NIS-2-Richtlinie FAQ (Häufig gestellte Fragen)

KRITIS- Branchen gemäß Anhang I der NIS-2 Richtlinie

Sektoren mit hoher Kritikalität (KRITIS gem. NIS1) (gemäß NIS2 Artikel 3 Abs.(1) auch „wesentliche Einrichtungen genannt):

• Energie
• Verkehr
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser
• Abwasser (neu)
• Digitale Infrastruktur
• ICT-service Management B2B (neu)
• Öffentliche Verwaltung (neu)
• Weltraum (neu)

Teilsektoren und genaue Definition ist unter Anhang 1 der o.g. Richtlinie zu finden.

KRITIS- Branchen gemäß Anhang II der NIS-2 Richtlinie

Sonstige kritische Sektoren (gemäß NIS2 Artikel 3 Abs.(2) auch „wichtige Einrichtungen genannt):

• Post- und Kurierdienste (neu)
• Abfallbewirtschaftung (neu)
• Produktion, Herstellung und Handel mit chemischen Stoffen (neu)
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln (neu)
• Verarbeitendes/Herstellendes Gewerbe (neu)
  • Herstellung von Medizinprodukten und In-vitro-Diagnostika
  • Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
  • Herstellung von elektrischen Ausrüstungen
  • Maschinenbau
  • Herstellung von Kraftwagen, Kraftwagenteilen und sonstiger Fahrzeugbau
• Anbieter digitaler Dienste
• Forschung (neu, fakultativ)

Teilsektoren und genaue Definition ist unter Anhang 2 der o.g. Richtlinie zu finde.

Mittlere Unternehmen oder große Unternehmen, die gemäß KMU-Definition (kleine und mittlere Unternehmen) mehr als 50 Mitarbeiter ODER einen Jahresumsatz von mehr als 10 Mio EURO haben. Kleinstunternehmen und Kleinunternehmen sind davon NICHT betroffen.

Textauszug Kapitel 1 „Allgemeine Bestimmungen“ / Artikel 1 (Seite 29) NIS-2 Richtlinie

Diese Richtlinie gilt für öffentliche oder private Einrichtungen der in den Anhang I oder II
genannten Art, die nach Artikel 2 des Anhangs der Empfehlung 2003/361/EG als mittlere
Unternehmen gelten oder die Schwellenwerte für mittlere Unternehmen nach Absatz 1 jenes
Artikels überschreiten und ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben.

Empfehlung der Kommission vom 20.05.2003 „angenommene Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen“

Artikel 2- Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der
kleinen und mittleren Unternehmen Mitarbeiterzahlen und finanzielle Schwellenwerte zur Definition der Unternehmensklassen. 2002/361/EG

1. Die Größenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen
   (KMU) setzt sich aus Unternehmen zusammen, die weniger als 250 Personen beschäftigen und
   die entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren
   Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.
2. Innerhalb der Kategorie der KMU wird ein kleines Unternehmen als ein Unternehmen
   definiert, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR nicht übersteigt.
3. Innerhalb der Kategorie der KMU wird ein Kleinstunternehmen als ein Unternehmen
   definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet.

Quellennachweis

Gemäß Artikel 21 der NIS-2 Richtlinie müssen Einrichtungen / Unternehmen / Verwaltungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten!

Die u.a. folgend genannten Maßnahmen müssen unter Berücksichtigung des Stands der Technik und gegebenenfalls der einschlägigen europäischen und internationalen Normen sowie der Kosten der Umsetzung ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko und der Unternehmensgröße angemessen ist. Risikomaßnahmen sind gemäß einem Risiko basierten Vorgehen wirksam zu etablieren und liegen in der Verantwortung der Unternehmensleitung. Dazu zählen unter anderem:

• Die Erstellung von Risikoanalyse- und Informationssicherheitskonzepten
• Maßnahmen zur Bewältigung von Sicherheitsvorfällen
• Maßnahmen zur Aufrechterhaltung des Betriebs (wie Back-up-Management und Wiederherstellung)
• Konzepte für Zugriffskontrollen
• Die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung, gesicherte Kommunikation etc.

Weitere wichtige Maßnahmen sind der Richtlinie zu entnehmen. 

Die Unternehmen sollten gem. der Erwägungsgründe in Punkt 89 (Begründungen NIS-2-Richtlinie) eine umfangreiche Liste an grundlegenden Maßnahmen zur Cyberhygiene (auch in Bezug auf ihre Lieferketten) einführen, z.B.:

• Zero-Trust-Prinzip
• Software-Updates
• Gerätekonfiguration
• Netzwerksegmentierung
• Identitäts- und Zugriffsmanagement
• Sensibilisierung der Anwender/Nutzer
• Schulungen für Anwender/Nutzer
• Bewertung der eigenen
• Cybersicherheitskapazitäten und gegebenenfalls Integration von Technologien zur Verbesserung der Cybersicherheit, wie künstliche Intelligenz oder Machine-Learning

Siehe NIS-2 Richtlinie Artikel 23, insbesondere Abs.4 und folgende, sowie Artikel 30

Die betreffenden Einrichtungen (Unternehmen/Verwaltung) müssen dem CSIRT oder gegebenenfalls der zuständigen Behörde jeden erheblichen Sicherheitsvorfall wie folgt berichten bzw. übermitteln:

• unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, eine Frühwarnung, in der gegebenenfalls angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;
• unverzüglich, in jedem Fall aber innerhalb von 72 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, eine Meldung über den Sicherheitsvorfall, in der gegebenenfalls die unter Buchstabe a genannten Informationen aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden.
• usw.

Gemäß Artikel 23 Absatz 4 Punkt d) und Folgende ist spätestens ein Monat nach Übermittlung der Meldung des Sicherheitsvorfalls ein Abschlussbericht vorzulegen.

In Artikel 32 (wesentliche Einrichtungen) und Artikel 33 (wichtige Einrichtungen) der NIS-2 Richtlinie werden die Aufsichts- und Durchsetzungsmaßnahmen genau beschrieben. Wichtige Auszüge daraus sind u.a.:

• Ad-hoc Prüfungen
• Regelmäßige Sicherheitsprüfungen
• Sicherheitsscans
• Ersuchen um Informationen und Zugang zu Beweismitteln.
• Weitere Punkte dazu findest du den genannten Artikeln der NIS-2-Richtlinie.

Eine bedeutende Unterscheidung ist hierbei zwischen „wesentlichen“ und „wichtigen“ Einrichtungen vorzunehmen.
Wesentliche Einrichtungen dürfen und werden laufend, also OHNE Anlass und „wichtige“ Einrichtungen nur im Fall eines begründeten Verdachts geprüft werden.

Die Kosten der Sicherheitsprüfung durch eine unabhängige Stelle müssen durch die geprüfte Einrichtung (Unternehmen) (Art. 32 Abs. 2) bezahlt werden.

Die daraus resultierenden Durchsetzungsmaßnahmen gehen dabei von einfachen Warnungen über verbindliche Anweisungen zur Optimierung der Cybersicherheit bis zur Verhängung von Geldbuße (Artikel 34 NIS-2 Richtlinie).

Der Strafrahmen ist in Artikel 34 der NIS-2 Richtlinie beschrieben und unterscheidet auch hier zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Verstöße werden hierbei laut den nationalen, gesetzlichen Vorgaben sanktioniert.

Anmerkung der Redaktion: Die Interpretation der original Gesetzestexte über das Strafmaß überlassen wir gerne dir, da auch für uns aktuell noch nicht ganz nachvollziehbar ist, was der Gesetzgeber nun als Mindest- und Höchstgrenze definiert hat (Beachte: mindestens und Höchstgrenze).

NIS-2 – Art.34 Abs.4 – Wesentliche Einrichtungen

Wesentliche Einrichtungen erhalten bei Verstößen Bußgelder im Rahmen eines Höchstbetrags von mindestens 10.000.000,00 EUR oder mit einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, verhängt werden, je nachdem, welcher Betrag höher ist.

NIS-2 – Art.34 Abs.5 – Wichtige Einrichtungen

Wichtige Einrichtungen erhalten bei Verstößen Bußgelder im Rahmen eines Höchstbetrags von mindestens 7.000.000,00 EUR oder mit einem Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, verhängt werden, je nachdem, welcher Betrag höher ist.