Was ist NIS2? Definition und Maßnahmen
Security

Was ist NIS2? Definition und Maßnahmen

NIS2-Richtlinie: Vollständiger Überblick, Unterschiede, Geltungsmöglichkeiten, Strafen und Bußgeldregelungen sowie praktische Umsetzung und Unterstützung durch Inventory360

Alexander Ritter
Alexander Ritter Veröffentlicht am 05.11.2024

Einleitung

Die NIS2-Richtlinie (Network and Information Systems 2) ist eine entscheidende Weiterentwicklung der europäischen Cybersecurity-Vorgaben und adressiert neue Herausforderungen im Bereich der Netz- und Informationssicherheit.

Angesichts immer komplexerer Bedrohungslagen und des wachsenden Bedarfs an einheitlichen Standards dient NIS2 als robuste Grundlage, um eine sichere digitale Infrastruktur in Europa zu gewährleisten.

Dieser Beitrag liefert einen umfassenden Überblick über die NIS2-Richtlinie und beleuchtet deren Anforderungen und Auswirkungen. Er zeigt darüber hinaus auf, wie Inventory360 Unternehmen bei der Einhaltung der neuen Vorschriften unterstützen kann.

"Die NIS2-Richtlinie hebt die Anforderungen an Cybersicherheit auf ein neues Niveau und fordert von Unternehmen umfassende Transparenz und Kontrolle über ihre digitale Infrastruktur. Mit Inventory360 bieten wir eine Lösung, die nicht nur die Compliance-Anforderungen erfüllt, sondern Unternehmen auch stärkt, proaktiv gegen Sicherheitsrisiken vorzugehen. Die Zukunft gehört denen, die Sicherheit als strategischen Faktor begreifen."

Frank Kister - CEO EntekSystems

Definition: Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie der Europäischen Union baut auf der ursprünglichen NIS-Richtlinie (2016) auf und erweitert deren Anwendungsbereich sowie die Sicherheitsanforderungen erheblich. Ziel ist die Steigerung der Cybersicherheit in Branchen, die als wesentliche oder kritische Dienstleistungen für die Bevölkerung gelten.

Durch NIS2 erhalten betroffene Organisationen präzisere Vorgaben zu Meldepflichten und IT-Sicherheitsstandards und sind gesetzlich verpflichtet, einen sichereren Umgang mit ihren digitalen Infrastrukturen zu etablieren.

Die Richtlinie ist im Januar 2023 in Kraft getreten, und seit Oktober 2024 müssen alle EU-Mitgliedstaaten sie in nationales Recht umgesetzt haben, sonst drohen teils empfindliche Strafen.

Unternehmen aus vielen Branchen sind angehalten, ihre IT-Sicherheitsmaßnahmen den neuen Vorschriften anzupassen und eine umfassende Übersicht über ihre Netzwerke und IT-Assets zu haben.

Hier wird auch der Einsatz digitaler IT-Asset-Management-Lösungen wie Inventory360 zunehmend relevant.

Unterschied zur NIS1-Richtlinie

NIS2 bringt gegenüber NIS1 erweiterte Sicherheitsanforderungen und einen erweiterten Anwendungsbereich mit sich.

Zu den bedeutendsten Änderungen gehören:

  • Erweiterung des Anwendungsbereichs: NIS2 betrifft mehr Sektoren, darunter Gesundheitswesen, öffentliche Verwaltung und Finanzdienstleistungen.

  • Strengere Berichts- und Meldepflichten: NIS2 erfordert präzisere Berichte über Sicherheitsvorfälle und fördert eine schnelle Reaktion bei Cyberbedrohungen.

  • Einheitliche Anforderungen an die Risikobewertung: Regelmäßige Risikoanalysen und Schwachstellenbewertung sind nun verpflichtend.

Für wen gilt die NIS2-Richtlinie?

Die NIS2-Richtlinie betrifft Unternehmen und Organisationen, die wesentliche und wichtige Dienste bereitstellen, wie beispielsweise:

  • Kritische Infrastrukturen wie Energie- und Wasserversorgung, aber auch Transport, Banken, Finanzmarktinfrastrukturen

  • Gesundheitsdienstleister, Trinkwasser, digitale Infrastruktur

  • Telekommunikations- und IT-Dienstleister, generell Anbieter digitaler Dienste wie Online-Marktplätze, Suchmaschinen und Cloud-Dienste.

  • Öffentliche Verwaltung und Finanzdienstleister

Neu hinzugefügte Sektoren

Neu hinzugefügte Sektoren und Betreiber, darunter die Abwasserwirtschaft, die Verwaltung öffentlicher Netze, die Produktion und der Vertrieb von Chemikalien, Lebensmittelproduktion, Raumfahrt sowie Post- und Kurierdienste.

Was bringt die NIS2-Richtlinie?

Die NIS2-Richtlinie stärkt die Resilienz und Sicherheit kritischer Dienste in der EU und bietet Unternehmen einheitliche Standards, um sicherzustellen, dass Cyber-Risiken erkannt und abgewendet werden können.

Die wesentlichen Vorteile sind:

  • Höhere Cybersicherheitsstandards

  • Transparenz und Nachverfolgbarkeit

  • Risiko- und Schwachstellenbewertung

  • Koordiniertes Incident Response

NIS2-Compliance und IT-Asset-Management

Eine moderne IT-Asset-Managementlösung unterstützt Unternehmen dabei, digitale Infrastrukturen umfassend und präzise zu verwalten und die NIS2-Compliance sicherzustellen.

Inventory360 als zentraler Partner für NIS2-Compliance

  • Übersicht und Transparenz aller IT-Assets
    Inventory360 bietet eine vollständige Übersicht über alle IT-Assets – von Servern bis hin zu mobilen Geräten und Softwarelizenzen
  • Echtzeitdaten und automatisierte Updates
    Dank der Echtzeitaktualisierung bietet Inventory360 stets aktuelle Daten über den Zustand der IT-Infrastruktur
  • Risikoanalyse und Schwachstellen-Management
    Inventory360 unterstützt bei der Durchführung regelmäßiger Risikoanalysen und dokumentiert Schwachstellen
  • Automatisierte Berichterstellung für Audits
    Inventory360 liefert detaillierte Reports für Audits und Compliance-Zwecke
  • Effizientes Patch-Management
    Inventory360 erfüllt die NIS2-Anforderungen an schnelle Sicherheitsupdates

Wer prüft NIS2?

Die Umsetzung und Einhaltung von NIS2 wird von den nationalen zuständigen Behörden in jedem EU-Mitgliedstaat überwacht.

In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zuständige Behörde für die Überprüfung und Durchsetzung der NIS2-Anforderungen. Mit dem Referentenentwurf des Bundesinnenministeriums NIS-2UmsuCG soll die Umsetzung der NIS2-Richtlinien erfolgen. Das BSI bietet auch Leitlinien und Empfehlungen zur Umsetzung der NIS2-Anforderungen und ist Anlaufstelle für Meldungen von Sicherheitsvorfällen.

In Österreich ist die Österreichische Datenschutzbehörde (DSB) und das Bundeskanzleramt für die Umsetzung und Überwachung der NIS2-Richtlinie verantwortlich. Sie stellen sicher, dass die nationalen Gesetze und Vorschriften mit den Anforderungen der NIS2 übereinstimmen und überwachen deren Einhaltung.

In der Schweiz ist das Nationale Zentrum für Cybersicherheit (NCSC) die zentrale Anlaufstelle für Cybersicherheitsfragen und verantwortlich für die Koordination der nationalen Cybersicherheitsstrategie. Das NCSC überwacht die Umsetzung von Cybersicherheitsmaßnahmen und unterstützt betroffene Unternehmen.

Wer haftet bei NIS2?

Die Haftung bei NIS2 liegt grundsätzlich bei den Unternehmen und Organisationen, die den Richtlinien unterliegen.

Diese müssen sicherstellen, dass sie alle erforderlichen Maßnahmen zur Absicherung ihrer Netz- und Informationssysteme umsetzen. Bei Verstößen gegen die NIS2-Richtlinie können Unternehmen mit erheblichen Geldbußen und weiteren rechtlichen Konsequenzen rechnen.

Führungshaftung ist ebenfalls ein zentraler Aspekt, wobei auch die Unternehmensleitung persönlich haftbar gemacht werden kann.

Straf- und Bußgeldregelungen bei Nichteinhaltung der NIS2-Richtlinie

Unternehmen, die gegen die NIS2-Richtlinie verstoßen, müssen mit empfindlichen Bußgeldern rechnen. Inventory360 trägt durch präzise Dokumentation und transparente Berichte dazu bei, Bußgelder zu vermeiden und die Compliance sicherzustellen.

  • Die NIS2-Richtlinie sieht strengere Sanktionen und Strafen vor, als es noch NIS1 tat.
  • Bußgelder können bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes eines Unternehmens betragen, je nachdem, welcher Betrag höher ist.

Tatbestände, Höhe und Verstöße

Die Bußgeldtatbestände nach §65 (5)-(7) gelten meist für alle Einrichtungs-Gruppen – einzelne Stellen unterscheiden in der Bußgeldbewährung zwischen den Gruppen.

10 Mio. EUR wenn Umsatz größer 500 Mio. Euro: Bußgeldhöhe 2% vom weltweiten Umsatz

Besonders wichtige Einrichtungen
  • Anordnung des BSI zur Information von Kunden oder Öffentlichkeit über Sicherheitsvorfall wird zuwidergehandelt. §35 (1) Satz 1 oder §36 (2) Satz
  • Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) Satz 1
  • Einhaltung der Vorkehrungen nicht, nicht richtig oder nicht vollständig dokumentiert. §30 (1) Satz 3
  • Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1) Satz 1
  • Abschlussmeldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorgelegt. §32 (2) Satz 2
  • Mitteilungen (an Kunden oder Öffentlichkeit) werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht. §35 (2) Satz 1,2

7 Mio. EUR wenn Umsatz größer 500 Mio. Euro: Bußgeldhöhe 1,4% vom weltweiten Umsatz

Wichtige Einrichtungen
  • Anordnung des BSI zur Information von Kunden oder Öffentlichkeit über Sicherheitsvorfall wird zuwidergehandelt. §35 (1) Satz 1 oder §36 (2) Satz
  • Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) Satz 1
  • Einhaltung der Vorkehrungen nicht, nicht richtig oder nicht vollständig dokumentiert. §30 (1) Satz 3
  • Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1) Satz 1
  • Abschlussmeldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorgelegt. §32 (2) Satz 2
  • Mitteilungen (an Kunden oder Öffentlichkeit) werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht. §35 (2) Satz 1,2

2 Mio. EUR

Hersteller von IT-Systemen
  • Durch BSI angewiesene Mitwirkung an Wieder­herstellung der Sicherheit oder Funktionsfähigkeit eines IT-Systems wird verweigert. §11 (6)
TK-Anbieter
  • Durch BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen. §16 (1) Satz 1 auch i.V.m. §16 (3)
Telemedien
  • Durch BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen. §17 Satz 1
Betreiber kritischer Anlagen: 
  • Geeigneter Nachweis über die erfolgte Mängelbeseitigung wird nicht vorgelegt. §39 (1) Satz 5
    Hinweis: Anwendung von §30 (2) 3 OWiG

1 Mio. EUR

Betreiber kritischer Anlagen
  • Nachweis über Erfüllung der Anforderungen wird nicht richtig oder nicht vollständig erbracht. §39 (1) Satz 1 i.V.m. VO §56 (4) Satz 1
  • Nachweis über Erfüllung der Anforderungen wird nicht oder nicht rechtzeitig erbracht. §39 (1) Satz 1 i.V.m. VO §56 (4) Satz 1

500.000 EUR

Hersteller von IT-Systemen
  • Durch BSI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei IKT-Produkten verweigert. §18
Betreiber kritischer Anlagen
  • Zuwiderhandlung gegen Anordnung des BSI, zur Bewältigung einer Störung notwendige Informationen inkl. personenbezogenen Daten herauszugegeben. §40 (5) Satz 1
Besonders wichtige und wichtige Einrichtungen
  • Zuwiderhandlung gegen Anordnung des BSI zur Vorlage von Nachweisen über die Erfüllung von Verpflichtungen. §61 (3) Satz 1, auch i.V.m. §62
  • Anordnung des BSI zur Umsetzung erforderlicher Maßnahmen nach § 30 (1) Satz 1 inkl. Mängelbeseitigungsplan und Nachweiserbringung wird zuwidergehandelt, oder Frist wird nicht eingehalten. §61 (6) Satz 1 und 3, auch i.V.m. §62
  • Zuwiderhandlung gegen Anordnung des BSI zur Umsetzung von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen, oder nicht fristgerechte Umsetzung. §61 (7) Satz 1 und 3, auch i.V.m. §62
  • Anordnung des BSI zur Unterrichtung oder Öffentlichmachung von Informationen wird zuwidergehandelt. §61 (8), auch i.V.m. §62
  • Angabe oder Änderung bei Registrierung wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §33 (1) oder (2) Satz 1 i.V.m. VO nach §56 (4) Satz 1, oder §34 (1)
TLDN-Registries und Domain-Name-Registry-Dienstleister
  • Vorgaben oder Verfahren zur Sicherstellung genauer und vollständiger Angaben in Datenbank werden nicht eingehalten oder nicht, nicht in der vorgeschrieben Weise oder nicht rechtzeitig zugänglich gemacht. §49 (3) Satz 1 oder §49 (3) Satz 2 oder (4)
  • Zugang zu den Domain-Namen-Registrierungsdaten wird nicht oder nicht rechtzeitig gewährt. §50 (1) Satz 1
Alle
  • Das BSI wird über Änderungen an Registrierungsdaten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet. §34 (2)
  • Nicht-konforme Verwendung eines Zertifikats, einer Erklärung oder eines Kennzeichens nach §52 (2) Satz 4, §53 (1) Satz 4, §54 (6) Satz 2 oder §55 (4) Satz 1
  • Tätig als akkreditierte Konformitätsbewertungsstelle ohne Erlaubnis. §53 (3) Satz 2 oder §54 (2) Satz 2
  • Vorsätzlicher oder fahrlässiger Verstoß gegen (EU) 2019/881 über ENISA und Zertifizierung: Angaben oder Information nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig.

100.000 EUR

Alle
  • Zuwiderhandlung durch Hersteller gegen Anordnung zur Auskunft zu Produkten und Systemen, insb. auch technischen Details. §14 (2) Satz 1
  • Kontaktstelle ist nicht erreichbar. §33 (2) Satz 2
Besonders wichtige Einrichtungen
  • Betreten eines Raums nicht gestattet oder Aufzeichnung, Schriftstück oder Unterlage nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorgelegt oder Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt. §61 (5) Satz 3
Betreiber kritischer Anlagen
  • Fahrlässig einen Nachweis nicht richtig oder nicht vollständig erbringen. §39 (1) Satz 1

Quelle: https://www.openkritis.de/betreiber/bussgelder-kritis-bsig.html#nis2

Schutz kritischer Infrastrukturen

NIS2 legt besonderen Wert auf den Schutz kritischer Infrastrukturen, da deren Ausfall weitreichende Auswirkungen auf Gesellschaft und Wirtschaft haben könnte.

Dies umfasst auch die Einführung von Mindeststandards für Cybersicherheit und regelmäßige Risikobewertungen.

NIS2 und andere Compliance-Vorgaben

Jeder Mitgliedstaat muss einen nationalen Umsetzungsplan entwickeln, der detailliert beschreibt, wie die Anforderungen der NIS2-Richtlinie erfüllt werden. Diese Pläne müssen regelmäßigen Überprüfungen unterzogen und gegebenenfalls angepasst werden.

NIS2 ergänzt andere regulatorische Rahmenwerke wie die DSGVO und das IT-Sicherheitsgesetz. Während die DSGVO den Schutz personenbezogener Daten fokussiert, liegt der Schwerpunkt von NIS2 auf der Cybersecurity kritischer Infrastrukturen.

Checkliste für erfolgreiche NIS2

Um die Anforderungen der NIS2-Richtlinie zu erfüllen, sind folgende Best Practices empfehlenswert:

  1. Rechtsvorschriften verstehen:
    • Informieren Sie sich über die NIS2-Richtlinie und ihre Umsetzung in nationales Recht

  2. Betroffene Sektoren identifizieren:
    • Bestimmen Sie, ob Ihr Unternehmen zu den in NIS2 definierten wesentlichen oder wichtigen Diensten gehört

  3. Sicherheitsmaßnahmen ergreifen:
    • Implementieren Sie geeignete technische und organisatorische Maßnahmen zur Sicherung Ihrer Netz- und Informationssysteme

  4. Meldestellen kennen:
    • Richten Sie Mechanismen zur Meldung von Sicherheitsvorfällen an die zuständigen Behörden (z.B. BSI) ein

  5. Kontrollen und Prüfungen durchführen:
    • Führen Sie regelmäßige Sicherheitsüberprüfungen und Audits durch, um die Einhaltung der NIS2-Anforderungen sicherzustellen

  6. Mitarbeiterschulung:
    • Schulen Sie Ihre Mitarbeiter regelmäßig zu Cybersicherheitsrichtlinien und -Praktiken

  7. Kooperation und Informationsaustausch:
    • Arbeiten Sie mit nationalen und internationalen Cybersicherheitsnetzwerken zusammen und tauschen Sie Informationen zu Bedrohungen und Sicherheitsvorfällen aus

  8. Dokumentation und Berichterstattung:
    • Halten Sie detaillierte Aufzeichnungen über Ihre Sicherheitsmaßnahmen und Berichte über Sicherheitsvorfälle

Fazit - Wie Inventory360 Unternehmen zur NIS2-Compliance verhilft

Die NIS2-Richtlinie setzt neue Maßstäbe im Bereich der Cybersicherheit und fordert Unternehmen heraus, ihre IT-Sicherheitsstandards zu überprüfen und auf den neuesten Stand zu bringen.

Sie erweitert den Geltungsbereich und die Anforderungen der ursprünglichen NIS-Richtlinie und verpflichtet eine Vielzahl von Unternehmen und Organisationen zur Umsetzung strenger Sicherheitsmaßnahmen.

Unternehmen müssen proaktiv handeln, um ihre Netz- und Informationssysteme zu schützen, regelmäßige Sicherheitsüberprüfungen durchzuführen und ihre Mitarbeiter zu schulen.

Durch die Zusammenarbeit mit nationalen Behörden wie dem BSI und die Einhaltung der vorgeschriebenen Maßnahmen können Unternehmen nicht nur rechtliche Konsequenzen vermeiden, sondern auch ihre langfristige Sicherheit und Wettbewerbsfähigkeit sichern.

Inventory360 stellt eine umfassende Lösung für das IT-Asset-Management dar und ist ein unverzichtbares Werkzeug, um die NIS2-Richtlinie erfolgreich umzusetzen und zukünftige Cyber-Herausforderungen zu meistern.

Alexander Ritter
Alexander Ritter Autor

Head of Sales & Marketing

Herr Ritter verantwortet bei der EntekSystems die Bereiche Sales & Marketing, vom Management der Teams, bis hin zu Marketingkampagnen, Markenstrategien und Wachstumsplänen.

Inventory360 jetzt kostenlos testen

Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.

Mehr erfahren

Weitere Artikel und Beiträge

26.11.2024 Was ist WMI? Definition und Maßnahmen

Im digitalen Zeitalter ist WMI ein unverzichtbares Werkzeug für die Verwaltung und Überwachung von Windows-Systemen. Doch WMI birgt auch potenzielle Sicherheitsrisiken, die IT-Administratoren kennen sollten.

15.10.2024 Warum sind QR-Codes in der Inventarverwaltung gefährlich?

QR-Codes sind in der Inventarverwaltung oft zu langsam, unsicher und überdimensioniert. Andere 1D-Barcodes bieten hingegen schnellere Scans, mehr Sicherheit und Effizienz. Warum also noch an QR-Codes festhalten?

08.10.2024 Was ist Quishing?

Während klassische Phishing-Angriffe mittlerweile gut bekannt sind, gibt es eine neue, raffinierte Bedrohung, die auf den ersten Blick harmlos erscheint: Quishing. Doch wie funktioniert Quishing genau, und wie können wir uns davor schützen?