NIS-2-Richtlinie für den digitalen Sektor
Ihre Expertin für Fragen
Dr. Silvia Knittl
Director, Cyber Security & Privacy bei PwC Deutschland
Tel.: +49 151 15480524
E-Mail
Was die europäische NIS-2-Richtlinie für den digitalen Sektor bedeutet
Die wachsende Digitalisierung und Vernetzung sämtlicher Wirtschaftsbereiche führen zu einer verstärkten Abhängigkeit von digitalen Infrastrukturen und IT-Dienstleistungen. Unternehmen setzen in zunehmendem Maße digitale Prozesse und Dienste ein, um ihre Betriebsabläufe zu optimieren. Hierbei spielt die IT-Infrastruktur eine entscheidende Rolle. Sie bildet das Fundament für die digitale Transformation und ist damit ein attraktives Ziel für Angreifende.
Die Konsequenzen von Cyberangriffen betreffen die Integrität, Vertraulichkeit und Verfügbarkeit von Daten und IT-Infrastrukturen und können fatale Auswirkungen haben: Wird beispielsweise ein Rechenzentrum durch einen Angriff lahmgelegt, so können schlagartig eine Vielzahl weiterer Organisationen betroffen sein, die die Infrastruktur des Anbieters nutzen. Dadurch werden die Dienste der Organisationen, die nicht direkte Opfer des Angriffes geworden sind, stark beeinträchtigt. Unternehmen sehen sich durch derartige Angriffe mit Rufschädigung und finanziellen Verlusten konfrontiert.
„Die NIS-2-Richtlinie unterstützt Unternehmen im digitalen Sektor dabei, Sicherheit und Resilienz in der eigenen Organisation aufzubauen. Dies ist in unserer zunehmend vernetzten Welt von entscheidender Bedeutung für die Gestaltung unserer digitalen Zukunft. Gleichzeitig schärft sie die Konsequenzen für die Nichteinhaltung und macht die Geschäftsleitung vermehrt für die Einhaltung und Haftung verantwortlich.“
Neuerungen, Pflichten und Sanktionen für digitale Infrastrukturen und IT-Dienste
Um das Risiko durch Cyberangriffe zu minimieren, wurde 2017 die Verpflichtung zur Umsetzung der NIS-Richtlinie als Gesetz auf EU-Ebene verkündet. Ziel der Richtlinie ist der europaweite Aufbau nationaler Kapazitäten für die Cybersicherheit, eine stärkere Zusammenarbeit der EU-Mitgliedstaaten sowie das Etablieren von Mindestsicherheitsanforderungen und Meldepflichten für wichtige Einrichtungen.
Um mit der fortschreitenden Digitalisierung und der wachsenden Bedrohungslandschaft für Cybersicherheit Schritt zu halten, hat die EU die bestehende Richtlinie durch die 2023 in Kraft getretene NIS-2-Richtlinie aktualisiert. Sie beinhaltet neue Schwellenwerte für die Klassifizierung betroffener Einrichtungen, neue Pflichten und Sanktionen, aber auch neue Risiken, die es für betroffene Einrichtungen zu beachten gilt.
Pflichten
Organisationen des digitalen Sektors unterliegen neuen Registrierungs-, Nachweis-, sowie Melde- und Unterrichtungspflichten gegenüber dem BSI.
Mehrstufiges Meldeverfahren
Organisationen müssen sich an ein mehrstufiges Meldeverfahren für Sicherheitsvorfälle halten, das sowohl eine Erstmeldung, Zwischenmeldungen und eine Abschlussmeldung beinhaltet.
Verantwortung der Geschäftsleitung
Die Geschäftsleitung erhält mehr Verantwortung im Bezug auf Haftungsrisiken, neue Pflichten und die Weiterbildung ihrer Kenntnisse und die ihrer Mitarbeitenden.
Sanktionen bei Verstößen
10 Mio. EUR oder mind. 2 % des Vorjahresumsatzes müssen wesentliche Einrichtungen und KRITIS-Betreiber zahlen, wichtige Einrichtungen bis zu 7 Mio. EUR oder mind. 1,4 % des Vorjahresumsatzes.
Aufsichts- und Durchsetzungsbefugnisse
Die Einhaltung der Anforderungen kann jederzeit durch das BSI überprüft werden. Es kann außerdem Überwachungsbeauftragte für Organisationen festlegen und Zertifizierungen entziehen.
Sie haben Fragen zu Ihrer Betroffenheit oder den Aufgaben, die auf Sie zukommen?
Kontaktieren Sie uns
Konkrete Insights für Betroffene
Von der NIS-2-Richtlinie sind besonders wichtige und wichtige Einrichtungen betroffen. Unterschieden werden diese durch ihre Kritikalität, d. h. besonders wichtige Einrichtungen bieten Dienste mit einer höheren Kritikalität als sogenannte wichtige Einrichtungen an. Dementsprechend sind besonders wichtige Einrichtungen beispielsweise von empfindlicheren Sanktionen und Strafen bei einer Richtlinienverletzung betroffen als wichtige Einrichtungen. Ob Ihr Unternehmen oder Ihre Institution als eine dieser Einrichtungen klassifiziert wird, darüber informieren Sie die Behörden jedoch nicht. Es obliegt also Ihnen selbst, anhand von Kriterien eine eigene Beurteilung vorzunehmen. Zu Ihrer Orientierung fassen wir daher die Schwellenwerte zur Klassifizierung als besonders wichtige oder wichtige Einrichtung aus dem digitalen Sektor zusammen:
NIS-2 im digitalen Sektor – wer ist betroffen?
Neue Verpflichtungen für Organisationen des Sektors digitale Infrastrukturen und IT-Dienstleister und ihre Geschäftsleitung
Die NIS-2-Richtlinie bringt für die Geschäftsleitung nun auch Haftungsrisiken und verschiedene Pflichten, wie Registrierungs-, Überwachungs- und Nachweispflichten mit. Zudem muss sie sich mit der Weiterbildung ihrer eigenen und der Kenntnisse ihrer Mitarbeitenden auseinandersetzen. Die Geschäftsleitung von Kritischen Infrastrukturen hat darüber hinaus noch weitere Anforderungen.
- Haftungsrisiken für die Geschäftsleitung
- Billigungs- und Überwachungspflichten
- Registrierungspflicht
- Nachweispflicht
- Meldepflichten, Rückmeldungen
- Unterrichtungspflichten
- Schulungen und Fachkenntnisse
- KRITIS-Betreibende
Haftungsrisiken für die Geschäftsleitung
Die Geschäftsleitung trägt die Verantwortung dafür, dass angemessene Maßnahmen zur Sicherung der IT-Systeme und -Prozesse ergriffen werden. Dazu gehören unter anderem die Implementierung von Sicherheitsrichtlinien, die regelmäßige Überprüfung der IT-Infrastruktur auf Schwachstellen sowie die Schulung der Mitarbeitenden im Umgang mit IT-Sicherheit.
Bei Verletzung der Überwachungspflichten haftet die Geschäftsleitung für die entstandenen Schäden, außer die Leitungsperson kann die entsprechenden Schäden nicht bezahlen, dann kann ein Vergleich mit Kreditgebenden erfolgen.
Billigungs- und Überwachungspflichten
Die Geschäftsleitung von besonders wichtigen Einrichtungen und wichtigen Einrichtungen hat eine besondere Verantwortung in Bezug auf das Risikomanagement. Sie muss die ergriffenen Maßnahmen zur Risikominimierung billigen und deren Umsetzung überwachen. Dabei ist es nicht zulässig, Dritte mit dieser Aufgabe zu beauftragen.
Registrierungspflicht
Die Geschäftsleitung von besonders wichtigen und wichtigen Einrichtungen für digitale Infrastrukturen und IT-Dienste ist für die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von drei Monaten, nach Beginn der Wirksamkeit von NIS-2, verantwortlich. Bei Betreibern Kritischer Infrastrukturen ist die Geschäftsleitung dafür verantwortlich, ihre Organisation umgehend zu registrieren. Wird dies versäumt, können hohe Bußgelder drohen.
Nachweispflicht
Gemäß der NIS-2-Richtlinie müssen Einrichtungen für digitale Infrastrukturen und IT-Dienste innerhalb von spätestens vier Jahren nach Inkrafttreten der Richtlinie dem BSI geeignete Maßnahmen durch Audits, Zertifizierungen oder Prüfungen nachweisen. Dieser Nachweis muss im zweijährlichen Rhythmus fortgeführt werden. Das BSI hat die Möglichkeit, die genauen Verfahren zur Nachweisführung konkret festzulegen. Es ist von großer Bedeutung, dass diese Maßnahmen eingehalten und regelmäßig überprüft werden, um die Sicherheit der digitalen Infrastrukturen und IT-Dienste zu gewährleisten.
Meldepflichten, Rückmeldungen
Kritische, besonders wichtige und wichtige Einrichtungen für digitale Infrastrukturen und IT-Dienstleister, mit Ausnahme der Betreiber von öffentlichen Telekommunikationsnetzwerken, sind verpflichtet, sich an ein 4-stufiges Modell für Meldezeitpunkte zu halten. Im Falle von Sicherheitsvorfällen müssen diese Einrichtungen Meldungen an das BSI und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) erstatten. Es ist von großer Bedeutung, dass diese Meldepflichten eingehalten werden, um eine effektive Reaktion auf Sicherheitsvorfälle zu gewährleisten und die digitale Infrastruktur sowie die IT-Dienstleistungen zu schützen.
Unterrichtungspflichten
Wesentliche und besonders wichtige Einrichtungen sind verpflichtet, bei erheblichen Sicherheitsvorfällen die Empfangenden ihrer Dienste darüber zu informieren. Dies betrifft insbesondere IT-Dienstleister sowie Einrichtungen für digitale Infrastruktur und Telekommunikation. Um angemessen auf solche Vorfälle zu reagieren, müssen diese Einrichtungen Maßnahmen oder Abhilfemaßnahmen sowohl dem BSI, als auch den Empfangenden ihrer Dienste mitteilen.
Schulungen und Fachkenntnisse
Besonders wichtige und wichtige Einrichtungen müssen regelmäßige Schulungen für Geschäftsleitung und Mitarbeitende anbieten. Diese Schulungen dienen dazu, das Bewusstsein für Sicherheitsrisiken zu schärfen und die Kenntnisse im Umgang mit möglichen Angriffen zu verbessern.
Für Betreiber kritischer Anlagen besteht eine Verpflichtung zur Schulung zum Einsatz von Angriffserkennungssystemen. Diese Schulungen sollen sicherstellen, dass die Betreiber in der Lage sind, potenzielle Angriffe frühzeitig zu erkennen und angemessen darauf zu reagieren.
Zusätzlich ist es erforderlich, eine geeignete Kontaktstelle beim BSI zu registrieren. Diese Kontaktstelle soll sicherstellen, dass die betreffende Einrichtung über ausreichendes Fachwissen verfügt, um angemessen auf Sicherheitsvorfälle reagieren zu können. Die Registrierung dient somit der Sicherstellung der fachlichen Eignung der Einrichtung.
KRITIS-Betreibende
Betreibende von Kritischen Infrastrukturen müssen zusätzlich besondere Punkte beachten. Der Einsatz von Systemen zur Angriffserkennung ist relevant, um potenzielle Bedrohungen im laufenden Betrieb frühzeitig zu identifizieren. Diese Systeme ermöglichen es, verdächtige Aktivitäten zu erkennen und entsprechende Gegenmaßnahmen einzuleiten.
Zusätzlich ist es wichtig, geeignete Beseitigungsmaßnahmen zu ergreifen, um die Auswirkungen eines Angriffs zu minimieren und die Sicherheit der Einrichtung zu gewährleisten.
Ein weiterer Teil der Nachweisanforderung beinhaltet die Möglichkeit von ad hoc Prüfungen. Dies bedeutet, dass unangekündigte Überprüfungen durchgeführt werden können, um die Wirksamkeit der Sicherheitsmaßnahmen zu überprüfen.
Beim erstmaligen Einsatz einer kritischen Komponente ist es erforderlich, dies dem Bundesministerium des Innern (BMI) anzuzeigen. Dadurch wird sichergestellt, dass potenzielle Risiken erkannt werden und angemessen darauf reagiert werden kann. Das BSI hat zudem das Recht, den Einsatz einer solchen Komponente zu untersagen, wenn eine Gefahr von Spionage oder Terrorismus besteht.
Mit ESA zu sicheren digitalen Infrastrukturen – wie wir Sie bei NIS-2 unterstützen
Die NIS-2-Richtlinie stellt Einrichtungen für digitale Infrastrukturen und IT-Dienstleistung durch die neuen Anforderungen vor eine große Herausforderung. Eine durchdachte IT-Sicherheitsarchitektur kann diesen Einrichtungen dabei helfen, ihre Sicherheitsmaßnahmen an die Anforderung der Richtlinie anzupassen.
Die von uns entwickelte Enterprise Security Architecture (ESA) bietet einen ganzheitlichen und präventiven Ansatz zur Überprüfung der aktuellen Sicherheitsarchitektur auf Schwachstellen und Potenziale eines Unternehmens, entwickelt daraus Maßnahmen für ein Zielbild und begleitet die Implementierung der zuvor entwickelten Sicherheitsmaßnahmen.
Der ESA-Ansatz wurde von uns auf Grundlage verschiedener nationaler und internationaler IT-Sicherheitsstandards und -Richtlinien entwickelt. Da auch die NIS-2-Richtlinie Teil des ESA-Fundaments ist, erfüllt ein Unternehmen bei der Implementierung des ESA-Ansatzes automatisch alle relevanten Pflichten der NIS-2-Richtlinie. Unser ESA-Team hat sich auf Einrichtungen aus dem digitalen Sektor spezialisiert und hilft diesen bei der Einführung einer sicheren Cyberarchitektur.
Contact us
