Sicherheitsstandards und Compliance für Netzwerke in Europa

Entdecken Sie die Schlüsselelemente und Implementierungsstrategien für optimale Netzwerksicherheit unter der neuen EU-Richtlinie NIS2

Was Unternehmen über NIS2 wissen müssen

Einführung in die NIS2-Richtlinie

Die NIS2-Richtlinie ist die zweite Version der EU-weiten Netzwerk- und Informationssystemsicherheitsrichtlinie, die darauf abzielt, ein höheres Maß an Sicherheit von Netzwerk- und Informationssystemen innerhalb der EU zu gewährleisten. Diese Richtlinie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie und umfasst jetzt auch wichtige Sektoren wie Energie, Transport, Gesundheit und digitale Infrastruktur. Unternehmen in diesen und weiteren kritischen Sektoren müssen sicherstellen, dass sie verstehen, welche Sicherheitsmaßnahmen implementiert und welche Meldeverfahren etabliert werden müssen, um Compliance zu gewährleisten.

1

Anforderungen der NIS2-Richtlinie für Unternehmen

2

Unter der NIS2-Richtlinie sind Unternehmen verpflichtet, sowohl technische als auch organisatorische Maßnahmen zu ergreifen, um ihre Netzwerk- und Informationssysteme zu schützen. Dazu gehört die Einführung von Risikomanagementpraktiken, die regelmäßige Durchführung von Sicherheitsaudits und die Meldung von Sicherheitsvorfällen an die nationalen Behörden innerhalb von 24 Stunden nach deren Erkennen. Unternehmen müssen auch sicherstellen, dass ihre Zulieferer und Dienstleister die Sicherheitsanforderungen der NIS2 einhalten, was eine sorgfältige Überprüfung und Management von Drittanbieterrisiken erfordert.

Technische und organisatorische Maßnahmen unter NIS2

3

Die NIS2-Richtlinie verlangt von Unternehmen, dass sie fortgeschrittene Sicherheitstechnologien und -prozesse implementieren, um ihre kritischen Systeme zu schützen. Dies umfasst die Verschlüsselung von Daten, die Sicherung von Netzwerken gegen unbefugten Zugriff und die Implementierung von Incident Response Plänen. Organisatorisch müssen Unternehmen eine klare Sicherheitsgovernance etablieren, regelmäßige Schulungen für Mitarbeiter durchführen und eine Kultur der Sicherheitsbewusstheit schaffen, um auf Bedrohungen effektiv reagieren zu können.

4

NIS2 und Datenschutz: Was ändert sich?

Die NIS2-Richtlinie beeinflusst auch den Datenschutz, da sie eng mit der Datenschutz-Grundverordnung (DSGVO) verbunden ist. Unternehmen müssen sicherstellen, dass ihre Maßnahmen zur Cybersicherheit auch den Datenschutzanforderungen entsprechen. Dies beinhaltet die sichere Verarbeitung und Speicherung persönlicher Daten sowie die Gewährleistung, dass Datenschutzprinzipien wie die Datensparsamkeit und die Zweckbindung eingehalten werden. Es ist entscheidend für Unternehmen, die Interaktion zwischen NIS2 und DSGVO zu verstehen und beide Regulierungsanforderungen in ihren Sicherheits- und Datenschutzstrategien zu berücksichtigen.

Von der Bewertung bis zur Umsetzung

Als Ihr Dienstleister führen wir eine Risikobewertung und Lückenanalyse durch, um Sicherheitslücken in Ihrem Unternehmen zu identifizieren und zu schließen. Wir entwickeln und implementieren einen maßgeschneiderten Aktionsplan, überwachen die umgesetzten Maßnahmen und stellen die Einhaltung der NIS2-Richtlinie sicher. Unsere Dienste umfassen auch die professionelle Vorbereitung und Einreichung der erforderlichen Compliance-Berichte. Verlassen Sie sich auf unsere Expertise, um Ihre Sicherheit und Konformität zu gewährleisten.

NIS2-Anforderungen

Die NIS2-Richtlinie definiert klare Kriterien und Anforderungen für Unternehmen verschiedener Größen, um die Cybersicherheit innerhalb der EU zu verbessern. Unternehmen müssen ihre Sicherheitsmaßnahmen entsprechend ihrer Größe und den damit verbundenen Risiken anpassen. Directive - 2022/2555 - EN - EUR-Lex (europa.eu)

Verschärfte Haftungsregelungen für Führungskräfte

Für „besonders wichtige Einrichtungen“ sieht die NIS-2-Richtlinie Strafen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Bei „wichtigen Einrichtungen“ können die Bußgelder bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes erreichen, wobei auch hier der höhere Betrag ausschlaggebend ist.

Zudem müssen die betroffenen Unternehmen umfassende Maßnahmen ergreifen, die Cyber-Risikomanagement, Sicherheitsmaßnahmen in der Lieferkette, Business Continuity Management, Verschlüsselungstechniken, Zugriffskontrollen sowie regelmäßige Berichterstattungen an die zuständigen Behörden und die Durchführung von Korrekturmaßnahmen umfassen.

Ein wichtiger Aspekt des aktuellen Gesetzentwurfs des Bundesinnenministeriums ist, dass die Führungskräfte der Unternehmen persönlich mit ihrem Privatvermögen haften können, wenn sie die Risikomanagementvorgaben nicht einhalten. Die maximale Haftungssumme ist auf zwei Prozent des weltweiten Jahresumsatzes des Unternehmens festgelegt.

Sanktionsvorschriften

Gestaffelte Bußgeldregelung: Bußgelder können bis zu 20 Millionen Euro erreichen, abhängig von der Schwere des Verstoßes.
Fahrlässigkeit und Vorsatz: Unterscheidung zwischen fahrlässigem und vorsätzlichem Verschulden bei der Festlegung der Strafen.
Bußgeldrahmen für wichtige Einrichtungen: Bußgelder können bis zu 7 Millionen Euro betragen oder einen Höchstbetrag von mindestens 1,4 % des weltweiten Umsatzes des vorangegangenen Geschäftsjahres erreichen.
Strafen für besonders wichtige Einrichtungen: Die möglichen Bußgelder steigen auf bis zu 10 Millionen Euro oder mindestens 2 % des weltweiten Umsatzes des vorangegangenen Geschäftsjahres.
Einheitliche Regelung: Keine Unterscheidung zwischen besonders wichtigen Einrichtungen und kritischen Anlagen in Bezug auf die Bußgeldstruktur.

Haftungsrisiken für Geschäftsführungen

Beispiel: Cyberangriff mit betriebseinschränkenden Auswirkungen aufgrund mangelhaft überwachten Risikomanagementprozesses in besonders wichtigen Einrichtung
Folgen:
Kostenpositionen z.B.
- Lösegeldzahlungen
- Kosten für externe Dienstleister
- Bußgelder infolge von DS-GVO- oder BSIG-Verstößen

Kritische Sektoren & Branchen

Energie

Im Sektor Energie versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit vier kritischen Dienstleistungen – der Versorgung mit Strom, Gas, Kraftstoff und Heizöl und Fernwärme. Diese Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.

KRITIS-Betreiber erbringen diese kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2024 um viele Einrichtungen, die als Unternehmen reguliert werden, wenn sie Unternehmensgrößen überschreiten.

Mehr erfahren

Finanzen/Versicherungen

Im Sektor Finanzen und Versicherungen versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit fünf kritischen Dienstleistungen – Bargeld, Zahlungsverkehr, Wertpapiere und Derivatesowie Versicherungen. Diese regulierten Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.

Mehr erfahren

Transport und Verkehr

Im Sektor Transport und Verkehr versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit einer kritischen Dienstleistung – dem Personen- und Güterverkehr auf verschiedenen Verkehrsträgern. Diese Dienstleistung muss mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.

Mehr erfahren

Finanzen/Versicherungen

Mehr erfahren

Gesundheit

Im Sektor Gesundheit versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit vier kritischen Dienstleistungen – der stationären medizinischen Versorgung, der Versorgung mit lebenserhaltenden Medizinprodukten, der Versorgung mit Arzneien und Blut/Plasma sowie der Diagnostik in medizinischen Laboren. Diese Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.

Mehr erfahren

Wasser und Abwasser

Im Sektor Wasser und Abwasser versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit zwei kritischen Dienstleistungen – der Versorgung mit Trinkwasser und der Beseitigung von Abwasser. Diese Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.

Mehr erfahren

Abwasser

IT und TK

Im Sektor Informationstechnik und Telekommunikation versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit zwei kritischen Dienstleistungen – der Sprach- und Datenübertragung sowie der Datenspeicherung und -verarbeitung. Diese Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.

Mehr erfahren

Verarbeitendes Gewerbe

Im Sektor verarbeitendes Gewerbe stellen Einrichtungen der Industrie Produkte nach NACE-Kategorien her – Medizinprodukte, DV und Elektronik, Maschinenbau, Kraftwagen und sonstige Fahrzeuge. Die Herstellung dieser Produkte muss mit Cybersecurity-Pflichten nach NIS2 geschützt werden.

Der Sektor wird ab 2024 durch NIS2 mit vielen Einrichtungen neu reguliert. Produzieren Unternehmen Güter der sehr langen NACE-Liste und überschreiten dabei NIS2-Unternehmensgrößen, werden sie zu wichtigen Einrichtungen.

NIS2-Sektordefinition verarbeitendes Gewerbe:

Herstellung Medizinprodukte und In-vitro-Diagnostika
Herstellung von DV-Geräte, Elektronik und Optik (NACE 26 und 27)
Maschinenbau (NACE 28)
Herstellung von Kraftwagen und Teilen (NACE 29)
Sonstiger Fahrzeugbau (NACE 30: Schiffe, Schienen, Luft/Raumfahrt, Fahrräder)

Mehr erfahren