Die Europäische Kommission hat eine überarbeitete Richtlinie über die Netz- und Informationssicherheit (NIS2) vorgelegt, die am 17. Oktober 2024 in Kraft treten wird. Es baut auf dem ursprünglichen Rechtsrahmen für Cybersicherheit der NIS1 auf und betrifft sowohl öffentliche als auch private Unternehmen im Bereich kritischer Infrastrukturen und/oder Dienste (KRITIS).
In diesem Artikel geben Nitro-Experten einen umfassenden Überblick über NIS2 und hilfreiche Informationen zu den Compliance-Anforderungen für diese anstehende Verordnung. Dieser Artikel stellt keine Rechtsberatung dar.
Was ist NIS2?
Um ein Verständnis von NIS2 zu erlangen, ist es wichtig, die Bestimmungen von NIS1 zu verstehen. Die NIS1 – auch bekannt als NIS Richtlinie – war nach Angaben der Europäischen Kommission "das erste horizontale Binnenmarktinstrument, das darauf abzielte, die Widerstandsfähigkeit der Netz- und Informationssysteme in der [Europäischen] Union gegenüber Cybersicherheitsrisiken zu verbessern". Im Zuge der zunehmenden Digitalisierung stellte die Kommission bestimmte Mängel der NIS1 fest und entwickelte in der Folge NIS2.
Die NIS-2 gilt für KRITIS-Unternehmen, die mehr als 50 Mitarbeiter oder einen Jahresumsatz von10 Mio. € haben. Da NIS2 den Geltungsbereich der in die Verordnung einbezogenen Einrichtungen erweitert, können andere Organisationen den neuen Regeln unterliegen, auch wenn sie nicht über diese Größen- oder Umsatzqualifikationen verfügen. Die Unternehmen innerhalb der Lieferkette einer betroffenen Organisation können ebenfalls in den Anwendungsbereich der NIS-2fallen. Darüber hinaus können die EU-Mitgliedstaaten ihre eigenen Verlängerungen des Urteils erlassen.
Mit der Einführung von NIS2 müssen Unternehmen eine Reihe von Sicherheitsmaßnahmen und Meldeverfahren implementieren – einschließlich Risikomanagement, Sicherheit der Lieferkette und angemessene Reaktion auf Vorfälle. Ziel ist es, die Resilienz und die Reaktionsfähigkeit des öffentlichen und privaten Sektors, der zuständigen Behörden und der EU zu verbessern.
Wen betrifft NIS2 ?
NIS2 wird sich auf schätzungsweise 100000 Organisationen in der gesamten EU auswirken, zusätzlich zu denen, die bereits unter die NIS1 fallen. Der Umfang der Sektoren wurde von sieben auf achtzehn erweitert und umfasst:
- Transport
- Bankwesen
- Finanzmärkte
- Trinkwasser
- Digitale Infrastruktur
- Energie
- Gesundheit
- Post- und Kurierdienste
- Herstellung kritischer Produkte
- Abwasser- und Abfallwirtschaft
- Öffentliche Verwaltung
- Raum
- Forschung
- Digitale Dienstleistungen
- Lebensmittelproduktion, -verarbeitung und -vertrieb
- Telekommunikation
- Herstellung, Produktion und Vertrieb von Chemikalien
- Anbieter digitaler Dienstleistungen
Welche Anforderungen stellt NIS2?
Die neuen Anforderungen und Pflichten für Organisationen, die unter NIS2 fallen, sind nachfolgend zusammengefasst:
Stärkeres Risikomanagement
Die Richtlinie enthält eine Mindestliste von Sicherheitsmaßnahmen, die Unternehmen ergreifen müssen, um das Cyberrisiko zu minimieren, einschließlich, aber nicht beschränkt auf Vorfallmanagement, Sicherheit der Lieferkette, Verschlüsselung, Geschäftskontinuität und Risikoanalyserichtlinien. NIS2 verlangt insbesondere, dass Unternehmen über Abo verfügen, die während und nach einem Vorfall in Kraft treten, wie z. B. Backup-Maßnahmen, die Sicherstellung des Zugriffs auf ihre IT-Systeme, die Wiederherstellung von Daten und Systemen, das Verfahren für ein Krisenreaktionsteam und vieles mehr.
Strengere Reporting-Prozesse
NIS-2 verschärft die Meldepflichten von Unternehmen, wenn sie von einem Sicherheitsvorfall betroffen sind. Organisationen können über mehrere Stellen verfügen, an die sie einen Vorfall melden müssen, einschließlich ihrer Kunden. Einige Vorfälle können in eine Kategorie von Verstößen fallen, die die Einhaltung von 24-stündigen Benachrichtigungsfristen erfordern.
Sicherheit der Lieferkette
Die Richtlinie verlangt von Unternehmen, dass sie sicherstellen, dass ihre Lieferanten und Partner in ihren Lieferketten ein Risikomanagement betreiben und auch bestimmte Richtlinien einhalten. Diese Änderung kann sich auf viele Unternehmen auswirken, die nicht direkt in den Geltungsbereich der NIS-2fallen, aber als Mitglieder der Lieferkette solcher Unternehmen tätig sind.
Verantwortlichkeit des Managements
NIS2 zielt darauf ab, die Unternehmensführung für ihre Rolle im Bereich der Cybersicherheit zur Verantwortung zu ziehen und verhängt Strafen für die Nichteinhaltung. Das Management muss in Bezug auf Sicherheitsmaßnahmen geschult werden und kann im Falle von Verstößen haftbar gemacht oder sogar aus Führungspositionen entfernt werden.
Was müssen Sie tun, wenn NIS2 Ihr Unternehmen betrifft?
Der erste Schritt für jede Organisation, die den Verdacht hat, dass sie in den Geltungsbereich von NIS2fallen könnte, besteht darin, festzustellen, ob sie betroffen ist.
NIS2 ändert die Art und Weise, wie Organisationen in "essential" und "important" Entitäten eingeteilt werden. Jede Kategorie unterliegt einer unterschiedlichen Aufsicht und Durchsetzung.
Essential Entities** (EE) | Important Entities** (IE) |
+250 +50ICH | +50 +10Mio. € |
Energie, Verkehr, Wasser und Abwasser, Finanzmärkte, Banken, öffentliche Verwaltung, IKT-Dienstleistungen, Digitale Infrastruktur, Gesundheit, Raumfahrt | Post, Abfall, Pharma, Chemie, Fertigung, Lebensmittelproduktion, Digitale Anbieter, Forschung |
Anschließend müssen Sie Ihre vorhandenen Sicherheitsmaßnahmen und -richtlinien bewerten, um ein grundlegendes Verständnis dafür zu erhalten, wie Sie die NIS2 einhalten können. Das Marktforschungsunternehmen PwC empfiehlt die Verwendung eines Frameworks für Cybersicherheitskontrollen, das "spezifische Kontrollen, die in Ihrem Unternehmen in Betrieb sind, jeder NIS2 Klausel zuordnet, um Sie über Bereiche zu informieren, in denen das Unternehmen seinen NIS2 Verpflichtungen derzeit nicht nachkommen kann".
Im Rahmen Ihrer Bewertung sollten Sie prüfen, ob Ihr EU-Mitgliedsland Abo seine eigenen Compliance-Anforderungen umsetzt. Zum Beispiel, plant Deutschland eine Anpassung von NIS2 UmsuCG am 1. Oktober 2024.
Anschließend sollten Sie Ihr Tool und Ihre Prozesse wie Incident Response, Krisenmanagement, Business Continuity und Failover sowie Notfallverfahren testen. Letztendlich ist es ideal, jeden Prozess zu testen, der sich auf Ihre Fähigkeit bezieht, die NIS-2einzuhalten.
Es ist auch wichtig, Ihre Unternehmenskultur und Ihren Ansatz zur Cybersicherheit zu überprüfen, um sicherzustellen, dass die Teammitglieder auf Compliance abgestimmt sind und das Management seiner Sorgfaltspflicht nachkommt.
Konsequenzen bei Nichteinhaltung von NIS2
Bei Verstößen gegen bestimmte Anforderungen können wesentliche Unternehmen mit einer Geldbuße von mindestens10€,000000 oder höchstens 2% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres belegt werden. Wichtige Unternehmen können mit einer Geldbuße von mindestens7€,000,000 oder höchstens 1bestraft werden.4% des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr.
So unterstützt Nitro NIS2 konform zu bleiben
Nitro ist ein PDF - und eSign Lösungsanbieter mit globaler Präsenz, der sich auf die Unterstützung von Dokumentensicherheit und Compliance für in der EU ansässige Unternehmen spezialisiert hat. Wir bieten fortschrittliche Dokumentenlösungen, die die Sicherheit und Integrität digitaler Dokumente sowohl für Ihr Unternehmen als auch für Ihre Partner in Ihrer gesamten Lieferkette gewährleisten.
Mit Nitro können Unternehmen strenge Zugriffskontrollen, Verschlüsselung, Datenverschlüsselung und digitale Signatur implementieren – all dies ist unerlässlich, um die Einhaltung des erweiterten Risikomanagements und der Meldepflichten von NIS2 zu gewährleisten. Diese Funktionen helfen, unbefugten Zugriff zu verhindern und vertrauliche Informationen zu schützen.Erfahren Sie in diesem Blog mehr darüber, wie Nitro NIS2 Compliance unterstützen können.
Setzen Sie sich mit einem unserer PDF- und eSign-Experten in Verbindung, um zu erfahren, wie wir Ihnen helfen können, oder um eine kostenlose Testversion von Nitro zu erkunden.