischer Systeme, Komponenten und Prozesse
• Cyberhygiene und Schulungen
• Sicherheit des Personals
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung,
• gesicherte Sprach-, Video- und Textkommunikation
• gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Artikel 30 Absatz 2 der NIS-2-Richtlinie zählt folgende Risikomanagement-Maßnahmen im Bereich der Cybersicherheit auf, die "auf einem gefahrenübergreifenden Ansatz beruhen müssen, der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen, und zumindest Folgendes umfassen:
a)    Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
b)    Bewältigung von Sicherheitsvorfällen;
c)    Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
d)    Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
e)    Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
f)    Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
g)    grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
h)    Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
i)    Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
j)    Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung"

Eine inhaltlich weitgehend vergleichbare Aufstellung geeigneter Maßnahmen sah auch der Entwurf des § 30 Absatz 2 des BSI-Gesetzes vor, das in Folge des bisherigen Entwurfsstands des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) entsprechend angepasst werden sollte.

Für die Risikoanalyse setzen wir unsere eigens entwickelte SaaS-Lösung "CloudGate" ein. Darin ist ein strukturierter Katalog hinterlegt, der euch bei der Identifikation, Bewertung und Mitigation von Cyber- und IT-Security-Risiken unterstützt. Gleichzeitig bildet CloudGate die Grundlage für den Aufbau eines kontinuierlichen, nachvollziehbaren Risikomanagementprozesses.

Die Lösung hat sich bereits in der Praxis bewährt – unter anderem bei Risikoanalysen im Kontext von IT-Outsourcing und IKT-Drittdienstleistungen, wie sie im Finanzsektor durch regulatorische Vorgaben wie DORA gefordert sind.

So schaffen wir mit Risikoanalysen Transparenz über bestehende Schwachstellen und leiten gezielte Maßnahmen zur Stärkung eurer Sicherheitsarchitektur ab.

Lass dir von uns in einem Termin zur Live-Demo von CloudGate zeigen, wie einfach und schnell ihr eure NIS-2-Risikoanalysen durchführen könnt.

Unsere SaaS-Lösung CloudGate unterstützt euch wirkungsvoll bei der Gewährleistung der Sicherheit in der Lieferkette gemäß den Anforderungen der NIS-2-Richtlinie.

Mit integrierten Fragebögen für IT-Lieferanten ermöglicht CloudGate eine strukturierte Erhebung und Bewertung der von euren Dienstleistern ergriffenen Maßnahmen zur Cyber- und IT-Sicherheit – inklusive Selbstauskünften, Audits, Berichten und Zertifikaten. Darüber hinaus unterstützt das Tool bei der Risikoklassifizierung und -bewertung eurer IT-Lieferanten und erleichtert die kontinuierliche Überwachung von als kritisch eingestuften Partnern.

Als kollaboratives und workfloworientiertes System bindet CloudGate alle relevanten Bereiche im Unternehmen effizient ein. Die Lösung hat sich bereits im Finanzsektor für das Management von IKT-Drittdienstleistern – wie Hyperscalern, Cloud Service Providern, IT-Providern sowie Hard- und Softwarelieferanten – erfolgreich bewährt.

Vereinbare am besten noch heute einen unverbindlichen Termin mit uns zur Live-Demo von CloudGate - und du wirst die vielen Vorteile für eure NIS-2-Konformität kennen und schätze lernen.

Mit dem von uns entwickelten Tool CloudGate lässt sich der gesamte Prozess der Meldung und Bewältigung von Sicherheitsvorfällen workfloworientiert und kollaborativ abbilden.

Mit CloudGate bedienen wir die offiziellen Schnittstellen zur Meldung an die Behörden, so dass die von NIS-2 vorgegebenen Fristen und die Form eingehalten und revisionssicher dokumentiert werden können.

Sprich uns an - gerne stellen wir dir und deinem Team CloudGate in einer Live-Demo vor und zeigen euch, wie ihr die NIS-2-Konformität sicherstellt.

Hier findest Du die Textversionen

-    der NIS-2-Richtlinie
-    des NIS2UmsuCG (mit Informationen zum aktuellen Stand des Gesetzgebungsverfahrens)

Euer Unternehmen ist betroffen, wenn es als eine der in der Richtlinie definierten Einrichtungen gilt (z.B. Kreditinstitute, Elektrizitätsunternehmen oder Gesundheitsdienstleister) und der so genannte Size-Cap greift, also die im Umsetzungsgesetz bestimmten Größenschwellen für Mitarbeiter und Umsatz erreicht werden.

Auch unabhängig von der Größe einer Einrichtung gelten z.B. Anbieter von öffentlichen elektronischen Kommunikationsnetzen, Vertrauens- oder DNS-Diensteanbieter als solche Einrichtungen. Und es gibt noch mehr Sonderfälle.

Der derzeitige Entwurf des NIS2UmsuCG zur Umsetzung der NIS-2-Richtlinie in deutsches Recht unterscheidet zusätzlich noch nach wichtigen und besonders wichtigen Einrichtungen, so dass letztlich nur eine Kombination dieser Eigenschaften zu einer eindeutigen Bestimmung des Anwendungsbereichs führen kann. Und für anderweitig bereits regulierte Unternehmen, wie z.B. einige Banken und Versicherungen, gibt es im deutschen Umsetzungsgesetz weitere Ausnahmeregelungen (Stand August 2024).

Bist du unsicher, ob euer Unternehmen vom Gesetzentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) betroffen ist?
Die NIS-2-Betroffenheitsprüfung des BSI bietet in wenigen Schritten dafür eine erste Orientierung: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html

Der Entwurf des § 30 Abs. 2 BSI-Gesetz sieht folgende auf die Sicherheit in der Informationstechnik abzielenden Risikomanagementmaßnahmen vor:

• Konzepte für
  • Risikoanalyse und
  • Sicherheit in der Informationstechnik
  • Bewertung der Wirksamkeit von Risikomanagementmaßnahmen in diesem Bereich (mit entsprechenden Verfahren)
  • Einsatz von Kryptografie und Verschlüsselung (mit entsprechenden Verfahren)
  • Zugriffskontrolle
  • Anlagenmanagement
• Bewältigung von Sicherheitsvorfällen
• Aufrechterhaltung des Betriebs durch
  • Backup-Management,
  • Wiederherstellung,
  • Krisenmanagement
• Sicherheit der Lieferkette (mit Auswirkungen auf IT-Drittanbieter)
• Sicherheitsmaßnahmen und Schwachstellenmanagement im Lifecycle informationstechnischer Systeme, Komponenten und Prozesse
• Cyberhygiene und Schulungen
• Sicherheit des Personals
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung,
• gesicherte Sprach-, Video- und Textkommunikation
• gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Bestes Beispiel hierfür ist das Incident-Response-Management: Dieses muss nicht nur präventiv bei der Erkennung und Verhinderung von Sicherheitsvorfällen tätig sein, sondern auch über ein Portfolio angemessener Notfallmaßnahmen verfügen. Die Prozesse für den Umgang mit IT-Security-Vorfällen müssen "hieb- und stichfest" sein, getestet und immer aktuell gehalten werden.

Auch die Melde- und Informationspflichten, die für den Fall von erheblichen IT-Sicherheitsvorfällen gelten, bedürfen erhöhter Aufmerksamkeit. Stufenweise mit immer weiter steigenden Anforderungen an den Inhalt müssen Meldungen gemacht werden – zunächst spätestens 24 Stunden, nachdem das Unternehmen Kenntnis von dem Vorfall erhalten hat, dann wieder nach spätestens 72 Stunden und als Abschlussmeldung nach 1 Monat. Zwischenmeldungen können vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ebenfalls noch angefordert werden.

Ohne entsprechende Organisation, ohne die erforderlichen Rollen und auch ohne ein entsprechend aufgestelltes IT-Provider Management sind derartige Anforderungen nicht zu erfüllen.