Cybersecurity: Wer die neue NIS2-Richtlinie ernst nehmen muss

NIS2 - betroffene Unternehmen
Entscheidungsbaum für betroffene Einrichtungen der NIS2

Mit der Verabschiedung der NIS2-Richtlinie hat die Europäische Union einen weiteren großen Schritt zur Stärkung der Cybersicherheitsmaßnahmen für kritische Infrastrukturen und wichtige Dienstleister gemacht. Einen ersten Überblick zur NIS2 haben ich in meinem letzten Beitrag veröffentlicht.

Doch welche Einrichtungen fallen unter diese neuen Regelungen und müssen sich auf die Anforderungen einstellen? Dieser Fragestellung möchte ich mich Schritt für Schritt in diesem Artikel zuwenden.

1. Zu welchem Sektor gehört Ihre Organisation?

Wenn Sie wissen wollen, ob Sie von der NIS2-Richtlinie betroffen sind, sollten Sie zunächst prüfen, ob Ihre Einrichtung zu einer der im im Anhang I und II der NIS2-Richtlinie genannten Sektoren gehört.

Der Anhang I listet die Sektoren mit hoher Kritikalität auf:

1. Sektor – Energie:

    • Elektrizität (z.B. Energieerzeuger, Verteiler- und Übertragungsnetzbetreiber)
    • Fernwärme- und kälte
    • Erdöl (z.B. Betreiber von Erdöl-Fernleitungen, Raffinerien, Erdöllager)
    • Erdgas (z.B. Gasversorgungsunternehmen, Verteiler- und Übertragungsnetzbetreiber, Betreiber von Speicheranlagen)
    • Wasserstoff (z.B. Wasserstofferzeugung) 

2. Sektor – Verkehr:

    • Luftverkehr (z.B. Airlines)
    • Schienenverkehr (z.B. Eisenbahnunternehmen)
    • Schifffahrt (z.B. Frachtbeförderungsunternehmen)
    • Straßenverkehr (z.B. Straßenverkehrsbehörden)

3. Sektor – Bankwesen:

    • Kreditinstitute

4. Sektor – Finanzmarktinfrastruktur:

    • Betreiber von Handelsplätzen
    • Zentrale Gegenparteien

5. Sektor – Gesundheitswesen

    • Gesundheitsdienstleiser (z.B. Krankenhäuser)

6. Sektor – Trinkwasser

    • Trinkwasserlieferanten (z.B. Wasserwerke)

7. Sektor – Abwasser

    • Abwassersammlung, -entsorgung oder behandlung (z.B. Betrieber von Kläranlagen)

8. Sektor – Digitale Infrastruktur

    • u.a. Anbieter von Cloud-Computing, Anbieter von Rechenzentrumsdiensten, Vertrauensdiensteanbieter

9. Sektor – Verwaltung von IKT-Diensten

    • Anbieter verwalteter Dienste und Sicherheitsdienste

10. Sektor – öffentliche Verwaltung

    • Einrichtungen von Zentralregierungen (z.B. Bundesministerien)

11. Sektor – Weltraum

    • Betreiber von Bodeninfrastruktur für weltraumgestützte Dienste

Der Anhang II listet Sonstige kritische Sektoren auf:

1. Sektor – Post- und Kurierdienst

2. Sektor – Abfallbewirtschaftung

3. Sektor – Produktion, Herstellung und Handel mit chemischen Stoffen

4. Sektor – Produktion, Verarbeitung, und Vertrieb von Lebensmitteln

5. Sektor – Verarbeitendes Gewerbe/ Herstellung von Waren

    • u.a. Herstellung von Medizinprodukten, elektrischer Ausrüstung und Kraftwagen sowie Maschinenbau

6. Sektor – Anbieter digitaler Dienste

    • Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke

7. Sektor – Forschung

Die Definition und Auslegungen, welche Unternehmen zu den jeweiligen Sektoren zugeordnet werden, sind wiederum in den spezifischen Verordnungen aus dem Anhang I und II zu entnehmen.

Sofern Sie zu einen dieser Sektoren zugeordnet werden, folgt im weiteren die Frage nach der Größe des Unternehmens.

2. Welche Größe hat Ihre Organisation?

Umsetzen müssen die NIS2 Einrichtungen, die neben der Zugehörigkeit zu den oben genannten Sektoren eine Mindestgröße vorweisen.

Mindestgröße für betroffene Unternehmen

Diese Mindestgröße wird bemessen anhand der Empfehlung 2003/261/EG, welche zusammengefasst in der Grafik dargestellt ist. Als mittlere Unternehmen werden Einrichtungen gezählt, welche zwischen 10 und 50 Mitarbeitende haben und eine Umsatz zwischen 10 – 50 Mio. € oder eine Bilanzsumme von 10 – 43 Mio. € vorweisen. Unternehmen, die über diesen Schwellwerten liegen werden als große Unternehmen gezählt.

Sofern Ihr Unternehmen zu der Kategorie Mittel oder Groß zugeordnet werden und zusätzlich zu dem im Anhang I oder II aufgeführten Sektoren zählen, ist die Wahrscheinlichkeit hoch, dass Sie die NIS2 umsetzen müssen.

3. Zählen für Ihre Organisation Sonderregelungen?

Es ist möglich, dass Ihr Unternehmen zu den Sektoren aus dem Anhang I oder II der NIS2-Richtlinie zählt, jedoch nicht die Schwellwerte für mittlere oder große Unternehmen erfüllt. Unabhängig der Größe der Einrichtungen gibt es für einige Unternehmen/ Einrichtungen ebenfalls die Pflicht zur Umsetzung der NIS2. Dazu zählen:

    • Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder -diensten (Artikel 2, Abs. 2a);
    • Vertrauensdiensteanbieter (Artikel 2, Abs. 2a);
    • Anbieter von Namensregister der Domäne oberster Stufe und Domänennamensystem-Diensteanbieter (Artikel 2, Abs. 2a);
    • Einzige Anbieter eines Dienstes, welcher für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist (Art. 2, Abs. 2b);
    • Einrichtung bei deren erbrachten Dienst eine Störung wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte (Art. 2, Abs. 2c);
    • Einrichtungen bei deren erbrachten Dienst eine Störung zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzübergreifende Auswirkungen haben könnte (Art. 2, Abs. 2d);
    • Einrichtungen, die aufgrund der besonderen Bedeutung auf nationaler oder regionaler Ebene für den betreffenden Sektor oder die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat hat, kritisch sind (Art. 2, Abs. 2e);
    • Einrichtungen einer öffentlichen Verwaltung auf Ebene der Zentralregierungen oder regionale Ebene (Auswahl erfolgt risikobasiert) (Art. 2, Abs. 2f);
    • Einrichtungen, die nach Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wurden (Art. 2, Abs. 3);
    • Einrichtungen, die Domänennamenregistrierungsdienste erbringen (Art. 2, Abs. 4);

Die Sonderregelungen der NIS2-Richtlinie sind aus meiner Sicht komplex und bedürfen einer genauen juristischen Betrachtung. Unternehmen sollten sorgfältig prüfen, ob und wie diese Regeln auf sie zutreffen und welche Pflichten sich daraus ableiten.

Bis zum 17. April 2025 werden EU-Mitgliedsstaaten eine Liste vorlegen müssen, die klärt, welche Unternehmen betroffen sind. Trotz dieser kommenden Klarheit sollten Unternehmen schon jetzt aktiv werden. Die Umsetzungsfrist endet am 18. Oktober 2024 – dann sind die Vorgaben der NIS2-Richtlinie anzuwenden. Unternehmen sollten daher zeitnah analysieren, ob und in welchem Umfang sie betroffen sind.

Welche Organisation sind von der Umsetzung der NIS2-Richtlinie ausgenommen?

Der Artikel 2 der NIS2-Richtlinie zeigt ebenso auf, welche Einrichtungen nicht von der Umsetzung betroffen sind. Dazu zählen:

    • Einrichtungen der öffentlichen Verwaltung, die ihre Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung ausüben, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten (Art. 2, Abs. 7);

Ebenso dürfen die Mitgliedsstaaten eigenständig entscheiden, ob Teile der öffentlichen Verwaltung von der Umsetzung der NIS2 befreit werden. Aus meiner Sicht ist diese Autonomie kritisch zu betrachten. Damit würden lokale Verwaltungen gewisse Freiheiten erhalten, während Wirtschaftsunternehmen strikten gesetzlichen Vorgaben folgen müssen, doch beide sind wesentlicher Bestandteil für die gesellschaftliche Stabilität und gleichermaßen Ziel von Cyberangriffen. Es stellt sich die Frage nach der Konsistenz dieser Regelung, denn meiner Meinung nach benötigen auch öffentliche Verwaltungen angemessene Cybersicherheitsstandards.

In Deutschland ist die Debatte über die NIS2-Implementierungspflicht für die öffentliche Verwaltung bereits im Gange. Einige fordern stärkere Sicherheitsmaßnahmen für Behörden, andere befürchten eine Überforderung durch zusätzliche gesetzliche Auflagen. Das Ergebnis des NIS2-Umsetzungsgesetzes bleibt somit mit Spannung abzuwarten.

Ebenso soll es für die Finanzbranche Ausnahmeregelungen geben. Dazu empfiehlt die EU, diese von der NIS2 auszunehmen und stattdessen auf den Digital Operational Resilience Act (DORA) zu verweisen, der bereits spezifische Vorgaben zur Cybersicherheit an Finanzunternehmen stellt. Der Entwurf des deutschen NIS2-Umsetzungsgesetzes hat diese Empfehlung aufgenommen, weshalb eine Befreiung der Finanzunternehmen von der NIS2-Umsetzung zu erwarten ist.

Fazit

Die NIS2-Richtlinie der EU eröffnet ein neues Kapitel für die Cybersicherheit in kritischen Infrastrukturen und Dienstleistungssektoren. Sie definiert präzise, welche Organisationen ihre Cybersicherheitsmaßnahmen verstärken müssen. Insbesondere jene in den Bereichen Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur stehen im Fokus. Kleinere Unternehmen könnten sich jedoch fragen, ob sie ebenfalls betroffen sind. Die Antwort hängt von ihrer Größe und dem Sektor ab, in dem sie tätig sind.

Trotz kommender Listen, die Klarheit über die betroffenen Unternehmen verschaffen werden, ist proaktives Handeln geboten. Die Frist bis zur vollständigen Umsetzung am 18.10. 2024 ist nicht zu unterschätzen. Daher sollten Unternehmen bereits jetzt prüfen, inwieweit sie die NIS2 anwenden müssen.

Wer mich noch nicht kennt: Mein Name ist Lars Kaulfuß und ich helfe KRITIS-Unternehmen beim Aufbau von resilienten Prozessen und Organisationsstrukturen zum Schutz vor Cyberangriffen. Meine Vision: Technologie menschlich machen, Struktur in Komplexität bringen und dauerhafte Erfolge sichern. Vertrauen, Qualität und Nachhaltigkeit sind die Säulen meiner Beratungsphilosophie. Mein Motto: Gemeinsam. IT-Security. Können.

Folge mir auch gerne auf LinkedIn und erhalte die neuesten Artikel!