NIS-2 kompakt: wer ist betroffen, was ist zu tun

4 Min Lesezeit Serie: foundation #nis2#compliance#regulatorik#bsi

NIS-2 erweitert den Kreis regulierter Organisationen deutlich. Wer fällt hinein, welche Pflichten entstehen, und warum die Meldung binnen 24 Stunden der härteste Teil der Umsetzung ist.

Problem

Die NIS-2-Richtlinie (Directive (EU) 2022/2555) löst die ursprüngliche NIS-Richtlinie von 2016 ab und erweitert den Anwendungsbereich um zahlreiche Sektoren und um Organisationen, die bisher regulatorisch unter dem Radar lagen. In Deutschland setzt das NIS2UmsuCG die Vorgaben um; das Gesetzgebungsverfahren zog sich länger als geplant, die materiellen Anforderungen sind aber bereits in der Richtlinie selbst verbindlich.

Drei Fragen stehen typischerweise im Raum:

  1. Bin ich betroffen?
  2. Was muss ich tun?
  3. Was passiert, wenn ich es nicht tue?

Die kurze Antwort

Betroffen sind alle mittleren und grossen Organisationen (ab 50 Beschäftigten oder 10 Mio. Euro Umsatz) in einem der in Annex I und II genannten Sektoren, plus eine Liste von "besonders kritischen" Organisationen unabhängig von der Grösse. Die Pflichten aus Art. 21 NIS-2 umfassen ein Risikomanagement, technische und organisatorische Massnahmen, Lieferkettenabsicherung, Governance-Verantwortung der Geschäftsführung und ein gestuftes Meldesystem bei Sicherheitsvorfällen. Verstösse können mit Bussgeldern bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden, die Geschäftsleitung haftet persönlich für Organisationsversäumnisse.

Die etwas längere Antwort

Betroffenheit

Annex I (wesentliche Einrichtungen, "essential entities") umfasst: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt.

Annex II (wichtige Einrichtungen, "important entities") umfasst u.a.: Post- und Kurierdienste, Abfallwirtschaft, Chemieproduktion, Lebensmittelproduktion und -vertrieb, Fertigung, digitale Dienste (inklusive Cloud-Dienstleister, Rechenzentrumsbetreiber, Managed Service Provider, Online-Marktplätze).

Die Grössenschwelle liegt bei 50 Beschäftigten oder 10 Mio. Euro Jahresumsatz. Darunter greift NIS-2 nur, wenn die Einrichtung unabhängig davon als "besonders kritisch" eingestuft ist (z.B. einzige Stromversorgung eines Bezirks).

Pflichten nach Art. 21

Die Richtlinie listet zehn Bereiche, in denen Massnahmen zu ergreifen sind:

  1. Risikoanalyse und Sicherheitsrichtlinien.
  2. Vorfallsbearbeitung.
  3. Geschäftskontinuität und Krisenmanagement.
  4. Lieferkettensicherheit, einschliesslich sicherheitsrelevanter Aspekte der Beziehungen zu Zulieferern.
  5. Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen.
  6. Überprüfung der Wirksamkeit der Massnahmen.
  7. Grundlegende Hygiene-Praktiken und Schulungen.
  8. Kryptografie und, wo angemessen, Verschlüsselung.
  9. Sicherheit von Personal, Zugangskontrolle und Asset-Management.
  10. Multi-Faktor-Authentifizierung, Kommunikationsabsicherung, Notfallkommunikation.

Die Massnahmen müssen dem Stand der Technik entsprechen und verhältnismässig zum Risikoprofil sein.

Meldepflichten

Die Meldung eines "erheblichen Sicherheitsvorfalls" an das BSI ist dreistufig:

  • Binnen 24 Stunden nach Kenntnis: Frühwarnung mit erstem Verdacht.
  • Binnen 72 Stunden nach Kenntnis: vollständigere Einschätzung inkl. betroffener Systeme und erster Massnahmen.
  • Binnen eines Monats: Abschlussbericht.

Die 24-Stunden-Frist ist der operativ anspruchsvollste Teil, weil sie verlässlich erreichbare Meldeprozesse verlangt, auch nachts und am Wochenende, und weil "Kenntnis" nicht an Fertigstellung einer Untersuchung geknüpft ist.

Governance

Art. 20 NIS-2 verpflichtet die Geschäftsleitung, die umgesetzten Massnahmen zu genehmigen und deren Umsetzung zu überwachen. Sie muss an Schulungen teilnehmen und "gleichwertige Schulungen Mitarbeitern anbieten". Die Haftung für Verstösse kann nicht auf den CISO delegiert werden. Das ist neu und spürbar: NIS-2 macht IT-Sicherheit zum Gegenstand der Geschäftsführer-Sorgfaltspflicht.

Durchsetzung

Nationale Aufsichtsbehörden (in DE das BSI) können Vor-Ort-Prüfungen, Anordnungen und Bussgelder verhängen. Für wesentliche Einrichtungen sind Prüfungen auch ohne konkreten Vorfall zulässig (proaktive Aufsicht), für wichtige Einrichtungen nur reaktiv.

Abgelehnte Alternativen und Mythen

"Wir haben ISO 27001, damit sind wir NIS-2-konform." Eine Zertifizierung nach ISO 27001 ist hilfreich, deckt aber nicht alles ab. NIS-2 verlangt insbesondere die Lieferkettensicherheit (Art. 21 Abs. 2 Buchst. d), die in ISO 27001 bis 2022 nur rudimentär, ab Revision 2022 etwas breiter behandelt wird. Die Meldepflichten und die Governance-Verantwortung sind ausserhalb des ISMS-Zyklus und müssen separat eingerichtet werden.

"Uns reicht der Branchenstandard X." Nur wenn dieser Standard explizit in einem delegierten Rechtsakt nach NIS-2 als konformitätsvermutend anerkannt ist. Für die meisten Branchen existiert ein solcher Rechtsakt bisher nicht.

"Wir sind zu klein." Wenn die Grössenschwelle unterschritten wird und keine Sonderkriterien greifen, ist das richtig. Aber: wer an wesentliche Einrichtungen liefert, wird über Art. 21 Abs. 2 Buchst. d indirekt von den NIS-2-Anforderungen seiner Kunden eingefangen. Lieferanten schreiben ihre Pflichten weiter.

Wie Svelnor hier hilft

Für den technischen Anteil der zehn Pflichtbereiche aus Art. 21 NIS-2 bieten wir mehrere Bausteine: Svelnor Mailcheck deckt die Authentizitäts-Anforderungen der E-Mail-Kommunikation ab (SPF/DKIM/DMARC mit Aggregate-Report-Auswertung), Svelnor Audit liefert revisionssichere Protokollierung als Grundlage für die 24- und 72-Stunden-Meldepflichten, Svelnor Clean entschärft Dokumente aus der Lieferkette (Art. 21 Abs. 2 Buchst. d) und Svelnor Watch überwacht Marken- und Website-Integritaet als Frühwarnstufe. Keiner der Bausteine ist NIS-2-Zertifizierung und ersetzt nicht das interne Risikomanagement; zusammen decken sie aber einen grossen Teil der technischen Umsetzung.

Verifikation

  • NIS-2-Richtlinie im Original: CELEX 32022L2555.
  • NIS2UmsuCG-Referentenentwurf und weitere Dokumente: BMI-Entwurf, abrufbar über das Bundesministerium des Innern.
  • BSI-Überblick zur NIS-2-Umsetzung: bsi.bund.de/nis-2.
  • Sektoren-Checklisten sind bei Industrieverbänden (Bitkom, VOICE e.V., TeleTrusT) frei verfügbar.

Offene Punkte

Umsetzungstempo in Deutschland. Das NIS2UmsuCG liegt zum Zeitpunkt dieses Beitrags als Entwurf vor, die Verabschiedung steht aus. Die materiellen Pflichten der Richtlinie gelten gleichwohl ab dem Umsetzungsdatum (17.10.2024), weil die Richtlinie insoweit unmittelbare Wirkung entfalten kann.

Konzerngesellschaften. Unklar ist derzeit, ob verbundene Unternehmen gemeinsam oder getrennt zur Registrierung verpflichtet sind; die Aufsichtsbehörden tendieren zur gesamtkonzernalen Betrachtung, eine rechtsverbindliche Klärung steht aus.

Aktualisierungen