NIS-2 Richtlinie: verständlich erklärt: wer ist betroffen, was sind die Anforderungen?

Elektrizität

• Elektrizitätsunternehmen

• Verteilernetzbetreiber

• Übertragungsnetzbetreiber

• Erzeuger

• nominierte Strommarktbetreiber

• Marktteilnehmer, die Aggregierungs-, Laststeuerungs- oder Energiespeicherungsdienste anbieten

• Betreiber von Ladepunkten für Elektromobilität

Fernwärme und -kälte

• Betreiber von Fernwärme oder Fernkälte

Erdöl

• Betreiber von Erdöl-Fernleitungen

• Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen

• zentrale Bevorratungsstellen

Erdgas

• Versorgungsunternehmen

• Verteilernetzbetreiber

• Fernleitungsnetzbetreiber

• Betreiber einer Speicheranlage

• Betreiber einer LNG-Anlage

• Erdgasunternehmen

• Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas

Wasserstoff

• Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung

Luftverkehr

• Luftfahrtunternehmen

• Flughafenleitungsorgane

• Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

Schifffahrt

• Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt

• Leitungsorgane von Häfen, einschließlich ihrer Hafenanlagen

• Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben

• Betreiber von Schiffsverkehrsdiensten

Straßenverkehr

• Straßenverkehrsbehörden, die für Verkehrsmanagement und Verkehrssteuerung verantwortlich sind (außer öffentliche Einrichtungen, für die das Verkehrsmanagement oder der Betrieb intelligenter Verkehrssysteme ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist)

• Betreiber intelligenter Verkehrssysteme

Schienenverkehr

• Infrastrukturbetreiber

• Eisenbahnunternehmen

• Kreditinstitute

• Betreiber von Handelsplätzen

• zentrale Gegenparteien

• Gesundheitsdienstleister

• EU-Referenzlaboratorien

• Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben

• Einrichtungen, die bestimmte pharmazeutische Erzeugnisse herstellen

• Einrichtungen, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen

• Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“

• außer Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist

• Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln

• außer Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist

• Betreiber von Internet-Knoten

• DNS-Dienstanbieter, ausgenommen Betreiber von Root-Namenservern

• TLD-Namenregister

• Anbieter von Cloud-Computing-Diensten

• Anbieter von Rechenzentrumsdiensten

• Betreiber von Inhaltszustellnetzen

• Vertrauensdiensteanbieter

• Anbieter öffentlicher elektronischer Kommunikationsnetze

• Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste

• Anbieter verwalteter Dienste

• Anbieter verwalteter Sicherheitsdienste

• Einrichtungen der öffentlichen Verwaltung von Zentralregierungen entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht

• Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht

• Betreiber von Bodeninfrastrukturen, die sich im Eigentum von EU-Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen

• außer Anbieter öffentlicher elektronischer Kommunikationsnetze

• Anbieter von Postdiensten

• einschließlich Anbieter von Kurierdiensten

• Unternehmen der Abfallbewirtschaftung

• ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist

• Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln

• Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren

Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

Herstellung von Medizinprodukten und In-vitro-Diagnostika

• Einrichtungen, die Medizinprodukte herstellen

• Einrichtungen, die In-vitro-Diagnostika herstellen

• außer Einrichtungen aus Anhang I, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen

Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen

• Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

Herstellung von elektrischen Ausrüstungen

• Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

Maschinenbau

• Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

Herstellung von Kraftwagen und Kraftwagenteilen

• Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

sonstiger Fahrzeugbau

• Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

• Anbieter von Online-Marktplätzen

• Anbieter von Online-Suchmaschinen

• Anbieter von Plattformen für Dienste sozialer Netzwerke

• Forschungseinrichtungen

• Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten

• Vertrauensdiensteanbieter

• TLD-Namensregistrierungen und DNS-Dienstanbieter (außer Betreiber von Root-Namenservern)

• Alleinige Anbieter, die essentiell für Gesellschaft und Wirtschaft sind

• Einrichtungen, deren Ausfall einen großen Effekt auf öffentliche Ordnung, Sicherheit oder Gesundheit hätte

• Einrichtungen, deren Ausfall zu einem Systemrisiko mit grenzübergreifenden Folgen führen könnte

• Einrichtungen, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind

• Vom EU-Mitgliedstaat definierte Einrichtung der öffentlichen Verwaltung der Zentralregierung oder kritische Einrichtung der öffentlichen Verwaltung auf regionaler Ebene

• Kritische Infrastrukturen gemäß Richtlinie (EU) 2022/2557

• Einrichtungen, die Domänennamenregistrierungsdienste erbringen

Unternehmen und Organisationen, die von NIS-2 betroffen sind, müssen bestimmte Maßnahmen für die Cybersicherheit umsetzen.

Das soll dazu dienen, die Auswirkungen von Sicherheitsvorfällen zu Minimieren .

Laut NIS-2 Richtlinie müssen die folgende Maßnahmen umgesetzet werden :

Risikomanagement (Art. 21):

Unternehmen müssen ihre Cyber-Risiken bewerten und angemessene Sicherheitsrichtlinien umsetzen.

Dies kann über die folgenden Punkte erreicht werden:

• Policies
• Business Continuity
• Supply Chain
• Einkauf
• Effizienz Training
• Kryptografie
• Personal
• Zugang
• Asset Management
• Multi-Faktor-Authentifizierung
• Kommunikation.

Unternehmensverantwortung (Art. 20):

Die Unternehmensleitung muss die Cybersicherheitsmaßnahmen überwachen und genehmigen und eine entsprechende Schulung erhalten.

Meldepflichten (Art. 23):

Wesentliche und wichtige Einrichtungen müssen über Prozesse verfügen, die eine schnelle Meldung von Sicherheitsvorfällen mit erheblichen Auswirkungen ermöglichen.

Die Richtlinie sieht diese Fristen vor, um den Vorfall der Behörde zu melden:

• Frühwarnung innerhalb von 24 h ab Kenntnis
• Ausführlicher Bericht innerhalb von 72 h ab Kenntnis
• Fortschritts-/Abschlussbericht ein Monat nach Meldung

Geschäftskontinuität:

Die Unternehmen müssen Pläne für die Geschäftskontinuität im Falle eines größeren Cybervorfalls entwickeln.

Mindestmaßnahmen:

Es gibt zehn spezifische Mindestmaßnahmen, die von Risikobewertungen über Verschlüsselungsrichtlinien bis hin zu Verfahren für die Sicherheit der Lieferkette und der Mitarbeiter reichen.

Registrierung (Art. 3 / Art. 27):

Wenn NIS-2 auf Ihr Unternehmen zutrifft, müssen Sie sich bei der nationalen Behörde registrieren lassen

Die folgenden Informationen müssen bereitgestellt werden:

• Name Ihrer Einrichtung
• Anschrift und Kontaktdaten, einschließlich E-Mail-Adressen, IP-Adressbereiche und Telefonnummern
• ggf. den relevanten Sektor und Teilsektor gemäß Anhang I oder II
• ggf. eine Liste der EU-Mitgliedstaaten, in denen Sie Dienste erbringen

Die NIS-2-Richtlinie zielt darauf ab, den Schutz von IT-Systemen, -Komponenten und -Prozessen vor Sicherheitsvorfällen zu gewährleisten.

Hierbei stellt sie höhere Anforderungen an das Risikomanagement von Unternehmen und definiert konkrete Sicherheitsmaßnahmen wie Penetrationstests und Security Monitoring.

Penetrationstests als Maßnahme zur Erfüllung von NIS 2

Penetrationstests als wichtige Maßnahme: Die NIS-2-Norm betont die Bedeutung von Penetrationstests. Diese Tests simulieren gezielte Angriffe, um die Sicherheitsstärke eines Systems zu bewerten. Durch die Durchführung von Penetrationstests können Unternehmen Schwachstellen erkennen und ihre Sicherheitsinfrastruktur verbessern. Dies trägt dazu bei, die Widerstandsfähigkeit gegenüber potenziellen Angriffen zu erhöhen.

Security Monitoring als Maßnahme zur Erfüllung von NIS 2

Entscheidende Rolle von Security Monitoring: Security Monitoring umfasst die kontinuierliche Überwachung von Netzwerken und Systemen, um Anomalien oder verdächtige Aktivitäten zu identifizieren. Es ermöglicht eine Echtzeitreaktion auf potenzielle Bedrohungen. Im Rahmen der NIS-2-Richtlinie ist ein effektives Security Monitoring von großer Bedeutung, um die Einhaltung der Sicherheitsanforderungen sicherzustellen und eine schnelle Reaktion auf Sicherheitsvorfälle zu gewährleisten

Der Automotive-Sektor ist vom NIS-2-Standard betroffen und wird in beiden Kategorien erwähnt: Sektoren mit hoher Kritikalität und andere kritische Sektoren.

Zu den hochkritischen Sektoren gehören die Betreiber von intelligenten Verkehrssystemen (IVS).

Diese sind für die Verwaltung und den Betrieb vernetzter Systeme im Straßenverkehr, Verkehrsmanagement und Mobilitätsmanagement verantwortlich. Diese Organisationen spielen eine wichtige Rolle, um sicherzustellen, dass die Infrastruktur für intelligente Verkehrssysteme sicher und effizient betrieben wird.

Weitere kritische Sektoren sind die Hersteller von Kraftfahrzeugen, Anhängern, Sattelanhängern und anderen Transportmitteln. Diese Unternehmen sind dafür verantwortlich, Fahrzeuge und zugehörige Ausrüstungen herzustellen und zu montieren.

Sie müssen dabei die Cybersicherheitsverpflichtungen erfüllen, die in der NIS2-Richtlinie festgelegt sind.

Die NIS2-Richtlinie wurde am 27. Dezember 2022 offiziell im Amtsblatt der Europäischen Union veröffentlicht. Nach dieser Veröffentlichung haben die EU-Mitgliedstaaten 21 Monate Zeit, um die Richtlinie in ihr nationales Recht zu übernehmen. Der Stichtag für NIS-2 ist  der 18. Oktober 2024.

NIS-2 sieht im Bereich Cybersecurity zwei Maßnahmen als wertvoll an:

• Penetrationstests: Als langjährige Anbieter von professionellen Pentests können wir Sie gerne dabei unterstützen Auflagen, die sich aus NIS-2 ableiten, zu erfüllen. Mehr über unser Vorgehen bei Pentests finden Sie hier: Pentests bei Yekta IT
• Security Monitoring: Um Angriffe zu erkennen und schnell Gegenmaßnahmen abzuleiten, haben sich Lösungen wie Security Information Event Management (SIEM) sowie Security Operation Center (SOC) als unverzichtbar erwiesen. Gerne können wir Sie bei der Auswahl, Entwickliung & Betrieb unterstützen. Mehr dazu erfahren Sie hier. Cyber Defense mit SIEM & SOC

• NIS-2 Richtlinie
• Was bedeutet NIS-2 für Unternehmen in Deutschland - THE BRISTOL GROUP Deutschland GmbH
• „Wer NIS-2 anschaut, findet viele Parallelen zur ISO 27001“
• Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie)
• Pentest-Anbieter in Deutschland: Ihr umfassender Leitfaden zur Auswahl des richtigen Partners
• NIS2 Directive: Step-by-Step Guide to Compliance
• NIS-2-Richtlinie: Was jetzt für Unternehmen wichtig ist | G DATA
• L_2022333DE.01008001.xml
• The NIS2 directive, supply chains and the automotive sector