42895    Mittwoch, 20. Mrz 2024 13:26:21 vor 2 Monaten 03:05 | 752 W 4306 | 295 | 113 h75 | 25%
Sicherheit  

NIS2 – Sicherheits-Richtlinie ab Herbst 2024

Die NIS2 ist Nachfolger der NIS1 EU-Richtlinie und betrifft die Anforderung, gewisse IT-Sicherheitsstandards zu erfüllen, da ansonsten empfindliche Bußgelder verhängt werden.

Während die derzeit in deutsches Recht umgesetzte NIS1 nur große Unternehmen und Firmen im Bereich kritischer Infrastrukturen betraf, ist NIS2 auch auf mittelständische und kleine Unternehmen ausgeweitet.

– So ist ein mittelständischer Betrieb mit mehr als 50 Mitarbeitern oder/und 10 mio Euro Bilanzsumme, der Lebensmittel produziert oder damit handelt oder mit Chemikalien (z.B. Pflanzenschutz) handelt, von der NIS2 betroffen.

Die Umsetzung der EU-Richtline in deutsches Recht muss bis Mitte 2024 erfolgen – einen dritten Entwurf gibt es derzeit. Da dieser sich kaum von Entwürfen 1 und 2 unterscheidet, ist davon auszugehen, dass dieser in nationales Recht umgesetzt wird. Geplant war Juli 2024, im Moment liegt die Deadline bei September 2024.

Wer ist betroffen?

Zählt deren Branche zur kritischen Infrastruktur, sind auch Kleinunternehmen betroffen. Neu ist, dass auch für andere Geschäftszwecke Unternehmen, die mehr als 50 Personen beschäftigen und Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR übersteigt, unter die NIS2 fallen. Neu ist auch die Unterscheidung von „wesentlichen“ (wie bisher KRITIS mit erweiterten Kriterien) und „wichtigen“ Unternehmen. Die Einstufung hat Einfluss auf die Höhe der Bußgelder.

mindestens 50 Mitarbeiterinnen und Mitarbeitern
und einem Jahresumsatz/einer Jahresbilanz von über 10 Mio. Euro
und einer Tätigkeit aus den Folgenden:

Herstellung, Produktion und Vertrieb von Chemikalien
Lebensmittelproduktion, -verarbeitung und -vertrieb
Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
Produktion (Herstellung von Medizinprodukten, Maschinen, Fahrzeugen)
Gesundheit (Gesundheitsdienstleister, EU Labore, Medizinforschung, Pharmazeutik, Medizingeräte)
Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
Bankwesen (Kreditinstitute)
Finanzmarktinfrastruktur (Handelsplätze)
Digitale Infrastruktur (Internet-Knoten, Cloud Provider, Rechenzentren, Elektronische Kommunikation)
Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke)
Post- und Kurierdienste
Forschung
Weltraum (Bodeninfrastruktur)
Öffentliche Verwaltungen
Trinkwasser (Wasserversorgung)
Abwässer (Abwasserentsorgung)
Abfallwirtschaft (Abfallbewirtschaftung)

NIS2-Standard Entwurf

Was ist zu tun?

– da zu erwarten ist, dass die EU-Richtlinie weitgehend unverändert in deutsches Recht umgesetzt wird, prüfen Sie, anhand der Richtlinie, ob Sie zu den Betroffenen gehören, indem Sie in der Richtlinie nachlesen, ob die genannten Kriterien für Sie zutreffen.

Wenn ja, ist die Vorgehensweise leider nicht geregelt, da in der Richtlinie (ähnlich wie bei der DSGVO) keine konkreten Maßnahmen beschrieben sind, die man anhand einer zu erstellenden Checkliste abarbeiten oder prüfen kann.

Dennoch müssen bei den genannten Anforderungen mindestens der BSI Grundschutz (Standards 200-1 und -2) UND eine Risikoanalyse mit Notfallplan (BSI-Standards 200-3 und -4) erfüllt sein. Bei genossenschaftlich geprüften Unternehmen kommen dann noch PS330 und PS980 (Compliance) dazu. Die Pflichten umfassen somit technische (auf dem aktuellen Stand der Technik) und organisatorische Maßnahmen (Awareness-Schulungen), ein Reporting (Meldung von Verstößen ähnlich der DSGVO) und Verhaltensregeln im Fehlerfall. Darüber hinaus müssen regelmäßige Audits sicherstellen, dass die Maßnahmen erfüllt sind. Man geht im Best Practice von jährlichen Audits aus.

Zuletzt ist von einem Meldesystem (MDR) die Rede. Meldungen von Vorfällen an BSI und die Meldebehörden können manuell, müssen aber im Rahmen der gesetzten Fristen kurzfristig erfolgen. Einige Drittanbieter wie die Telekom bieten auch ein MDR-System in der Cloud an, das Vorfälle erkennen und Meldungen automatisieren soll.

Beispiele für Verstöße

  • Internetzugang durch eine Firewall der ersten Generation oder nur einen Router
  • keine 2-Faktor-Authentifizierung für administrativen Zugriff auf Online- und Clouddienste und/oder Webseiten, auf denen Geld bewegt wird
  • Personal ist nicht Umgang mit IT-Risiken (nachweislich) geschult
  • kein Konzept im Umgang mit Ransomware und Verschlüsselungsschadsoftware
  • Kein Meldewesen bei erkannten Vorfällen

Wo steht mein Unternehmen bei den Mindestanforderungen?

Mit dem IT-Sicherheitscheck und anschließender Risiko-Analyse mit Notfallplan werden viele der im Standard erklärten Ziele überprüft und Maßnahmen zur Erfüllung beschrieben.

Fazit

Ähnlich wie 2018 bei der DSGVO gilt auch hier. Lassen Sie sich von Ihrem Fachanwalt beraten. Der hier erstellte Artikel dient nur zu Ihrer Information und stellt eine Möglichkeit dar, einen Mindestschutz zu erreichen.
Zwar wird NIS2 erst Mitte 2024 in deutsches Recht umgesetzt, jeder sollte sich aber schon jetzt Gedanken zur Umsetzung machen.

Unabhängig davon, ob Sie unter die genannten Unternehmen fallen, sind die Erfüllung BSI Grundschutz und der Notfallplan auch für kleinere Unternehmen bei Nicht-Erfüllung häufig Grund von Versicherungen, die Leistungen im Schadenfall zu kürzen. Auch Ratings von Banken bei der Kreditvergabe sind von genannten Mindest-Standards abhängig.

Lassen Sie den IT-Sicherheitscheck mit anschließender Risiko-Analyse und Notfallplan für Ihr Unternehmen durchführen, um eine Mindestabsicherung anzustreben.

https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-aktuell/KRITIS-Meldungen/221227-veroeffentlichung-nis-2.html

Zusammenfassung
  1. Unabhängig davon, ob Sie unter die genannten Unternehmen fallen, sind die Erfüllung BSI Grundschutz und der Notfallplan auch für kleinere Unternehmen bei Nicht-Erfüllung häufig Grund von Versicherungen, die Leistungen im Schadenfall zu kürzen.
  2. Beispiele für Verstöße Internetzugang durch eine Firewall der ersten Generation oder nur einen Router keine 2-Faktor-Authentifizierung für administrativen Zugriff auf Online- und Clouddienste und/oder Webseiten, auf denen Geld bewegt wird Personal ist nicht Umgang mit IT-Risiken (nachweislich) geschult kein Konzept im Umgang mit Ransomware und Verschlüsselungsschadsoftware Kein Meldewesen bei erkannten Vorfällen Wo steht mein Unternehmen bei den Mindestanforderungen?
  3. #Wichtig - da zu erwarten ist, dass die EU-Richtlinie weitgehend unverändert in deutsches Recht umgesetzt wird, prüfen Sie, anhand der Richtlinie, ob Sie zu den Betroffenen gehören, indem Sie in der Richtlinie nachlesen, ob die genannten Kriterien für Sie zutreffen.
Verwandte Beiträge
Über den Autor:
Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert