NIS2 Anforderungen und deren Umsetzung

Einleitung NIS2 Anforderungen

Die NIS2 Anforderungen markieren einen bedeutenden Schritt in der EU-weiten Harmonisierung der Cybersicherheitsstandards. Unternehmen aus wichtigen Sektoren der europäischen Wirtschaft stehen vor der Aufgabe, diese Anforderungen zu erfüllen, um ihre Systeme und Netzwerke besser zu schützen.

Auf dieser Seite finden Sie eine leicht verständliche Zusammenfassung der zentralen Maßnahmen zur Erfüllung der NIS2 Anforderungen sowie praktische Tipps für deren Umsetzung.

NIS2 Anforderungen: Das gilt für betroffene Unternehmen

Neben den erweiterten Befugnissen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Betroffenheit bestimmter Unternehmen legt die deutsche Umsetzung der NIS2 Anforderungen in den folgenden Bereichen fest:

  • Risikomanagementmaßnahmen: Betroffene Unternehmen müssen Risiken systematisch analysieren und durch geeignete, verhältnismäßige und wirksame technische sowie organisatorische Maßnahmen minimieren. Dabei sind die Risikoexposition, die Größe der Einrichtung, die Kosten sowie die Wahrscheinlichkeit und Schwere von Sicherheitsvorfällen zu berücksichtigen.
  • Meldepflichten: Sicherheitsvorfälle in betroffenen Unternehmen sind unverzüglich, spätestens jedoch innerhalb von 24 Stunden, in Form einer Erstmeldung an die zuständige Behörde zu melden. Eine detaillierte Nachmeldung mit zusätzlichen Informationen und einer Bewertung des Vorfalls muss spätestens innerhalb von 72 Stunden erfolgen.
  • Registrierungspflicht: Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Erfüllung der Voraussetzungen beim BSI registrieren und dabei spezifische Informationen wie Name, Kontaktdaten, Tätigkeitssektor und zuständige Aufsichtsbehörden übermitteln. Änderungen an den Daten sind unverzüglich, spätestens jedoch innerhalb von zwei Wochen, zu melden.
  • Unterrichtungspflicht: Betroffene Unternehmen sind verpflichtet, relevante Behörden und die Empfänger ihrer Dienste bei erheblichen Sicherheitsvorfällen oder potenziellen Cyberbedrohungen unverzüglich zu informieren. Dies umfasst auch Hinweise zu Abhilfemaßnahmen, sofern die Interessen der Empfänger die der Einrichtung überwiegen.
  • Pflichten der Einrichtungsleitung: Die Geschäftsführung des betroffenen Unternehmens trägt die Verantwortung für die Billigung und Überwachung der Cybersicherheitsmaßnahmen. Zudem ist sie verpflichtet, regelmäßig Schulungen zu absolvieren, um Risiken und deren Auswirkungen bewerten zu können.

Risikomanagementmaßnahmen gemäß den NIS2 Anforderungen

Die NIS2-Richtlinie verpflichtet betroffene Unternehmen, geeignete, verhältnismäßige und wirksame Maßnahmen umzusetzen, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer IT-Systeme, Komponenten und Prozesse sicherzustellen. Dabei sind Risikoexposition, Größe der Einrichtung, Kosten sowie die Wahrscheinlichkeit und Schwere von Sicherheitsvorfällen zu berücksichtigen. Die Maßnahmen müssen:

  • Den Stand der Technik einhalten,
  • europäische und internationale Normen berücksichtigen,
  • und auf einem gefahrenübergreifenden Ansatz basieren.

Pflichtbestandteile des Risikomanagements

  • Risikoanalyse und Sicherheitskonzepte: Regelmäßige Analyse von Bedrohungen und Definition von Maßnahmen.
  • Vorfallmanagement: Strategien zur Bewältigung von Sicherheitsvorfällen.
  • Krisen- und Notfallmanagement: Sicherstellung des Betriebs, beispielsweise durch Backups und Wiederherstellungskonzepte.
  • Sicherheit der Lieferkette: Prüfung und Überwachung der Sicherheit von Lieferanten und Dienstleistern.
  • System- und Softwaresicherheit: Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen, Komponenten und Prozessen, einschließlich Schwachstellenmanagement.
  • Wirksamkeitsprüfung: Regelmäßige Bewertung und Verbesserung der eingeführten Sicherheitsmaßnahmen.
  • Cyberhygiene und Schulungen: Förderung von Sicherheitsbewusstsein und regelmäßigem Training.
  • Kryptografie und Verschlüsselung: Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung.
  • Personal- und Zugriffsmanagement: Sicherheit des Personals und Identity and Access Management (IAM).
  • Sichere Authentifizierung: Verwendung von Lösungen, wie Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung.
  • Gesicherte Kommunikation: Einsatz gesicherter Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherter Notfallkommunikationssysteme innerhalb der Einrichtung.

Meldepflichten gemäß den NIS2 Anforderungen

Besonders wichtige und wichtige Einrichtungen sind verpflichtet, Sicherheitsvorfälle schnell und umfassend an die zentrale Meldestelle zu melden. Die Meldepflicht umfasst mehrere Stufen, um eine schnelle Reaktion und umfassende Dokumentation zu gewährleisten:

  1. Frühzeitige Erstmeldung
    • Zeitfenster: Innerhalb von 24 Stunden nach Kenntniserlangung.
    • Inhalt:
      • Hinweis, ob der Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist.
      • Einschätzung, ob grenzüberschreitende Auswirkungen möglich sind.
  2. Detaillierte Zwischenmeldung
    • Zeitfenster: Innerhalb von 72 Stunden nach Kenntniserlangung.
    • Inhalt:
      • Bestätigung oder Aktualisierung der Erstmeldung.
      • Erste Bewertung des Vorfalls, einschließlich Schweregrad, Auswirkungen und möglicher Kompromittierungsindikatoren.
  3. Statusaktualisierungen (auf Anfrage)
    • Inhalt: Relevante Updates zur aktuellen Lage des Sicherheitsvorfalls.
  4. Abschlussmeldung
    • Zeitfenster: Spätestens einen Monat nach der Zwischenmeldung, es sei denn, der Vorfall dauert noch an.
    • Inhalt:
      • Ausführliche Beschreibung des Vorfalls, einschließlich Ursachen und Schweregrad.
      • Übersicht der ergriffenen und geplanten Maßnahmen.
      • Gegebenenfalls grenzüberschreitende Auswirkungen.
  5. Fortschrittsmeldung (bei andauernden Vorfällen)
    • Wird eingereicht, wenn der Sicherheitsvorfall noch nicht vollständig bearbeitet ist. Die Abschlussmeldung folgt dann nach Beendigung der Bearbeitung.

Registrierungspflicht gemäß den NIS2 Anforderungen

Besonders wichtige Einrichtungen, wichtige Einrichtungen und Domain-Name-Registry-Diensteanbieter sind verpflichtet, sich innerhalb von drei Monaten nach Erfüllung der Voraussetzungen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Die Registrierung umfasst die Übermittlung folgender Angaben:

  1. Basisinformationen
    • Name der Einrichtung, Rechtsform und Handelsregisternummer (falls vorhanden).
    • Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adresse und Telefonnummer.
    • Relevanter Sektor oder Branche gemäß NIS2-Richtlinie.
    • EU-Mitgliedstaaten, in denen die Einrichtung tätig ist.
    • Zuständige Aufsichtsbehörden des Bundes und der Länder.
  2. Aktualisierungspflicht
    • Änderungen der Daten müssen dem BSI unverzüglich, spätestens jedoch innerhalb von zwei Wochen nach Kenntnisnahme, gemeldet werden.
    • Änderungen der Versorgungskennzahlen sind jährlich zu übermitteln.
  3. Weitere Regelungen
    • Das BSI kann Einrichtungen eigenständig registrieren, wenn diese ihrer Registrierungspflicht nicht nachkommen.
    • Einrichtungen müssen auf Verlangen des BSI relevante Unterlagen zur Bewertung vorlegen, sofern keine Geheimschutz- oder Sicherheitsinteressen entgegenstehen.
    • Details des Registrierungsverfahrens werden vom BSI festgelegt und öffentlich bekannt gegeben.

Unterrichtungspflichten gemäß den NIS2 Anforderungen

Die NIS2-Richtlinie verpflichtet besonders wichtige und wichtige Einrichtungen, bei erheblichen Sicherheitsvorfällen oder Cyberbedrohungen bestimmte Unterrichtungen vorzunehmen. Diese Pflichten gewährleisten, dass betroffene Nutzer von Diensten rechtzeitig informiert werden und Maßnahmen ergreifen können.

  1. Unterrichtung über erhebliche Sicherheitsvorfälle
    • Wann? Bei Sicherheitsvorfällen, die die Erbringung der jeweiligen Dienste beeinträchtigen könnten.
    • Was? Nutzer der Dienste müssen unverzüglich über den Vorfall informiert werden.
    • Wie?
      • Durch direkte Benachrichtigung der Empfänger.
      • Alternativ durch Veröffentlichung auf der Website der Einrichtung.
    • Koordination: Das BSI informiert die zuständigen Aufsichtsbehörden über Anweisungen zu Unterrichtungen.
  2. Unterrichtung über Cyberbedrohungen
    • Gilt für: Einrichtungen aus den Bereichen Finanz- und Versicherungswesen, IT- und Telekommunikation, IKT-Dienstverwaltung sowie digitale Dienste.
    • Was?
      • Nutzern müssen unverzüglich Maßnahmen oder Abhilfemaßnahmen mitgeteilt werden, die sie als Reaktion auf die Bedrohung ergreifen können.
      • Zusätzlich müssen Informationen über die erhebliche Cyberbedrohung selbst weitergegeben werden.
    • Abwägung: Die Unterrichtung erfolgt nur, wenn die Interessen der Nutzer die Interessen der Einrichtung überwiegen.

Pflichten der Einrichtungsleitung gemäß den NIS2 Anforderungen

Die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen tragen eine zentrale Verantwortung für die Umsetzung der NIS2-Anforderungen. Ihre Pflichten umfassen:

  1. Billigung und Überwachung von Risikomanagementmaßnahmen
    • Geschäftsleitungen müssen die Risikomanagementmaßnahmen ihrer Einrichtungen genehmigen und deren Umsetzung regelmäßig überwachen.
    • Diese Maßnahmen umfassen technische und organisatorische Vorkehrungen zur Cybersicherheit, wie sie in § 30 der NIS2-Umsetzung definiert sind.
  2. Haftungs- und Vergleichsregelungen
    • Ein Verzicht der Einrichtung auf Ersatzansprüche gegen die Geschäftsleitung bei Verletzung dieser Pflichten ist unwirksam.
    • Ausnahmen gelten nur bei Zahlungsunfähigkeit und Vergleichen zur Abwendung eines Insolvenzverfahrens.
  3. Verpflichtung zur regelmäßigen Weiterbildung
    • Die Geschäftsleitung muss regelmäßig an Schulungen teilnehmen, um:
      • Risiken und Risikomanagementpraktiken im Bereich der Cybersicherheit zu erkennen und zu bewerten.
      • Die Auswirkungen dieser Risiken auf die erbrachten Dienste zu verstehen.
    • Ziel ist es, ausreichende Kenntnisse und Fähigkeiten für die Cybersicherheitsverantwortung zu erwerben.

10 Tipps zur Umsetzung der NIS2 Anforderungen

Die Umsetzung der NIS2 Anforderungen kann eine Herausforderung sein, besonders für Unternehmen, die bisher keine umfassenden Cybersicherheitsstrategien etabliert haben. Mit diesen Tipps können Sie die Anforderungen effizient und strukturiert angehen:

  1. Ist-Analyse durchführen
    • Überprüfen Sie, welche bestehenden Sicherheitsmaßnahmen und Prozesse bereits die NIS2 Anforderungen erfüllen.
    • Identifizieren Sie Lücken in den Bereichen Risikomanagement, Meldepflichten und Personalmanagement.
  2. Prioritäten setzen
    • Entwickeln Sie einen Maßnahmenplan, der auf einer Risikobewertung basiert.
    • Fokussieren Sie sich zunächst auf kritische Risiken und „Low Hanging Fruits“.
  3. Verantwortlichkeiten klären
  4. Prozesse etablieren
    • Entwickeln Sie klar definierte Prozesse für die Meldung von Sicherheitsvorfällen.
    • Implementieren Sie regelmäßige Risikoanalysen und überprüfen Sie kontinuierlich die Effektivität Ihrer Maßnahmen.
  5. Schulungen durchführen
    • Schulen Sie Ihr Personal regelmäßig in Cybergefahren und Sicherheitsmaßnahmen.
    • Organisieren Sie spezielle Sensibilisierungskampagnen, wie beispielsweise Veranstaltungen und Phishing-Simulationen.
  6. Technische Maßnahmen umsetzen
    • Implementieren Sie Sicherheitsmaßnahmen, wie beispielsweise Multi-Faktor-Authentifizierung, Backup-Systeme und Schwachstellenmanagement.
    • Nutzen Sie Verschlüsselung und gesicherte Kommunikationssysteme für den Schutz sensibler Daten.
  7. Dokumentation sicherstellen
    • Halten Sie alle Prozesse und Maßnahmen schriftlich fest, um die Einhaltung der NIS2 Anforderungen nachweisen zu können.
  8. Kontinuierliche Verbesserung
    • Überprüfen und verbessern Sie Ihre Sicherheitsmaßnahmen regelmäßig, um mit neuen Bedrohungen und technologischen Entwicklungen Schritt zu halten.
  9. Externe Unterstützung einholen
    • Ziehen Sie Experten hinzu, um bei der Umsetzung der Anforderungen zu beraten oder technische Lösungen zu implementieren.
    • Nutzen Sie externe Audits, um die Wirksamkeit Ihres Informationssicherheitsmanagementsystems (ISMS) zu überprüfen.
  10. Sofort loslegen
    • Unternehmen sollten nicht auf die Einführung der deutschen Gesetzesumsetzung der NIS2 Anforderungen warten. Die beschriebenen Maßnahmen sind unabhängig vom Umsetzungszeitpunkt gültig und stellen bereits jetzt eine wichtige Grundlage für die Cybersicherheit dar.
    • Ein Hinauszögern der Umsetzung erhöht das Risiko, später unter Zeitdruck Maßnahmen nachholen zu müssen. Dies könnte dazu führen, dass Ihr Unternehmen in einer angespannten Situation wie bei der Einführung der DSGVO Schwierigkeiten hat, geeignete Experten oder Berater zu finden.
    • Beginnen Sie frühzeitig, um strukturiert und ohne Druck alle Anforderungen zu erfüllen und Ihr Unternehmen bestmöglich abzusichern.

So unterstütze ich Sie bei den NIS2 Anforderungen

Die Umsetzung der NIS2 Anforderungen erfordert fundierte Kenntnisse der Informationssicherheit, erprobte Strategien und ein systematisches Vorgehen. Ich helfe Ihnen, diese Herausforderung effizient zu meistern – mit maßgeschneiderten Lösungen, die genau auf die Bedürfnisse Ihres Unternehmens zugeschnitten sind.

Philipp Jakubowski
  • Analyse und Beratung: Ich prüfe Ihre bestehenden Sicherheitsmaßnahmen und identifiziere Lücken, um einen klaren Fahrplan zur Einhaltung der NIS2 Anforderungen zu erstellen.
  • Risikomanagement: Unterstützung bei der Einführung und Optimierung von Risikoanalysen und Sicherheitskonzepten.
  • Technische Maßnahmen: Beratung und Implementierung von Lösungen wie Zugriffskontrollen, Multi-Faktor-Authentifizierung und Verschlüsselungssystemen.
  • Schulungen: Sensibilisierung Ihrer Mitarbeitenden und gezielte Weiterbildung für die Geschäftsführung.
  • Dokumentation und Nachweise: Erstellung der notwendigen Unterlagen, um die Einhaltung der NIS2 Anforderungen gegenüber Behörden nachzuweisen.

Ich begleite Sie Schritt für Schritt – von der ersten Analyse bis zur vollständigen Umsetzung – und stelle sicher, dass Ihr Unternehmen nicht nur gesetzeskonform ist, sondern auch optimal vor Cyberrisiken geschützt wird.

Brauchen Sie Unterstützung?

Buchen Sie gerne einen kostenlosen und unverbindlichen Beratungstermin!