Die Konsequenzen für Unternehmen und öffentliche Körperschaften im Überblick
Am 10. November 2022 hat das europäische Parlament dem Entwurf über die NIS-Direktive zugestimmt. EU NIS 2 erweitert betroffene Unternehmen ab 2022/23 deutlich –16 Sektoren und viele Cyber Security Pflichten.[1] EU NIS 2 löst die bisherige NIS-Direktive ab und muss nach Verabschiedung in der EU innerhalb 21 Monaten in nationales Recht überführt werden. In Deutschland bedeutet dies eine Aktualisierung des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) und der Kritis-V.
Neuerungen NIS 2
Sektoren +8: Die kritischen Essential Sektoren erhöhen sich um drei, die Sektoren von Important Entities wachsen um fünf — auf insgesamt sechzehn NIS2 Sektoren.
Geltungsbereich der Betreiber: Medium und Large Enterprises ab 50 Mitarbeiter sowie Unternehmen mit mehr als 10 Mio. EUR Umsatz und mehr als 10 Mio. Bilanzsumme sind betroffen, ohne Anlagen-Schwellenwerte o.ä. Methodik.
Cyber Security: Cyber Security muss auch in der gesamten Lieferketten betrachtet werden. Beispiel Dienstleister, Provider (z. B. Rechenzentrum, IaaS, SaaS) etc.
Kooperation: Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern werden vertieft, europäische Jurisdiktion geschärft. Neu ist, dass die Behörden nicht nur auf konkreten Anlass hin Prüfungen vornehmen können, sondern auch “ins Blaue hinein” prüfen können. Auch automatische Scans sind nun zulässig.
Sanktionen: Haftbarkeit wird erweitert & Strafen deutlich ausgeweitet. Eine persönliche Haftung der Verantwortlichen wurde verankert.
Betreiber und Sektoren
Wer wird reguliert?
Nach NIS 2 Direktive werden insgesamt 16 Sektoren von Betreibern reguliert. Hier wird unterschieden zwischen 10 Essential Entities (kritische Sektoren) und 6 Important Entities (wichtige Sektoren).
Wichtig! -> Digitale Infrastruktur der kritischen Sektoren werden in Zukunft unabhängig der Größe oder Schwellwerte reguliert! Das Gleiche gilt für Betreiber der wichtigen Sektoren bei z.B. nationaler Monopolstellung, besonderer Wichtigkeit, Cross-Border Abhängigkeiten etc.
Sonstige Schwellwerte:
Mittel (medium): 50-250 Beschäftigte und,10-50 Mio. EUR Umsatz, ‹ 43 Mio. EUR Bilanz
Groß (large): › 250 Beschäftigte, › 50 Mio. EUR Umsatz, › 43 Mio. EUR Bilanz
Voraussichtlich nicht betroffen sind folgende Ausschlüsse:
Kleinst (micro): ‹ 9 Beschäftigte und ‹ 2 Mio. EUR Umsatz oder Bilanzsumme
Klein (small): ‹ 49 Beschäftigte und ‹ 10 Mio. EUR Umsatz oder Bilanzsumme
Essential und Important Sektoren
Essential Sektoren entsprechen dabei im Großen und Ganzen den deutschen KRITIS Betreibern.
Gesundheit: z. B. Healthcare Provider, EU Labore, Medizinforschung, Pharmazeutik, Medizingeräte
Trinkwasser: Wasserversorgung
Abwasser: Abwasserversorgung
Transport: Luft, Schiene, Wasser, Straße
Banken: z. B. Kreditinstitute
Finanzmärkte: z. B.Handelsplätze, Börsen
Digitale Infrastruktur: z. B. Cloud Provider, Rechenzentren, Elektr. Kommunikation, IXPs etc.
Energie: Elektrizität, Fernwärme, Öl, Gas etc.
Öffentliche Verwaltung: Landesregierung, Regierungsbezirke, Institutionen der Zentralregierung
Raumfahrt
Important Sektoren
Post und Kurier
Abfallwirtschaft
Chemikalien
Ernährung
Industrie
Digitale Dienste
Bildung und Forschung
Maßnahmen
Die NIS2-Direktive legt für Betreiber Mindestanforderungen an Cyber Security fest.
Folgende Maßnahmen müssen Betreiber und Unternehmen durchführen und umsetzen, um ihre IT und Infrastruktur zu schützen.
Policies: Richtlinien für Risiken und Informationssicherheit
Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
Kontinuität: BCM und Krisenmanagement
Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
Test und Audit: Methoden zur Messung der Effektivität von Informationssicherheit
Kryptographie: Angemessener Einsatz von Verschlüsselung
–> Hier wird explizit auf die zwingende Einführung eines Informationssicherheitsmanagementsystems (z.B. ISO 27001) abgezielt.
Wie diese Maßnahmen überwacht & gemeldet werden, welche Standards hierfür vorgesehen sind und inwieweit die Umsetzung der Compliance Vorgaben beaufsichtigt wird, erfahren Sie in Part 2.
[1] https://www.europarl.europa.eu/doceo/document/TA-9-2022-0383_EN.html