Die Anforderungen an die Cybersicherheit steigen. Mit der Umsetzung der EU-Richtlinie NIS-2 stehen Betreiber kritischer Infrastrukturen (KRITIS) und Unternehmen aus anderen wichtigen Sektoren vor neuen Herausforderungen. Wir bieten Ihnen eine umfassende Orientierung und praktische Hilfestellung, um Ihre Organisation sicher und gesetzeskonform aufzustellen.

Die EU-Richtlinie NIS-2 (Abkürzung für Network and Information Security Directive 2) zielt darauf ab, die Cybersicherheit in Europa ganzheitlich zu stärken. Sie verpflichtet Unternehmen aus kritischen und wichtigen Sektoren zu strengen Sicherheitsmaßnahmen. Die NIS-2-Richtlinie ist von entscheidender Bedeutung, um die Resilienz gegen Cyberangriffe zu erhöhen, kritische Infrastrukturen zu schützen, wirtschaftliche Stabilität zu sichern und das Vertrauen in digitale Technologien zu stärken. Denn ohne solche Maßnahmen könnten gravierende gesellschaftliche, wirtschaftliche und sicherheitspolitische Schäden entstehen.

Am 27. Dezember 2022 wurde die NIS-2-Richtlinie zur Netzwerk- und Informationssicherheit im Amtsblatt L333 der Europäischen Union veröffentlicht. Die Mitgliedsstaaten sind verpflichtet, die Richtlinie bis zum 17. Oktober 2024 in nationales Recht zu überführen.

Allerdings hat Deutschland diese Deadline nicht eingehalten. Das deutsche NIS-2-Umsetzungs- und Cybersicherheitsgesetz (NIS2UmsuCG) liegt aktuell nur als Regierungsentwurf vor. Da keine Einigung erzielt wurde, wird das NIS2UmsuCG nicht mehr in der aktuellen Legislaturperiode verabschiedet. Die Umsetzung der EU-Richtlinie bleibt damit weiter offen, während das Vertragsverletzungsverfahren der EU gegen Deutschland andauert (Stand 30.01.25).

Die NIS-2-Richtlinie ist eine Weiterentwicklung der ersten NIS-Richtlinie aus dem Jahr 2016. Sie ist als Richtlinie nicht direkt anwendbar, sondern muss von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Die Kernziele der NIS-2-Richtlinie sind die Harmonisierung der Cybersicherheitsvorschriften innerhalb der EU, die Schaffung einer stärkeren Zusammenarbeit zwischen Mitgliedsstaaten und die Verbesserung der Meldestruktur für Sicherheitsvorfälle.

Auf der Website des BSI finden Sie weitere Informationen rund um die EU-Richtlinien zur Netzwerk- und Informationssicherheit.

Die Umsetzung der NIS-2-Richtlinie bringt zahlreiche Verpflichtungen mit sich, die Unternehmen auf organisatorischer und technischer Ebene umsetzen müssen. Im Folgenden werden die zentralen Anforderungen der Richtlinie erläutert.

Wichtige Inhalte der NIS-2 sind:

• Erhöhung der Mindestanforderungen an Cybersicherheit: Unternehmen müssen nachweisbare Maßnahmen implementieren. Sie sind verpflichtet, ihre IT-Infrastruktur regelmäßig zu überprüfen, um Sicherheitslücken zu identifizieren und geeignete Maßnahmen zum Schutz vor und zur Prävention gegen potenzielle Cyberangriffe zu ergreifen. Dazu zählen unter anderem Risikomanagement, die Sicherung der Lieferkette, eine optimierte Netzwerksicherheit, strengere Zugangskontrollen und der Einsatz von Verschlüsselungstechnologien.
   
• Verpflichtende Meldungen von Sicherheitsvorfällen: Im Falle eines Cyberangriffs sind Unternehmen aus kritischen Sektoren verpflichtet, effektive Meldeverfahren für Cybersicherheitsvorfälle einzurichten. Die NIS-2-Richtlinie schreibt vor, dass eine Frühwarnung innerhalb von 24 Stunden nach Kenntnis erfolgen muss, wenn ein Verdacht auf rechtswidrige oder böswillige Handlungen besteht oder grenzüberschreitende Auswirkungen vermutet werden. Ein ausführlicher Bericht mit einer ersten Bewertung des Vorfalls, einschließlich Schweregrad und Auswirkungen, ist innerhalb von 72 Stunden einzureichen. Ein Fortschritts- oder Abschlussbericht mit detaillierten Angaben zur Bedrohung, zu den Ursachen und den Abhilfemaßnahmen muss spätestens einen Monat nach der Meldung vorgelegt werden. Dies ist wichtig, da nur so Angriffstrends erkannt und zeitnah über Lagebilder veröffentlicht werden können.
   
• Strenge Sanktionen bei Nichteinhaltung: Die NIS-2 verlangt von Führungskräften, die Verantwortung für die Überwachung der Cybersicherheitsmaßnahmen ihres Unternehmens zu übernehmen und sich umfassend mit den Vorgaben der NIS-2-Richtlinie vertraut zu machen. Verstöße gegen die Anforderungen können schwerwiegende Sanktionen für die Verantwortlichen nach sich ziehen, beispielsweise Bußgelder und Reputationsverluste.
   
  • Beispiel 1: Ein regionaler Energieversorger (Essential Entity), der grundlegende Sicherheitsupdates und Notfallpläne vernachlässigt, erleidet nach einem Hackerangriff einen Stromausfall, was zu einem Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes sowie erheblichen Reputationsverlusten führt.
     
  • Beispiel 2: Ein privates Krankenhaus (Important Entity) speichert Patientendaten unverschlüsselt und ohne regelmäßige Sicherheitsüberprüfungen, wodurch nach einem Cyberangriff sensible Gesundheitsdaten gestohlen werden. Dies zieht ein Bußgeld von bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes sowie rechtliche und reputative Folgen nach sich.

     ​​​​​​​​​​​​​​In beiden Fällen drohen den verantwortlichen Führungskräften persönliche Haftung und strafrechtliche Konsequenzen.

• Sicherstellung der Geschäftskontinuität: Von Unternehmen wird verlangt, im Falle eines größeren Cyberangriffs ihre Geschäftskontinuität sicherzustellen. Dies umfasst Maßnahmen wie die Erstellung vollständiger Backups, die Implementierung von Notfallplänen und das Einrichten eines Incident-Response-Teams, um potenzielle Schäden effektiv zu begrenzen.
   
• Schulungen und Sensibilisierung: Die NIS-2-Richtlinie betont die entscheidende Rolle der menschlichen Komponente in der Cybersicherheit. Neben technischen und organisatorischen Maßnahmen fordert die Richtlinie, dass Unternehmen ihre Mitarbeitenden proaktiv in die Gewährleistung der Informationssicherheit einbinden. Dazu gehören regelmäßige Schulungen und Sensibilisierungsmaßnahmen, um eine robuste Sicherheitskultur im Unternehmen zu etablieren.

PHYSEC unterstützt Ihr Unternehmen umfassend bei der Umsetzung der NIS-2-Richtlinie. Das schaffen wir durch einen einzigartigen, ganzheitlichen Ansatz, der IT-, OT- und IoT-Sicherheit nahtlos mit physischen Sicherheitsmaßnahmen verbindet. Dabei arbeiten wir eng mit erfahrenen Branchenexperten und kompetentenPartnern zusammen - für maßgeschneiderte Sicherheitslösungen und höchste Schutzstandards für Ihre kritischen Infrastrukturen.

1. Ganzheitliche Risikoanalyse für IT-, OT- und IoT-Infrastrukturen: PHYSEC bietet eine umfassende Sicherheitsbewertung, die IT-, OT- und IoT-Systeme gleichermaßen berücksichtigt. Durch die Identifikation und Analyse von Schnittstellen und Abhängigkeiten zwischen digitalen und physischen Systemen erkennen wir komplexe Schwachstellen, die traditionelle IT-Sicherheitsaudits oft übersehen. So zeigen wir Ihnen zuverlässig, wo Handlungsbedarf besteht - damit alle Systeme widerstandsfähig gegenüber Cyberangriffen und physischen Bedrohungen sind.
    
2. Implementierung integrierter Sicherheitsarchitekturen (Cyber- + physisch): Mit unserem konvergenten Ansatz entwickeln wir Sicherheitslösungen, die Cyber- und physische Sicherheitsmaßnahmen nahtlos verbinden. Dazu gehören z. B. IoT-basierte Zugangskontrollsysteme, Sensorik zur Umgebungsüberwachung sowie Netzwerksegmentierung für OT-Umgebungen. Dieser integrative Schutz erfüllt nicht nur die Anforderungen der NIS-2-Richtlinie, sondern auch die zukünftigen Vorgaben des KRITIS-Dachgesetzes zur physischen Sicherheit.
    
3. Echtzeit-Monitoring und Anomalieerkennung für IoTree Instanzen: PHYSEC bietet leistungsstarke Überwachungslösungen, die Anomalien und potenzielle Angriffe auf IoTree Instanzen erkennen. Diese Lösungen ermöglichen Unternehmen, sicherheitsrelevante Vorfälle frühzeitig zu identifizieren und gezielte Maßnahmen zur Sicherung ihrer Infrastruktur zu ergreifen.
   
   
4. Entwicklung maßgeschneiderter Sicherheitsrichtlinien und Schulungsprogramme: Wir unterstützen Unternehmen bei der Erstellung und Umsetzung unternehmensweiter Sicherheitsrichtlinien, die sowohl digitale als auch physische Risiken abdecken. Ergänzend bieten wir praxisnahe Schulungen für Mitarbeitende und Führungskräfte an, um das Sicherheitsbewusstsein zu stärken und Compliance mit der NIS-2-Richtlinie sicherzustellen. Dabei liegt ein besonderer Fokus auf der Sensibilisierung für die Risiken in OT- und IoT-Umgebungen.
    
5. Zertifizierbare Sicherheitslösungen für kritische Infrastrukturen: PHYSEC bietet zertifizierungsfähige Sicherheitskonzepte, die den hohen Anforderungen der NIS-2-Richtlinie sowie des KRITIS-Dachgesetzes gerecht werden. Dazu zählen geprüfte Lösungen zur Absicherung von Produktionsanlagen, Versorgungsnetzen und IoT-Geräten. Dies ermöglicht es Unternehmen, ihre Sicherheitsmaßnahmen nachweislich zu dokumentieren und sich auf Audits oder behördliche Prüfungen vorzubereiten.

Mit dem einzigartigen konvergenten Ansatz von PHYSEC erhalten Unternehmen umfassenden Schutz. Dadurch erfüllen sie nicht nur die aktuellen Anforderungen der NIS-2-Richtlinie, sondern sind auch optimal auf zukünftige gesetzliche Vorgaben, wie das KRITIS-Dachgesetz, vorbereitet.

Persönlichen Beratungstermin vereinbaren

Die NIS-2-Richtlinie unterscheidet zwischen zwei Gruppen. Jede Einrichtung wird dazu je nach ihrer Bedeutung und ihrem Einfluss auf die Gesellschaft und Wirtschaft in eine von zwei Kategorien eingestuft: wesentliche Einrichtungen (Essential Entities) und wichtige Einrichtungen (Important Entities). Die Einstufung erfolgt anhand bestimmter Kriterien, wie der Größe des Unternehmens sowie der Kritikalität des Sektors, in dem es tätig ist.

Öffentliche und private Einrichtungen in insgesamt 18 Sektoren sind betroffen, sofern sie mindestens 50 Beschäftigte haben oder einen Jahresumsatz und eine Jahresbilanzsumme von mindestens 10 Millionen Euro erreichen. Einige Sonderfälle sind unabhängig von ihrer Größe ebenfalls einbezogen.

Die Zuordnung zu den zwei Kategorien entscheidet, wie streng die Unternehmen durch Behörden beaufsichtigt werden und wie hoch Strafen bei Missachtung der Richtlinie ausfallen. Bußgelder bei wesentlichen Einrichtungen können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. In wichtigen Einrichtungen betragen die Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.

NIS-2 betrifft Unternehmen aus einer Vielzahl von Sektoren, darunter:

• Energieversorger
• Wasser- und Abwassermanagement
• Gesundheitseinrichtungen
• Transport und Logistik
• Finanzdienstleister

Durch den erweiterten Anwendungsbereich gilt NIS-2 nicht nur für Betreiber kritischer Infrastrukturen (KRITIS), sondern auch für eine Vielzahl weiterer Unternehmen, die als „wichtige Einrichtungen“ eingestuft werden.

Dazu gehören:

• Anbieter digitaler Dienste
• Kommunikationsnetze
• Logistik- und Transportdienstleister

Wenn Sie sich unsicher sind, ob Ihr Unternehmen vom Gesetzentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) betroffen ist, empfehlen wir die NIS-2-Betroffenheitsprüfung des BSI. Sie bietet Ihnen in wenigen Schritten eine erste Orientierung.