Das Thema NIS 2 ist derzeit in aller Munde. NIS steht hierbei für Richtlinie zur Netzwerk- und Informationssicherheit. Die Zwei weist darauf hin, dass es sich um eine überarbeitete Version der ursprünglichen EU-Richtlinie von 2016 handelt.
Wieso gibt es NIS 2?
Aufgrund der steigenden Zahl und Schwere von Cyberangriffen verfolgt der europäische Gesetzgeber das Ziel, die Sicherheitsstruktur innerhalb der gesamten EU zu stärken. Auf Grundlage der überarbeiteten Richtlinie sind nun betroffene Organisationen aufgefordert ein umfangreiches Spektrum an Schutzmaßnahmen zu implementieren bzw. bestehende Maßnahmen zu verbessern.
Die Besonderheit der überarbeiteten Richtlinie ist hierbei, dass innerhalb des Textes klar definierte Bereiche existieren, welche im Rahmen der Maßnahmen zur Unternehmenssicherheit adressiert werden müssen.
Diese sollen den Stand der Technik einhalten und lauten wie folgt:
- Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Für Betreiber kritischer Anlagen gelten hierbei noch weiter verschärfte Regelungen hinsichtlich der Implementierung von Systemen zur Angriffserkennung. Zudem besteht hier künftig eine Nachweispflicht im Dreijahresrhythmus!
Verschärfte Meldepflichten
Gegenüber den existierenden Regelungen im Rahmen der DSGVO sind Unternehmen, welche unter NIS 2 fallen, weiter verschärften Meldepflichten unterworfen. So beträgt beispielsweise die Meldefrist bei Auftreten eines erheblichen Sicherheitsvorfalls nun 24 Stunden.
Mehr Verantwortung für Entscheider
- 38 der Richtlinie nennt explizit die Verantwortung der Geschäftsleitung für die Implementierung und Überwachung notwendiger Maßnahmen. Absatz zwei sieht überdies vor, dass ein pauschaler Verzicht auf Ersatzansprüche aufgrund von Pflichtverstößen gegen diese Vorgabe unwirksam ist.
Wer ist betroffen?
Die Richtlinie unterscheidet nach wichtigen, besonders wichtigen und kritischen Einrichtungen. Unter wichtige Einrichtungen fallen hierbei bereits Unternehmen, welche 50 – 249 Mitarbeiter beschäftigen oder einen Umsatz von mehr als 10 Mio. EUR sowie eine Bilanzsumme von > 10 Mio. EUR aufweisen.
Im Rahmen der wichtigen Einrichtungen, muss das Unternehmen folgenden Sektoren zuordenbar sein:
- Energie
- Verkehr
- Banken und Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser und Abwasser
- Digitale Infrastruktur (IKT, Online-Plattformen, Cloud-Computing)
- Post und Kurierdienste
- Chemie
- Forschung
- Verarbeitendes Gewerbe
- Entsorgung
Jedes Unternehmen ist verpflichtet selbständig zu ermitteln, ob es unter diese Regelungen fällt und sich in der Folge beim BSI zu registrieren. Die entsprechende Anmeldeseite soll rechtzeitig von der Behörde zur Verfügung gestellt werden.
Wie kann man die Betroffenheit ermitteln?
Das BSI stellt eine Onlineabfrage hierfür zur Verfügung. Diese ist über folgenden Link erreichbar:
BSI – NIS-2-Betroffenheitsprüfung (bund.de)
Eine Übersicht zu den für die Onlineabfrage benötigten Sektoren und den darunterfallenden Unternehmensarten findet sich in diesem Link:
KS-RA-07-015-DE.PDF (europa.eu)
Die Anzahl der von NIS 2 betroffenen Unternehmen ist umfangreich. Als plakatives Beispiel für wichtige Einrichtungen aus dem Sektor „Verarbeitendes Gewerbe“ fallen auch folgende Unternehmen mit mehr als 50 Mitarbeitern unter die Richtlinie.
NIS 2, Anlage 2, Ziffer 5.4: „Maschinenbau“, hierzu Abschnitt C Abt. 28 NACE:
- 214 u.a. Herstellung von Sanitärarmaturen
- 28.15 u.a. Herstellung von Kugel- und Rollenlagern sowie Teile davon
Wie unterstützen wir Sie?
Die NIS 2-Richtlinie hat im Wesentlichen Einfluss auf die Bereiche D&O-Versicherung und Cyberversicherung.
Wir unterstützen Sie bei der Implementierung von Cyberversicherungslösungen als Teil Ihrer ganzheitlichen IT-Sicherheitsstrategie und helfen Ihnen hierdurch, das Haftungs- und Compliance-Risiko zu reduzieren.
Im Rahmen der D&O-Versicherung beraten wir Sie gerne über Lösungen zur Absicherung des finanziellen Risikos aus Managementfehlern, welche im Zuge der Umsetzung von NIS 2 auftreten können.
Sprechen Sie uns gerne an!