EFS Consulting
Home / Insights / NIS-2-Richtlinie: Ein Meilenstein für die Cybersicherheit in Europa
search-icon
Contact EN
EFS Consulting
LinkedIn Instagram Spotify Apple Podcasts Youtube
Information Security
Wolfgang Walter, Engagement Manager bei EFS Consulting

Wolfgang Walter

Linked In get in touch

Victoria Langejürgen

Linked In get in touch
10.12.2024

NIS-2-Richtlinie: Ein Meilenstein für die Cybersicherheit in Europa

Die EU-Mitgliedsstaaten sind verpflichtet das Netz- und Informationssicherheitsgesetz (NIS) 2 in nationales Recht umzusetzen. Sieben EU-Mitgliedsstaaten haben dies schon getan, unter anderem in Belgien, Italien und Kroatien. Auch in Österreich und Deutschland wird die Umsetzung bis Q1 2025 in nationales Recht kommen. Die Umsetzung ist für 18 definierte Sektoren relevant: beispielsweise Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasser, Abfallbewirtschaftung, Chemie, Lebensmittel und Forschung. In der EU sind somit rund 160.000 Unternehmen von der NIS-2-Richtlinie betroffen. Das Management betroffener Unternehmen wird durch die Richtlinie direkt in die Pflicht genommen und haftet mit eigenem Vermögen.

Das Wichtigste in Kürze 

  • Die Geschäftsführung hat die Umsetzung der durch NIS 2 geforderten Maßnahmen zu verantworten, ist entsprechend zu schulen und haftet persönlich für schuldhaft verursachte Schäden.  
  • Die europäische NIS-2-Richtlinie schreibt die Implementierung eines risikobasierten Informations-Sicherheits-Management-Systems (ISMS) vor.  
  • In Österreich und Deutschland sind noch keine NIS 2 Umsetzungsgesetze verabschiedet, Gesetzesentwürfe liegen aber zur Begutachtung vor.  
  • Mittlere und große Unternehmen vieler Branchen sind nun betroffen, wie Industrie, Forschung, Lebensmittel, Chemikalien, Abfall, Post und viele weitere. 
  • Es entstehen Pflichten gegenüber der national benannten Behörde, z.B. zur Registrierung, Meldung von Incidents oder Bereitstellung von Daten im Rahmen von Audits.  

 

Was ist die NIS2-Richtlinie? 

Um kritische Infrastrukturen zu schützen, hat das Europäische Parlament eine neue Richtlinie verabschiedet: NIS-2-Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der Union.  

Hintergrund und Ziel der Richtlinie 

Ausfall von Produktionsanlagen durch gezielte Manipulation oder Ransomware, Diebstahl sensibler Daten und Gefährdung der Sicherheit durch Deaktivierung IT-gestützter Qualitätssicherungssysteme sind nur eine Auswahl möglicher Cyberangriffe und deren Auswirkungen auf Unternehmen. Mit der neuen NIS-2-Richtlinie wird der Cybersecurity kritischer Infrastrukturen in der EU eine besondere Relevanz zugeschrieben, indem einheitliche Cybersicherheitsanforderungen an Netz- und Informationssysteme der EU-Mitgliedsstaaten geschaffen werden.  

NIS 2 vs. Vorgänger NIS-Richtlinie 

Bei der Vorgänger NIS-Richtlinie lag der Fokus primär im Aufbau der Ressourcen, Kapazitäten und dem Cybersecurity Know-how in den Mitgliedsstaaten. Die NIS 2 konkretisiert nun die Anforderungen, um so ein einheitliches Cybersicherheitsniveau in den Mitgliedsstaaten zu erreichen. Auch die betroffenen Sektoren und Einrichtungen sind definiert. 

Kernpunkte der NIS2-Richtlinie  

Die NIS-2-Richtlinie erhöht die Anforderungen und Pflichten zur Umsetzung von Cybersicherheit bei betroffenen Unternehmen. Es wird ein Cybersecurity Risikomanagement gefordert. Die Risikoanalyse soll entsprechend der Geschäftstätigkeit mit geeigneten technischen, operativen und organisatorischen Maßnahmen verhältnismäßig implementiert werden. Das Risikomanagement der Lieferkette soll ebenfalls sichergestellt werden und Prozesse für die Notfallkommunikation müssen ausgearbeitet und im Unternehmen etabliert werden.  

Eine Forderung der NIS 2 ist das Einbeziehen des Managements. Der regelmäßige Besuch spezifischer Cybersicherheitsschulungen ist verpflichtend. Zudem wird es eine Meldepflicht bei erheblichen Cybersicherheitsvorfällen geben. Diese müssen innerhalb von 24 Stunden an das zuständige Cybersecurity Incident Response Team (CSIRT) gemeldet werden. 

Herausforderungen bei der Umsetzung 

Die Umsetzung in Österreich soll in das nationale Netz- und Informationssicherheitsgesetz 2024 (NISG 2024) erfolgen. Unklarheiten, aufgrund neuer Verantwortlichkeiten einer neuen Regierung und die Bündelung der Cybersecurity-Verantwortlichkeiten im Ministerium, haben zu einer Ablehnung des Gesetzesentwurf geführt (Stand Juli 2024). Das bietet den 5000 bis 6000 betroffenen österreichischen Unternehmen mehr Zeit in der Umsetzung. Die Umsetzung der NIS-2-Richtlinie ist verschoben auf das Folgejahr und wird durch die Umsetzung in das nationale Netz- und Informationssicherheitsgesetz 2025 (NISG 2025) geschehen. 

In Deutschland stößt die neue Richtlinie auf andere Herausforderungen. Die NIS-2-Richtlinie der EU soll auch als „Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ dienen. Kritiken an der NIS 2 berufen sich auf Ausnahmeregelungen für staatliche Verwaltungen und die Notwendigkeit einer besseren Kombination mit dem KRITIS-Dachgesetz. Auch eine Klarstellung der Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist hier gefordert. 

 

Warum ist die NIS2-Richtlinie so wichtig? 

Kritische Infrastrukturen sind aufgrund ihrer Komplexität und Vielzahl an Schnittstellen Cyberangriffen besonders ausgesetzt. Da Cyberangriffe die gesamte Lieferkette – von Produktionsanlagen, über Manipulation der Logistik oder Kassensystemen bis hin zum Diebstahl von Kundendaten – betreffen, ist eine stetige Evaluierung der Lieferkettensicherheit notwendig, um mögliche Schwachstellen frühzeitig zu erkennen. 

Wer muss die NIS2 umsetzen: Welche Unternehmen sind betroffen?  

Um eine europaweite Cyber-Resilienz zu erreichen, müssen europaweit rund 160.000 Unternehmen die NIS 2 Anforderungen umsetzen. Die Betroffenheit definiert sich aus der Zugehörigkeit zu einem der 18 betroffenen Sektoren, Unternehmensgröße sowie etwaigen länderspezifischen Schwellenwerten.  

Unterschied: wesentliches vs. wichtige Einrichtung 

Um die Wahrscheinlichkeit eines Cyberangriffes zu reduzieren, stellt die NIS 2 entsprechende Forderungen an Unternehmen. Unternehmen werden anhand des Gesetzes für sich feststellen müssen, ob sie unter „wesentliche Einrichtungen“ oder „wichtige Einrichtungen“ im Rahmen der NIS 2 fallen und sich dann bei der zuständigen Behörde im jeweiligen Land innerhalb von 3 Monaten nach Inkrafttreten des Gesetzes registrieren müssen. Ob ein Unternehmen, als „wesentliche Einrichtung“ oder „wichtige Einrichtung“ zählt, wird durch die Sektor Zugehörigkeit spezifiziert.  

Unterschiede in der Betroffenheit der beiden Einrichtungsarten macht die EU bei der Unternehmensgröße und Sanktionen. Die Vorgaben und Handlungsbedarfe unterscheiden sich nicht bei wesentlichen und wichtigen Einrichtungen. 

Wesentliche Einrichtungen, sind in Sektoren mit hoher Kritikalität positioniert (Anhang I der NIS 2): 

Sektor  Teilsektor 
Energie 
  • Elektrizität 
  • Fernwärme und –kälte 
  • Erdöl 
  • Erdgas 
  • Wasserstoff 
Verkehr 
  • Luftverkehr 
  • Schienenverkehr 
  • Schifffahrt 
  • Straßenverkehr 
Bankwesen  / 
Finanzmarktinfrastrukturen  / 
Gesundheitswesen  / 
Trinkwasser  / 
Abwasser  / 
Digitale Infrastruktur  / 
Verwaltung von IKT-Diensten (B2B)  / 
Öffentliche Verwaltung  / 
Weltraum  / 

 

Wichtige Einrichtungen als Teil sonstiger kritischer Sektoren (Anhang II der NIS 2):

Sektor  Teilsektor 
Post- und Kurierdienste /
Abfallbewirtschaftung  / 
Produktion, Herstellung und Handel mit chemischen Stoffen  / 
Produktion, Verarbeitung und Vertrieb von Lebensmitteln  / 
Verarbeitendes Gewerbe / Herstellung von Waren 
  • Herstellung von Medizinprodukten und In-vitro-Diagnostika 
  • Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen 
  • Herstellung von elektrischen Ausrüstungen 
  • Maschinenbau 
  • Herstellung von Kraftwagen und Kraftwagenteilen 
  • sonstiger Fahrzeugbau 
Anbieter digitaler Dienste  / 
Forschung /

 

Große, mittlere oder kleine Unternehmen? 

Es werden mittlere und große Unternehmen aus den insgesamt 18 Sektoren durch die neue Gesetzgebung zu IT-Sicherheitsmaßnahmen verpflichtet. Von der NIS 2 sind jene Unternehmen betroffen, welche als wesentliche Einrichtungengelten und folgende Größe haben: 

  • ≥ 250 Mitarbeitenden oder 
  • > 50 Mio. EUR jährlicher Umsatz und > 43 Mio. EUR Bilanz 

Als in der NIS 2 eingeordnete wichtige Einrichtungen, sind Unternehmen ab folgender Größe betroffen: 

  • ≥ 50 Mitarbeitenden oder 
  • > 10 Mio. EUR jährlicher Umsatz und > 10 Mio. EUR Bilanz 

Kleine Unternehmen (≤ 50 Mitarbeitende oder ≤ 10 Mio. EUR Umsatz) sind mit wenigen Ausnahmen nicht betroffen. Ausnahmen, welche die NIS 2 Anforderungen umsetzen müssen, sind Unternehmen, welche Anbieter von DNS-Diensten, TLD-Namensregistern und öffentliche elektronische Kommunikationsnetze oder -diensten sind. Eine indirekte Betroffenheit kleiner Unternehmen ist möglich, sofern sie als Dienstleister oder Lieferant für direkt betroffene Unternehmen tätig sind. 

 

Mögliche Sanktionen und Konsequenzen bei Missachtungen 

Die Vermeidung finanzieller Konsequenzen bei Nicht-Einhaltung spricht für die Umsetzung der NIS 2 bei betroffenen Unternehmen. Verstöße gegen die NIS 2 können beispielsweise eine unvollständige Übermittlung von Nachweisen, verspätete Benachrichtigung von Kund:innen und Behörden bei einem erheblichen Sicherheitsvorfall oder eine Nicht-Kooperation mit nationalen Behörden bei einem Anfangsverdacht sein. 

Bei Verstößen gegen die NIS-2-Richtlinie haften Leitungsorgane mit eigenem Vermögen. Anfallende Geldstrafen sind abhängig von der Art der Einrichtung. Für „wesentliche Einrichtungen“ belaufen sich diese auf bis zu 10 Mio. EUR bzw. 2% des weltweiten jährlichen Umsatzes. Behörden können außerdem Maßnahmen verordnen und einen Überwachungsbeauftragten ernennen. 

Für „wichtige Einrichtungen“ können Geldstrafen bis zu 7 Mio. EUR bzw. 1,4% des weltweiten jährlichen Umsatzes anfallen. Verstöße gegen die NIS 2 können zudem Reputationsschäden mit nachfolgenden Umsatzeinbußen mit sich ziehen. Weiters können Behörden Informationen zum Bearbeitungsstand eines Vorfalls anfragen oder die Wiederherstellung von Systemen beantragen. Auch der Zugang zu Räumlichkeiten kann bei einem Anfangsverdacht auf einen Sicherheitsvorfall verlangt werden und eine Nicht-Kooperation wird zusätzlich sanktioniert. 

 

Auswirkungen der NIS-2-Richtlinie 

Die NIS-2-Richtlinie hat weitreichende Auswirkungen auf verschiedene Bereiche, darunter Unternehmen, Wirtschaft und Gesellschaft. 

Unternehmen  

Rund 160.000 Unternehmen in den Mitgliedsstaaten müssen erhöhten Cybersicherheitsanforderungen gerecht werden und strengere Maßnahmen implementieren. Eine proaktive Umsetzung der Cybersicherheitsstandards stärkt die Marktposition und das Vertrauen von Kund:innen und Partnern. Die erhöhte Anzahl von Forderungen geht mit einer Risikominimierung durch gesteigerte Anforderungen an Mitarbeitende und Unternehmensprozessen sowie einem erhöhten Compliance-Risiko einher. Sanktionen bei Nicht-Erfüllung können folgen. Investitionen in neue Technologien und die Schulung von Mitarbeitenden müssen von betroffenen Unternehmen getätigt werden.  

Wirtschaft  

Mit Umsetzung der Cybersicherheitsmaßnahmen folgt eine gesteigerte Resilienz. Die Harmonisierung des europäischen Binnenmarktes stärkt die Widerstandsfähigkeit kritischer Infrastrukturen gegen Cyberangriffe. Zudem bietet die frühzeitige Prävention gegen Cyberangriffe einen erhöhten Schutz vor wirtschaftlichen Schäden. 

Gesellschaft 

Die Gesellschaft profitiert durch den Schutz kritischer Infrastrukturen wie Hersteller und Händler von Strom, Wasser und das Gesundheitswesen. Der Schutz sensibler Daten eines jeden Einzelnen stärkt das Vertrauen in die digitalen Infrastrukturen. Im Fall eines Cyberangriffes kann die Versorgung durch etablierte Prozesse, z.B. in der Lieferkette, sichergestellt und bei Ausfall zügig wieder hergestellt werden.  

 

Empfehlung und nächste Schritte für betroffene Unternehmen 

Die Umsetzung der NIS 2 Forderungen bietet das Fundament für eine nachhaltig erfolgreiche Cybersicherheit von Unternehmen. Im ersten Schritt müssen die für das Unternehmen verpflichtenden Vorgaben identifiziert werden. Auf Basis dessen können individuelle, auf die Organisation und Geschäftstätigkeit zugeschnittene Maßnahmen definiert werden, wie beispielsweise der Aufbau eines ISMS analog zur ISO/IEC 27001. 

 

Fazit  

Investitionen in die Cybersicherheit sind Investitionen in die Zukunftsfähigkeit von Unternehmen. NIS 2 bietet die Möglichkeit Cybersicherheit zu priorisieren und in bestehende Geschäftsprozesse zu integrieren, um auf die weltweit steigende Anzahl von Cyberangriffen vorbereitet zu sein. Die Umsetzung der NIS 2 bietet Unternehmen aus kritischen Infrastrukturen die Chance einer sicheren und vertrauenswürdigen Positionierung für Lieferanten, Mitarbeitenden und Endkunden. EFS Consulting unterstützt mit umfassenden Projekt-Erfahrungen bei der Weiterentwicklung von Best Practices sowie individualisierten Lösungen mit Augenmaß für Ihre Cybersicherheit. 

Mehr zur Business Area:
Information Security

Insights

ISO/IEC 27001:2022 – Lang ersehnt und endlich da. Was kommt auf Unternehmen zu?
Für Ihr ISMS ist ein Update verfügbar: Die neue Security-Norm ISO 27001

Mit Wolfgang Walter & Jonas Wagner

Auf diesem Bild ist ein Auto zu sehen, das mittels Sensoren andere Verkehrsteilnehmer:innen erkennt.
UNECE R157: Vorgaben zu Assistenzsystemen für automatisiertes Fahren
Whitepaper | Sichere Fahrzeuge durch UNECE R155 & ISO/SAE 21434
Informationssicherheit als Key Ressource

Mit Wolfgang Walter

All Insights