NIS2: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
VisuellWikitext
Keine Bearbeitungszusammenfassung
 
(35 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
= NIS-2-Richtlinie muss bis Oktober 2024 umgesetzt werden =
'''NIS2-Richtlinie''' - Maßnahmen für ein hohes [[Cybersicherheit]]sniveau


Richtline zur Netz- und Informationssicherheit  
== Beschreibung ==
Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union
* EU-Richtlinien zur Netzwerk- und Informationssicherheit


'''Anfang 2023 ist die zweite Fassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) EU-weit in Kraft getreten. Die EU-Mitgliedsstaaten müssen NIS 2 bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland liegt bereits jetzt ein Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor.'''
=== EU-weite Gesetzgebung zur Cybersicherheit ===
 
; Rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU
Daraus geht hervor, dass nicht nur die Zahl der betroffenen Unternehmen massiv ansteigen, sondern es zusätzlich auch noch wesentlich höhere Anforderungen geben wird.
Die 2016 eingeführten Cybersicherheitsvorschriften der EU wurden durch die 2023 in Kraft getretene NIS2-Richtlinie aktualisiert
 
* Es modernisierte den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich entwickelnden Bedrohungslandschaft für Cybersicherheit Schritt zu halten
== NIS 2: Klarere Vorgaben für die Cybersicherheit ==
* Durch die Ausweitung des Anwendungsbereichs der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen verbessert sie die Resilienz- und Reaktionskapazitäten öffentlicher und privater Stellen, der zuständigen Behörden und der EU insgesamt weiter
 
Die Europäische Union hat im Jahr 2016 mit der '''Richtlinie zur Netzwerk- und Informationssicherheit''' ('''Network and Information Security Directive''', '''NIS 1''') Vorschriften zur Cybersicherheit eingeführt. NIS 1 verpflichtete die EU-Mitgliedsstaaten Betreiber „kritischer Dienste“ zu ermitteln und für diese bestimmte Verfahren zur Cybersicherheit und Meldepflichten für Sicherheitsvorfälle einzuführen. Die Richtlinie wurde zeitnah in nationale Regelungen überführt: In Frankreich z. B. wurden Unternehmen zu '''Operateurs de Services Essentiels''' ('''OSE''') erklärt, in Deutschland zu '''KRITIS-Betreibern''' ('''KRITIS''' = '''Kritische Infrastrukturen – '''mehr Details '''-)'''.
 
Die nationalen Umsetzungen erfolgten jedoch uneinheitlich und sehr unterschiedlich, sodass vergleichbare Unternehmen in manchen der 27 EU-Staaten als kritische Dienste oder Betreiber eingestuft wurden, in anderen dagegen nicht: Je nach EU-Mitgliedsstaat lag die Zahl der kritischen Dienste daher zwischen 12 und 87 und die der Betreiber zwischen 20 und 10.897. Mit der '''Neufassung der NIS-Richtlinie''' ('''NIS 2''') schafft die EU nun Klarheit und legt genau fest, welche Unternehmen zu den kritischen Diensten gehören und welche Anforderungen für sie gelten. Die Unternehmen werden verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu erhöhen, strengere Sicherheitsstandards zu etablieren und ihre IT-Systeme stets auf dem neuesten Stand zu halten.
 
== Deutliche Ausweitung des Geltungsbereichs ==
 
Der Geltungsbereich der neuen NIS-Richtlinie geht weit über die bisher bekannten Schlüsselunternehmen im Bereich der kritischen Infrastrukturen hinaus. Konkret wird bei NIS 2 zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden.
 
'''Wesentliche Einrichtungen''' ('''Essential Entities''') sind demnach Unternehmen, die in folgenden Bereichen tätig sind:* '''Energie''' – Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Wasserstoff, Heizung sowie Ladestationen für die Elektromobilität
* '''Straßen-, Schienen, Luft- und Schiffsverkehr''' – dazu zählen auch Reedereien, Hafenanlagen und Flughäfen
* '''Wasser''' – Trink- und Abwasserversorgungsunternehmen
* '''Digitale Infrastruktur und IT-Dienste''' – dazu zählen auch Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten sowie Anbieter öffentlicher elektronischer Kommunikaitonsnetze und -dienste
* '''Bank- und Finanzwesen''' – Kredit, Handel, Markt, Infrastruktur und Versicherungswesen
* '''Gesundheit''' – Gesundheitsdienstleister, Pharmazeutika, Hersteller medizinischer Geräte, Forschungseinrichtungen
* '''Öffentliche Verwaltung'''
* '''Raumfahrt'''
 
 
 
Zu den '''wichtigen Einrichtungen''' ('''Important Entities''') werden Unternehmen folgender Bereiche gezählt:* '''Abfallwirtschaft'''
* '''Post- und Kurierdienste'''
* '''Chemische Erzeugnisse''' – Produktion und Vertrieb
* '''Lebensmittel''' – Produktion und Vertrieb
* '''Hersteller''' – Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel
* '''Digitale Anbieter''' – Suchmaschinen, soziale Netzwerke, Online-Marktplätze
* '''Forschungseinrichtungen'''
 
 
 
Welche Unternehmen die NIS-2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz. Unterschieden werden dabei mittlere und große Unternehmen:* '''Mittlere Unternehmen''' – 50 bis 250 Mitarbeiter, 10 bis 50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR
* '''Große Unternehmen''' – mehr als 250 Mitarbeiter, mehr als 50 Millionen EUR Umsatz, Bilanzsumme größer als 43 Millionen EUR
 
 
 
Die konkreten Angaben zur Bemessung der Unternehmensgröße haben zur Folge, dass sich die Zahl der Unternehmen, die zum Bereich der kritischen Infrastrukturen gezählt werden, massiv erhöht. NIS 2 sorgt dafür, dass Maßnahmen zur Stärkung der Cybersicherheit für die breite Masse der Unternehmen in ganz Europa obligatorisch werden. Allein in Deutschland werden etwa 30.000 Unternehmen von NIS 2 betroffen sein.
 
 
{| style="border-spacing:0;width:17cm;"
|- style="border:none;padding:0.049cm;"
|| '''Betroffenheit muss selbst ermittelt werden '''
 
Unternehmen, für die NIS 2 gilt, müssen ein Risikomanagement einführen und technische sowie organisatorische Vorkehrungen treffen, um die Sicherheit ihrer Anlagen, Netzwerke, IT-Systeme und Lieferketten zu erhöhen und abzusichern. Das Besondere dabei ist, dass die Unternehmen anhand der genannten Kriterien selbst ermitteln müssen, ob NIS 2 für sie zutrifft. Ihnen wird von behördlicher Seite nicht mitgeteilt, dass für sie die NIS-2-Vorgaben gelten.
 
 
|-
|}
== Verschärfung der Meldepflicht ==
 
Unternehmen müssen ihrer nationalen '''Cyber Security Authority''' unverzüglich signifikante Störungen, Vorfälle und '''Cyber Threads''' melden. In Deutschland ist die zuständige Behörde das '''Bundesamt für Sicherheit in der Informationstechnik''' ('''BSI'''). Vorgesehen ist dafür ein dreistufiger Prozess:# Innerhalb von''' 24 Stunden''' muss direkt nach Bekanntwerden eines Vorfalls ein '''vorläufiger Bericht '''übermittelt werden.
# Innerhalb von '''72 Stunden''' muss ein '''vollständiger Bericht''' folgen, der auch eine erste '''Bewertung des Vorfalls''' enthält.
# Innerhalb '''eines Monats''' muss ein '''Abschlussbericht''' eingereicht werden, der detaillierte Beschreibungen des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält.
 
 
 
== Verschärfung der Sanktionsmaßnahmen ==
 
Außer der Meldepflicht für Vorfälle verschärft NIS 2 auch die Sanktionen für die Missachtung der Vorgaben. Bei '''wesentlichen Einrichtungen''' können die Bußgelder bis zu '''10 Millionen EUR''' oder '''2 Prozent des weltweiten Jahresumsatzes''' betragen, je nachdem welcher Betrag höher ist. Bei '''wichtigen Einrichtungen''' ist das maximale Bußgeld auf '''7 Millionen EUR''' oder '''1,4 Prozent des weltweiten Jahresumsatzes''' gedeckelt.
 
Der Referentenentwurf des Bundesinnenministeriums sieht außerdem vor, dass '''Geschäftsführer''' und andere '''Leitungsorgane''' von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem '''Privatvermögen''' haften. Das Bußgeld kann dabei maximal '''2 Prozent''' '''des''' '''weltweiten Jahresumsatzes''' betragen.


Die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie) sieht rechtliche Maßnahmen vor, um das Gesamtniveau der Cybersicherheit in der EU zu erhöhen, indem Folgendes gewährleistet wird:
* Vorbereitung der Mitgliedstaaten, indem sie verlangt, dass sie angemessen ausgerüstet sind
* Zum Beispiel mit einem Computer Security Incident Response Team (CSIRT) und einer zuständigen nationalen Behörde für Netzwerk- und Informationssysteme (NIS)
* Zusammenarbeit zwischen allen Mitgliedstaaten durch Einsetzung einer Kooperationsgruppe
* zur Unterstützung und Erleichterung der strategischen Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten
* eine Kultur der Sicherheit in allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind und stark auf IKT angewiesen sind, wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitsversorgung und digitale Infrastruktur


'''Links:'''
Unternehmen, die von den Mitgliedstaaten als Betreiber wesentlicher Dienste in den oben genannten Sektoren eingestuft wurden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren
* Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen.


NIS-2-Richtlinie (PDF, deutsche Fassung aus dem Amtsblatt der Europäischen Union)
=== Richtline zur Netz- und Informationssicherheit ===
; Muss bis Oktober 2024 umgesetzt werden
Anfang 2023 ist die zweite Fassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) EU-weit in Kraft getreten
* Die EU-Mitgliedsstaaten müssen NIS 2 bis zum 17. Oktober 2024 in nationales Recht umsetzen
* In Deutschland liegt bereits jetzt ein Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor


Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes NIS2UmsuCG
Daraus geht hervor, dass nicht nur die Zahl der betroffenen Unternehmen massiv ansteigen, sondern es zusätzlich auch noch wesentlich höhere Anforderungen geben wird


Schlagworte zum Thema:  EU-Recht, Gesetz, Cybersicherheit
=== Cybersicherheit ===
; Klarere Vorgaben für die [[Cybersicherheit]]
Die Europäische Union hat im Jahr 2016 mit der Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Security Directive, NIS 1) Vorschriften zur Cybersicherheit eingeführt
* NIS 1 verpflichtete die EU-Mitgliedsstaaten Betreiber „kritischer Dienste“ zu ermitteln und für diese bestimmte Verfahren zur Cybersicherheit und Meldepflichten für Sicherheitsvorfälle einzuführen
* Die Richtlinie wurde zeitnah in nationale Regelungen überführt: In Frankreich z. B. wurden Unternehmen zu Operateurs de Services Essentiels (OSE) erklärt, in Deutschland zu KRITIS-Betreibern (KRITIS = Kritische Infrastrukturen – mehr Details -)


Die nationalen Umsetzungen erfolgten jedoch uneinheitlich und sehr unterschiedlich, sodass vergleichbare Unternehmen in manchen der 27 EU-Staaten als kritische Dienste oder Betreiber eingestuft wurden, in anderen dagegen nicht: Je nach EU-Mitgliedsstaat lag die Zahl der kritischen Dienste daher zwischen 12 und 87 und die der Betreiber zwischen 20 und 10.897
* Mit der Neufassung der NIS-Richtlinie (NIS 2) schafft die EU nun Klarheit und legt genau fest, welche Unternehmen zu den kritischen Diensten gehören und welche Anforderungen für sie gelten
* Die Unternehmen werden verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu erhöhen, strengere Sicherheitsstandards zu etablieren und ihre IT-Systeme stets auf dem neuesten Stand zu halten


# https://www.haufe.de/compliance/recht-politik/nis-2-richtlinie-muss-bis-oktober-2024-umgesetzt-werden_230132_606072.html
=== Geltungsbereich ===
; Deutliche Ausweitung des Geltungsbereichs
Der Geltungsbereich der neuen NIS-Richtlinie geht weit über die bisher bekannten Schlüsselunternehmen im Bereich der kritischen Infrastrukturen hinaus


; „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“
Konkret wird bei NIS 2 zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden


'''Wesentliche Einrichtungen''' (Essential Entities)
* Energie – Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Wasserstoff, Heizung sowie Ladestationen für die Elektromobilität
* Straßen-, Schienen, Luft- und Schiffsverkehr – dazu zählen auch Reedereien, Hafenanlagen und Flughäfen
* Wasser – Trink- und Abwasserversorgungsunternehmen
* Digitale Infrastruktur und IT-Dienste – dazu zählen auch Rechenzentren, Cloud-Dienste, elektronische Kommunikationsdienste, Internetknoten sowie Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste
* Bank- und Finanzwesen – Kredit, Handel, Markt, Infrastruktur und Versicherungswesen
* Gesundheit – Gesundheitsdienstleister, Pharmazeutika, Hersteller medizinischer Geräte, Forschungseinrichtungen
* Öffentliche Verwaltung
* Raumfahrt


'''Einrichtungen''' (Important Entities)
* Abfallwirtschaft
* Post- und Kurierdienste
* Chemische Erzeugnisse – Produktion und Vertrieb
* Lebensmittel – Produktion und Vertrieb
* Hersteller – Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel
* Digitale Anbieter – Suchmaschinen, soziale Netzwerke, Online-Marktplätze
* Forschungseinrichtungen


; Unternehmensgröße und Umsatz
Welche Unternehmen die NIS-2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz
* Unterschieden werden dabei mittlere und große Unternehmen:
* Mittelgroße Unternehmen – 50 bis 250 Mitarbeiter, 10 bis 50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR
* Große Unternehmen – mehr als 250 Mitarbeiter, mehr als 50 Millionen EUR Umsatz, Bilanzsumme größer als 43 Millionen EUR


= EU-Richtlinien zur Netzwerk- und Informationssicherheit =
Die konkreten Angaben zur Bemessung der Unternehmensgröße haben zur Folge, dass sich die Zahl der Unternehmen, die zum Bereich der kritischen Infrastrukturen gezählt werden, massiv erhöht
* NIS 2 sorgt dafür, dass Maßnahmen zur Stärkung der Cybersicherheit für die breite Masse der Unternehmen in ganz Europa obligatorisch werden
* Allein in Deutschland werden etwa 30.000 Unternehmen von NIS 2 betroffen sein


Nationale Umsetzung und Rolle des BSI
; Betroffenheit muss selbst ermittelt werden
Unternehmen, für die NIS 2 gilt, müssen ein Risikomanagement einführen und technische sowie organisatorische Vorkehrungen treffen, um die Sicherheit ihrer Anlagen, Netzwerke, IT-Systeme und Lieferketten zu erhöhen und abzusichern
* Das Besondere dabei ist, dass die Unternehmen anhand der genannten Kriterien selbst ermitteln müssen, ob NIS 2 für sie zutrifft
* Ihnen wird von behördlicher Seite nicht mitgeteilt, dass für sie die NIS-2-Vorgaben gelten


== NIS-2-Richtlinie in Kraft getreten ==
=== Meldepflicht ===
; Verschärfung der Meldepflicht
Unternehmen müssen ihrer nationalen Cyber Security Authority unverzüglich signifikante Störungen, Vorfälle und Cyber Threads melden
* In Deutschland ist die zuständige Behörde das Bundesamt für Sicherheit in der Informationstechnik (BSI)


Am 27.12.2022 wurde die zweite -Richtlinie zur Netzwerk- und Informationssicherheit () im Amtsblatt L333 der Europäischen Union veröffentlicht. Die Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen. Die aktuelle stellt eine Weiterentwicklung der (ersten) aus dem Jahr 2016 dar („EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“).
; Dreistufiger Prozess:
# Innerhalb von 24 Stunden muss direkt nach Bekanntwerden eines Vorfalls ein vorläufiger Bericht übermittelt werden
# Innerhalb von 72 Stunden muss ein vollständiger Bericht folgen, der auch eine erste Bewertung des Vorfalls enthält
# Innerhalb eines Monats muss ein Abschlussbericht eingereicht werden, der detaillierte Beschreibungen des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält


Das nationale Gesetz zur Umsetzung der wird derzeit erarbeitet. Die Federführung dafür liegt beim Bundesministerium des Innern und für Heimat. Wir bitten um Verständnis, dass das sich nicht zu Gesetzgebungsvorhaben äußert, deren Abstimmung innerhalb der Bundesregierung noch nicht abgeschlossen ist.
=== Sanktionsmaßnahmen ===
; Verschärfung der Sanktionsmaßnahmen
Außer der Meldepflicht für Vorfälle verschärft NIS 2 auch die Sanktionen für die Missachtung der Vorgaben
* Bei wesentlichen Einrichtungen können die Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist
* Bei wichtigen Einrichtungen ist das maximale Bußgeld auf 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes gedeckelt


== Historie der aus dem Jahr 2016 ==
; Referentenentwurf des Bundesinnenministeriums
Der Referentenentwurf des Bundesinnenministeriums sieht außerdem vor, dass
* Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften
* Das Bußgeld kann dabei maximal 2 Prozent des weltweiten Jahresumsatzes betragen


Das Gesetz zur Umsetzung wurde am 29.06.2017 verkündet. Es diente im Wesentlichen der Umsetzung der in deutsches Recht. Die definiert Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union. Mit der wurde ein einheitlicher Rechtsrahmen für den -weiten Aufbau nationaler Kapazitäten für die Cybersicherheit geschaffen. Insbesondere sieht die eine stärkere Zusammenarbeit der Mitgliedstaaten sowie Mindestsicherheitsanforderungen und Meldepflichten für Kritische Infrastrukturen () sowie für bestimmte Anbieter digitaler Dienste vor. Das erhielt vor diesem Hintergrund neue Aufgaben und Befugnisse.
== Nationale Umsetzung und Rolle des BSI ==
==== NIS-2-Richtlinie in Kraft getreten ====
Am 27.12.2022 wurde die zweite -Richtlinie zur Netzwerk- und Informationssicherheit () im Amtsblatt L333 der Europäischen Union veröffentlicht
* Die Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen
* Die aktuelle stellt eine Weiterentwicklung der (ersten) aus dem Jahr 2016 dar („EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“)


In Deutschland existierte mit dem -Sicherheitsgesetz (-SiG) bereits seit Juli 2015 ein einheitlicher Rechtsrahmen für die Zusammenarbeit von Staat und Unternehmen für mehr Cybersicherheit bei . Das -SiG sieht vor, dass -Betreiber sich beim registrieren, ihre -Sicherheit nach dem "Stand der Technik" umsetzen und erhebliche -Sicherheitsvorfälle an das melden.
Das nationale Gesetz zur Umsetzung der wird derzeit erarbeitet
* Die Federführung dafür liegt beim Bundesministerium des Innern und für Heimat
* Wir bitten um Verständnis, dass das sich nicht zu Gesetzgebungsvorhaben äußert, deren Abstimmung innerhalb der Bundesregierung noch nicht abgeschlossen ist


== 2 erweitert die Befugnisse des und stärkt gleichzeitig die Kooperation von Staat und Wirtschaft ==
==== Historie der aus dem Jahr 2016 ====
Das Gesetz zur Umsetzung wurde am 29.06.2017 verkündet
* Es diente im Wesentlichen der Umsetzung der in deutsches Recht
* Die definiert Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union
* Mit der wurde ein einheitlicher Rechtsrahmen für den -weiten Aufbau nationaler Kapazitäten für die Cybersicherheit geschaffen
* Insbesondere sieht die eine stärkere Zusammenarbeit der Mitgliedstaaten sowie Mindestsicherheitsanforderungen und Meldepflichten für Kritische Infrastrukturen () sowie für bestimmte Anbieter digitaler Dienste vor
* Das erhielt vor diesem Hintergrund neue Aufgaben und Befugnisse


Das setzt sich dafür ein, dass der mit dem gelebte kooperative Ansatz im Zuge der nationalen Umsetzung der intensiviert wird, da die erheblichen Herausforderungen im Bereich der -Sicherheit nur von Staat und Wirtschaft gemeinsam bewältigt werden können. Damit wird das seiner Vorreiterrolle innerhalb der auf dem Gebiet der Cybersicherheit gerecht.
In Deutschland existierte mit dem -Sicherheitsgesetz (-SiG) bereits seit Juli 2015 ein einheitlicher Rechtsrahmen für die Zusammenarbeit von Staat und Unternehmen für mehr Cybersicherheit bei
* Das -SiG sieht vor, dass -Betreiber sich beim registrieren, ihre -Sicherheit nach dem "Stand der Technik" umsetzen und erhebliche -Sicherheitsvorfälle an das melden


== Das unterstützt -Betreiber aktiv, auch vor Ort ==
==== Erweitert die Befugnisse des BSI und stärkt gleichzeitig die Kooperation von Staat und Wirtschaft ====
Das setzt sich dafür ein, dass der mit dem gelebte kooperative Ansatz im Zuge der nationalen Umsetzung der intensiviert wird, da die erheblichen Herausforderungen im Bereich der -Sicherheit nur von Staat und Wirtschaft gemeinsam bewältigt werden können
* Damit wird das seiner Vorreiterrolle innerhalb der auf dem Gebiet der Cybersicherheit gerecht


sind ein attraktives Ziel für Cyberangriffe, die potenziell zu hohen wirtschaftlichen Schäden bis hin zu Versorgungsausfällen führen können. Um die Betreiber Kritischer Infrastrukturen noch wirksamer zu unterstützen, hat das Mobile Incident Response Teams (MIRT) eingerichtet. Diese Spezial-Task-Forces bestehen aus Cybersicherheitsexpertinnen und -experten des , die auf Wunsch der -Betreiber besonders schwerwiegende Cyberangriffe vor Ort untersuchen und bei deren Bewältigung helfen.
; Das unterstützt -Betreiber aktiv, auch vor Ort
 
sind ein attraktives Ziel für Cyberangriffe, die potenziell zu hohen wirtschaftlichen Schäden bis hin zu Versorgungsausfällen führen können
== Gesetzliche Grundlagen ==
* Um die Betreiber Kritischer Infrastrukturen noch wirksamer zu unterstützen, hat das Mobile Incident Response Teams (MIRT) eingerichtet
* Diese Spezial-Task-Forces bestehen aus Cybersicherheitsexpertinnen und -experten des , die auf Wunsch der -Betreiber besonders schwerwiegende Cyberangriffe vor Ort untersuchen und bei deren Bewältigung helfen


=== Gesetzliche Grundlagen ===
* EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie)
* EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie)
* EU-Richtlinie 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie)
* EU-Richtlinie 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie)
Zeile 116: Zeile 137:




<noinclude>


== Links ==
== Anhang ==
 
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Links ====
===== Weblinks =====
# https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-Richtlinie/nis-richtlinie_node.html
# https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-Richtlinie/nis-richtlinie_node.html
# NIS-2-Richtlinie (PDF, deutsche Fassung aus dem Amtsblatt der Europäischen Union)
# Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes NIS2UmsuCG
# Schlagworte zum Thema:&nbsp; EU-Recht, Gesetz, Cybersicherheit
# https://www.haufe.de/compliance/recht-politik/nis-2-richtlinie-muss-bis-oktober-2024-umgesetzt-werden_230132_606072.html
# https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
# https://eur-lex.europa.eu/eli/dir/2022/2555/oj
# https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-aktuell/kritis-aktuell_node.html




 
[[Kategorie:Informationssicherheit/Recht]]
 
</noinclude>
 
= Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie) =
 
 
 
Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.
 
iStock by Getty Images -1169999045 aismagilov
 
Die 2016 eingeführten Cybersicherheitsvorschriften der EU wurden durch die 2023 in Kraft getretene NIS2-Richtlinie aktualisiert. Es modernisierte den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich entwickelnden Bedrohungslandschaft für Cybersicherheit Schritt zu halten. Durch die Ausweitung des Anwendungsbereichs der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen verbessert sie die Resilienz- und Reaktionskapazitäten öffentlicher und privater Stellen, der zuständigen Behörden und der EU insgesamt weiter.
 
Die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie) sieht rechtliche Maßnahmen vor, um das Gesamtniveau der Cybersicherheit in der EU zu erhöhen, indem Folgendes gewährleistet wird:* Vorbereitung der Mitgliedstaaten, indem sie verlangt, dass sie angemessen ausgerüstet sind. Zum Beispiel mit einem Computer Security Incident Response Team (CSIRT) und einer zuständigen nationalen Behörde für Netzwerk- und Informationssysteme (NIS),
* Zusammenarbeit zwischen allen Mitgliedstaaten durch Einsetzung einer Kooperationsgruppe
 
* zur Unterstützung und Erleichterung der strategischen Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten.
* eine Kultur der Sicherheit in allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind und stark auf IKT angewiesen sind, wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitsversorgung und digitale Infrastruktur.
 
 
 
Unternehmen, die von den Mitgliedstaaten als Betreiber wesentlicher Dienste in den oben genannten Sektoren eingestuft wurden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen.# https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
# https://eur-lex.europa.eu/eli/dir/2022/2555/oj
# https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-aktuell/kritis-aktuell_node.html

Aktuelle Version vom 5. Mai 2024, 15:06 Uhr

NIS2-Richtlinie - Maßnahmen für ein hohes Cybersicherheitsniveau

Beschreibung

Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union

  • EU-Richtlinien zur Netzwerk- und Informationssicherheit

EU-weite Gesetzgebung zur Cybersicherheit

Rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU

Die 2016 eingeführten Cybersicherheitsvorschriften der EU wurden durch die 2023 in Kraft getretene NIS2-Richtlinie aktualisiert

  • Es modernisierte den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich entwickelnden Bedrohungslandschaft für Cybersicherheit Schritt zu halten
  • Durch die Ausweitung des Anwendungsbereichs der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen verbessert sie die Resilienz- und Reaktionskapazitäten öffentlicher und privater Stellen, der zuständigen Behörden und der EU insgesamt weiter

Die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie) sieht rechtliche Maßnahmen vor, um das Gesamtniveau der Cybersicherheit in der EU zu erhöhen, indem Folgendes gewährleistet wird:

  • Vorbereitung der Mitgliedstaaten, indem sie verlangt, dass sie angemessen ausgerüstet sind
  • Zum Beispiel mit einem Computer Security Incident Response Team (CSIRT) und einer zuständigen nationalen Behörde für Netzwerk- und Informationssysteme (NIS)
  • Zusammenarbeit zwischen allen Mitgliedstaaten durch Einsetzung einer Kooperationsgruppe
  • zur Unterstützung und Erleichterung der strategischen Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten
  • eine Kultur der Sicherheit in allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind und stark auf IKT angewiesen sind, wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitsversorgung und digitale Infrastruktur

Unternehmen, die von den Mitgliedstaaten als Betreiber wesentlicher Dienste in den oben genannten Sektoren eingestuft wurden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren

  • Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen.

Richtline zur Netz- und Informationssicherheit

Muss bis Oktober 2024 umgesetzt werden

Anfang 2023 ist die zweite Fassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) EU-weit in Kraft getreten

  • Die EU-Mitgliedsstaaten müssen NIS 2 bis zum 17. Oktober 2024 in nationales Recht umsetzen
  • In Deutschland liegt bereits jetzt ein Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor

Daraus geht hervor, dass nicht nur die Zahl der betroffenen Unternehmen massiv ansteigen, sondern es zusätzlich auch noch wesentlich höhere Anforderungen geben wird

Cybersicherheit

Klarere Vorgaben für die Cybersicherheit

Die Europäische Union hat im Jahr 2016 mit der Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Security Directive, NIS 1) Vorschriften zur Cybersicherheit eingeführt

  • NIS 1 verpflichtete die EU-Mitgliedsstaaten Betreiber „kritischer Dienste“ zu ermitteln und für diese bestimmte Verfahren zur Cybersicherheit und Meldepflichten für Sicherheitsvorfälle einzuführen
  • Die Richtlinie wurde zeitnah in nationale Regelungen überführt: In Frankreich z. B. wurden Unternehmen zu Operateurs de Services Essentiels (OSE) erklärt, in Deutschland zu KRITIS-Betreibern (KRITIS = Kritische Infrastrukturen – mehr Details -)

Die nationalen Umsetzungen erfolgten jedoch uneinheitlich und sehr unterschiedlich, sodass vergleichbare Unternehmen in manchen der 27 EU-Staaten als kritische Dienste oder Betreiber eingestuft wurden, in anderen dagegen nicht: Je nach EU-Mitgliedsstaat lag die Zahl der kritischen Dienste daher zwischen 12 und 87 und die der Betreiber zwischen 20 und 10.897

  • Mit der Neufassung der NIS-Richtlinie (NIS 2) schafft die EU nun Klarheit und legt genau fest, welche Unternehmen zu den kritischen Diensten gehören und welche Anforderungen für sie gelten
  • Die Unternehmen werden verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu erhöhen, strengere Sicherheitsstandards zu etablieren und ihre IT-Systeme stets auf dem neuesten Stand zu halten

Geltungsbereich

Deutliche Ausweitung des Geltungsbereichs

Der Geltungsbereich der neuen NIS-Richtlinie geht weit über die bisher bekannten Schlüsselunternehmen im Bereich der kritischen Infrastrukturen hinaus

„wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“

Konkret wird bei NIS 2 zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden

Wesentliche Einrichtungen (Essential Entities)

  • Energie – Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Wasserstoff, Heizung sowie Ladestationen für die Elektromobilität
  • Straßen-, Schienen, Luft- und Schiffsverkehr – dazu zählen auch Reedereien, Hafenanlagen und Flughäfen
  • Wasser – Trink- und Abwasserversorgungsunternehmen
  • Digitale Infrastruktur und IT-Dienste – dazu zählen auch Rechenzentren, Cloud-Dienste, elektronische Kommunikationsdienste, Internetknoten sowie Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste
  • Bank- und Finanzwesen – Kredit, Handel, Markt, Infrastruktur und Versicherungswesen
  • Gesundheit – Gesundheitsdienstleister, Pharmazeutika, Hersteller medizinischer Geräte, Forschungseinrichtungen
  • Öffentliche Verwaltung
  • Raumfahrt

Einrichtungen (Important Entities)

  • Abfallwirtschaft
  • Post- und Kurierdienste
  • Chemische Erzeugnisse – Produktion und Vertrieb
  • Lebensmittel – Produktion und Vertrieb
  • Hersteller – Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel
  • Digitale Anbieter – Suchmaschinen, soziale Netzwerke, Online-Marktplätze
  • Forschungseinrichtungen
Unternehmensgröße und Umsatz

Welche Unternehmen die NIS-2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz

  • Unterschieden werden dabei mittlere und große Unternehmen:
  • Mittelgroße Unternehmen – 50 bis 250 Mitarbeiter, 10 bis 50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR
  • Große Unternehmen – mehr als 250 Mitarbeiter, mehr als 50 Millionen EUR Umsatz, Bilanzsumme größer als 43 Millionen EUR

Die konkreten Angaben zur Bemessung der Unternehmensgröße haben zur Folge, dass sich die Zahl der Unternehmen, die zum Bereich der kritischen Infrastrukturen gezählt werden, massiv erhöht

  • NIS 2 sorgt dafür, dass Maßnahmen zur Stärkung der Cybersicherheit für die breite Masse der Unternehmen in ganz Europa obligatorisch werden
  • Allein in Deutschland werden etwa 30.000 Unternehmen von NIS 2 betroffen sein
Betroffenheit muss selbst ermittelt werden

Unternehmen, für die NIS 2 gilt, müssen ein Risikomanagement einführen und technische sowie organisatorische Vorkehrungen treffen, um die Sicherheit ihrer Anlagen, Netzwerke, IT-Systeme und Lieferketten zu erhöhen und abzusichern

  • Das Besondere dabei ist, dass die Unternehmen anhand der genannten Kriterien selbst ermitteln müssen, ob NIS 2 für sie zutrifft
  • Ihnen wird von behördlicher Seite nicht mitgeteilt, dass für sie die NIS-2-Vorgaben gelten

Meldepflicht

Verschärfung der Meldepflicht

Unternehmen müssen ihrer nationalen Cyber Security Authority unverzüglich signifikante Störungen, Vorfälle und Cyber Threads melden

  • In Deutschland ist die zuständige Behörde das Bundesamt für Sicherheit in der Informationstechnik (BSI)
Dreistufiger Prozess
  1. Innerhalb von 24 Stunden muss direkt nach Bekanntwerden eines Vorfalls ein vorläufiger Bericht übermittelt werden
  2. Innerhalb von 72 Stunden muss ein vollständiger Bericht folgen, der auch eine erste Bewertung des Vorfalls enthält
  3. Innerhalb eines Monats muss ein Abschlussbericht eingereicht werden, der detaillierte Beschreibungen des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält

Sanktionsmaßnahmen

Verschärfung der Sanktionsmaßnahmen

Außer der Meldepflicht für Vorfälle verschärft NIS 2 auch die Sanktionen für die Missachtung der Vorgaben

  • Bei wesentlichen Einrichtungen können die Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist
  • Bei wichtigen Einrichtungen ist das maximale Bußgeld auf 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes gedeckelt
Referentenentwurf des Bundesinnenministeriums

Der Referentenentwurf des Bundesinnenministeriums sieht außerdem vor, dass

  • Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften
  • Das Bußgeld kann dabei maximal 2 Prozent des weltweiten Jahresumsatzes betragen

Nationale Umsetzung und Rolle des BSI

NIS-2-Richtlinie in Kraft getreten

Am 27.12.2022 wurde die zweite -Richtlinie zur Netzwerk- und Informationssicherheit () im Amtsblatt L333 der Europäischen Union veröffentlicht

  • Die Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen
  • Die aktuelle stellt eine Weiterentwicklung der (ersten) aus dem Jahr 2016 dar („EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“)

Das nationale Gesetz zur Umsetzung der wird derzeit erarbeitet

  • Die Federführung dafür liegt beim Bundesministerium des Innern und für Heimat
  • Wir bitten um Verständnis, dass das sich nicht zu Gesetzgebungsvorhaben äußert, deren Abstimmung innerhalb der Bundesregierung noch nicht abgeschlossen ist

Historie der aus dem Jahr 2016

Das Gesetz zur Umsetzung wurde am 29.06.2017 verkündet

  • Es diente im Wesentlichen der Umsetzung der in deutsches Recht
  • Die definiert Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union
  • Mit der wurde ein einheitlicher Rechtsrahmen für den -weiten Aufbau nationaler Kapazitäten für die Cybersicherheit geschaffen
  • Insbesondere sieht die eine stärkere Zusammenarbeit der Mitgliedstaaten sowie Mindestsicherheitsanforderungen und Meldepflichten für Kritische Infrastrukturen () sowie für bestimmte Anbieter digitaler Dienste vor
  • Das erhielt vor diesem Hintergrund neue Aufgaben und Befugnisse

In Deutschland existierte mit dem -Sicherheitsgesetz (-SiG) bereits seit Juli 2015 ein einheitlicher Rechtsrahmen für die Zusammenarbeit von Staat und Unternehmen für mehr Cybersicherheit bei

  • Das -SiG sieht vor, dass -Betreiber sich beim registrieren, ihre -Sicherheit nach dem "Stand der Technik" umsetzen und erhebliche -Sicherheitsvorfälle an das melden

Erweitert die Befugnisse des BSI und stärkt gleichzeitig die Kooperation von Staat und Wirtschaft

Das setzt sich dafür ein, dass der mit dem gelebte kooperative Ansatz im Zuge der nationalen Umsetzung der intensiviert wird, da die erheblichen Herausforderungen im Bereich der -Sicherheit nur von Staat und Wirtschaft gemeinsam bewältigt werden können

  • Damit wird das seiner Vorreiterrolle innerhalb der auf dem Gebiet der Cybersicherheit gerecht
Das unterstützt -Betreiber aktiv, auch vor Ort

sind ein attraktives Ziel für Cyberangriffe, die potenziell zu hohen wirtschaftlichen Schäden bis hin zu Versorgungsausfällen führen können

  • Um die Betreiber Kritischer Infrastrukturen noch wirksamer zu unterstützen, hat das Mobile Incident Response Teams (MIRT) eingerichtet
  • Diese Spezial-Task-Forces bestehen aus Cybersicherheitsexpertinnen und -experten des , die auf Wunsch der -Betreiber besonders schwerwiegende Cyberangriffe vor Ort untersuchen und bei deren Bewältigung helfen

Gesetzliche Grundlagen

  • EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie)
  • EU-Richtlinie 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie)
  • Gesetz zur Umsetzung der NIS-Richtlinie



Anhang

Siehe auch

Links

Weblinks
  1. https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-Richtlinie/nis-richtlinie_node.html
  2. NIS-2-Richtlinie (PDF, deutsche Fassung aus dem Amtsblatt der Europäischen Union)
  3. Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes NIS2UmsuCG
  4. Schlagworte zum Thema:  EU-Recht, Gesetz, Cybersicherheit
  5. https://www.haufe.de/compliance/recht-politik/nis-2-richtlinie-muss-bis-oktober-2024-umgesetzt-werden_230132_606072.html
  6. https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
  7. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
  8. https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-aktuell/kritis-aktuell_node.html
Abgerufen von „https://wiki.foxtom.de/index.php?title=NIS2&oldid=100093