NIS 2 Directive.

NIS 2 ist die EU-Richtlinie, die Vorstände und Geschäftsleitungen persönlich in die Pflicht nimmt. Mittelgroße und größere Unternehmen in einem der 18 aufgeführten Sektoren fallen in den Anwendungsbereich. Die Uhr läuft ab dem ersten erheblichen Vorfall: Frühwarnung innerhalb von 24 Stunden, Meldung innerhalb von 72 Stunden, vollständiger Bericht nach einem Monat. Die Sanktionen sind empfindlich (10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes). Der Umsetzungsstand variiert von Land zu Land.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyEU regulationsAll entries

Die Einschätzung der Cyber Academy

NIS 2 ist die EU-Richtlinie, die Vorstände und Geschäftsleitungen persönlich in die Pflicht nimmt. Mittelgroße und größere Unternehmen in einem der 18 aufgeführten Sektoren fallen in den Anwendungsbereich. Die Uhr läuft ab dem ersten erheblichen Vorfall: Frühwarnung innerhalb von 24 Stunden, Meldung innerhalb von 72 Stunden, vollständiger Bericht nach einem Monat. Die Sanktionen sind empfindlich (10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes). Der Umsetzungsstand variiert von Land zu Land.

Was NIS 2 tatsächlich ändert

NIS 2 ist die zweite Fassung der EU-Richtlinie zur Netz- und Informationssicherheit und erweitert den Anwendungsbereich gegenüber der ursprünglichen NIS-Regelung erheblich. Während sich die erste Richtlinie darauf stützte, dass nationale Behörden Betreiber wesentlicher Dienste fallweise identifizieren, legt NIS 2 selbstidentifizierende Kriterien fest: Wer in einem der aufgeführten Sektoren tätig ist und die Größenschwelle überschreitet, fällt in den Anwendungsbereich und wird angehalten, dies zu wissen. Die Richtlinie ordnet die betroffenen Organisationen zwei Stufen zu, "wesentlichen" und "wichtigen" Einrichtungen, was sich vor allem darauf auswirkt, wie Aufsicht und Durchsetzung angewandt werden, und weniger auf die grundlegenden Pflichten selbst.

Der zentrale Wandel betrifft die Rechenschaftspflicht. NIS 2 macht die Leitungsorgane für die Genehmigung und Überwachung der Maßnahmen zum Cybersicherheits-Risikomanagement verantwortlich und erwartet von ihnen, an Schulungen teilzunehmen, damit sie diese Aufsicht tatsächlich ausüben können. Sicherheit ist nicht länger etwas, das die IT-Abteilung still und leise verantwortet, sondern wird zu einem Governance-Thema, das die Geschäftsleitung freigeben muss. Das ist der praktische Grund, warum die Richtlinie so oft damit zusammengefasst wird, dass sie "die Leitungsebene in die Pflicht nimmt".

Anwendungsbereich, Sektoren und der Größentest

Der Anwendungsbereich beruht auf zwei Fragen: Sind Sie in einem aufgeführten Sektor tätig, und sind Sie groß genug? Die Richtlinie deckt Sektoren ab, die in die Kategorien "hohe Kritikalität" und "sonstige kritische Sektoren" unterteilt sind, und umfasst Energie, Verkehr, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Postdienste, die Herstellung bestimmter Erzeugnisse, Lebensmittel und mehr.

Der Größentest erfasst in der Regel mittlere und große Organisationen, wobei kleinere Einrichtungen mitunter einbezogen werden, wenn ihre Rolle unabhängig von der Mitarbeiterzahl kritisch ist. Da die Mitgliedstaaten zusätzliche Einrichtungen benennen können, besteht der einzig sichere Ansatz darin, die eigenen Tätigkeiten anhand der Sektoranhänge abzugleichen, statt anzunehmen, man sei zu klein, um relevant zu sein.

Die Uhr für die Meldung von Sicherheitsvorfällen

Was die Praktiker am unmittelbarsten spüren, ist die Meldefrist, die bei einem erheblichen Sicherheitsvorfall greift. Sie läuft in Stufen ab: eine Frühwarnung innerhalb von 24 Stunden, eine umfassendere Meldung innerhalb von 72 Stunden und ein Abschlussbericht nach einem Monat, wobei die zuständige Behörde oder das CSIRT der Empfänger ist. Sinn des gestuften Modells ist es, Vorfälle schnell sichtbar zu machen, ohne bereits am ersten Tag ein vollständiges forensisches Bild zu erzwingen. Um sie einzuhalten, brauchen Sie eine Erkennung, die Erheblichkeit rasch kennzeichnet, einen Entscheidungsverantwortlichen, der einen Vorfall einstufen kann, und vorab erstellte Meldevorlagen, damit die Uhr Sie nicht beim Schreiben von Grund auf erwischt.

Untermauert wird die Frist durch Risikomanagementpflichten, die sich wie eine vertraute Grundlage lesen: Behandlung von Vorfällen, Geschäftskontinuität und Backups, Sicherheit der Lieferkette, sichere Entwicklung und Wartung, Umgang mit Schwachstellen, Einsatz von Kryptografie, Zugriffskontrolle und Multi-Faktor-Authentifizierung sowie Richtlinien, um zu testen, wie gut all dies funktioniert. Nichts davon ist exotisch. Eine Organisation mit einem ausgereiften ISMS, etwa ausgerichtet an ISO 27001, deckt bereits den Großteil des Terrains ab; die Arbeit besteht darin, bestehende Kontrollen den Erwartungen von NIS 2 zuzuordnen und die Lücken in Governance und Meldung zu schließen.

Was es in der Praxis bedeutet, in den Anwendungsbereich zu fallen

Wenn Sie zu dem Schluss kommen, dass Sie in den Anwendungsbereich fallen, ist das praktische Programm recht einheitlich: sich bei der zuständigen nationalen Behörde registrieren, soweit erforderlich, die Aufsicht über das Cyberrisiko auf Leitungsebene formalisieren, Ihre Risikomanagementmaßnahmen anhand der Überschriften der Richtlinie dokumentieren, einen Prozess zur Einstufung und Meldung von Vorfällen aufbauen, der die Fenster von 24/72 Stunden und einem Monat einhalten kann, und die Sorgfaltspflicht auf Ihre Lieferkette ausdehnen, da Lieferanten ausdrücklich Teil des Risikobildes sind.

Die Durchsetzung hat Zähne, mit Geldbußen, die in die zweistelligen Millionen Euro reichen oder einen Prozentsatz des weltweiten Umsatzes ausmachen, sowie der Möglichkeit einer Verantwortlichkeit der Geschäftsleitung, was genau der Grund ist, warum die Richtlinie die Verantwortung nach oben verlagert.

Frequently asked questions

01Woran erkenne ich, ob meine Organisation in den Anwendungsbereich von NIS 2 fällt?

Prüfen Sie zwei Dinge: ob Sie in einem der in der Richtlinie aufgeführten Sektoren tätig sind und ob Sie die Größenschwelle erfüllen, die in der Regel mittlere und große Organisationen erfasst. Einige kleinere Einrichtungen werden einbezogen, wenn ihre Rolle kritisch ist, und die Mitgliedstaaten können weitere benennen; gleichen Sie daher Ihre Tätigkeiten anhand der Sektoranhänge ab, statt Annahmen zu treffen.

02Wie lauten die Meldefristen für Sicherheitsvorfälle nach NIS 2?

Bei einem erheblichen Sicherheitsvorfall läuft die Uhr in Stufen: eine Frühwarnung innerhalb von 24 Stunden, eine Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Empfänger ist die zuständige nationale Behörde oder das CSIRT.

03Was ist der Unterschied zwischen NIS 1 und NIS 2?

NIS 2 erweitert den Anwendungsbereich auf mehr Sektoren und verwendet selbstidentifizierende Größenkriterien, statt sich hauptsächlich darauf zu verlassen, dass nationale Behörden Betreiber benennen. Sie stärkt zudem die Meldung von Vorfällen, die Sicherheit der Lieferkette und macht, ganz entscheidend, die Leitungsorgane unmittelbar für Cybersicherheitsmaßnahmen verantwortlich.

04In welchem Verhältnis steht NIS 2 zu ISO 27001?

Sie überschneiden sich inhaltlich stark. Ein an ISO 27001 ausgerichtetes ISMS adressiert bereits die meisten Risikomanagementmaßnahmen von NIS 2, etwa die Behandlung von Vorfällen, Geschäftskontinuität, Zugriffskontrolle und Kryptografie. ISO 27001 ist ein zertifizierbarer Standard, den Sie freiwillig übernehmen, während NIS 2 eine gesetzliche Pflicht ist; die praktische Aufgabe besteht darin, Ihre bestehenden Kontrollen der Richtlinie zuzuordnen und die Lücken bei Meldung und Governance zu schließen.

05Warum spricht NIS 2 so viel über die Verantwortung der Geschäftsleitung?

Weil sie die Leitungsorgane für die Genehmigung und Überwachung der Maßnahmen zum Cybersicherheits-Risikomanagement verantwortlich macht und von ihnen erwartet, dafür geschult zu sein. Sicherheit wird zu einem Governance-Thema auf Leitungsebene, und die Verantwortlichkeit kann bei der Führungsebene liegen, nicht nur bei der IT-Funktion.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.