Für wen gilt NIS 2? Der Überblick mit Infografik!
Information Security Expert
August 30, 2024
5 min
Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.
Die NIS-2-Richtlinie setzt ab Oktober 2024 erhöhte Cybersicherheitsstandards für bestimmte Unternehmen in der EU. Sie gilt für Firmen ab 50 Mitarbeitenden und 10 Mio. Euro Umsatz in 18 festgelegten Sektoren.
Die Zugehörigkeit zu den „Essential Entities“ oder „Important Entities“ basiert auf der Unternehmensgröße und dem Sektor und bestimmt den Umfang der staatlichen Aufsicht und mögliche Sanktionen.
Ausnahmeregelungen können Unternehmen von der NIS-2-Richtlinie ausnehmen oder einbeziehen, unabhängig von ihrer Größe und ihrem Umsatz. Der „size-cap“-Ansatz ermöglicht eine differenzierte Regelung basierend auf Unternehmensgröße und -risiken.
Zur Erfüllung der NIS-2-Richtlinie empfiehlt sich die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001.
Der Überblick über NIS2
Von der neuen NIS2-Richtlinie sind viele deutsche Unternehmen und Einrichtungen betroffen. EU-weit gilt ab 2024 durch die NIS2-Richtlinie ein hohes Maß an Cybersicherheit für Betreiber kritischer Infrastruktur (KRITIS), etwa für die Sektoren Energie, Wasser und Gesundheit.
Doch noch herrscht viel Unsicherheit darüber, wer von der NIS2 eigentlich betroffen ist und welche Unternehmen sich jetzt schon damit auseinandersetzen sollten.
In diesem Artikel erklären wir Ihnen darum:
- für wen die neue EU-Richtlinie NIS2 gilt
- wie NIS2 mit KRITIS zusammenhängt
- welche Ausnahmen es bei der Zuordnung zu NIS2 gibt
- wie SECJUR die betroffenen Unternehmen bei der Umsetzung unterstützt
NIS2 – welche Unternehmen sind konkret von NIS2 betroffen?
Mit Inkrafttreten der NIS2-Richtlinie müssen ab 2024 Unternehmen in 18 Sektoren die festgelegten Mindeststandards der Informationssicherheit umsetzen. Die NIS2-Richtlinie gilt hierbei für Unternehmen ab 50 Mitarbeitern und Mitarbeiterinnen und 10 Mio. Euro Umsatz (siehe Grafik).
Einige Betreiber sollen unabhängig von ihrer Größe reguliert werden – dies betrifft Teile der digitalen Infrastruktur und der öffentlichen Verwaltung. Konkret reguliert die EU NIS2 bestimmte Betreiber (sogenannte Entities), die in 18 Sektoren aufgeteilt sind. Zu den „Essential Entities“ gehören Betreiber aus elf Sektoren und Sonderfälle, zu den „Important Entities“ gehören sieben Sektoren und mittlere Betreiber aller Sektoren.
Die Unterscheidung zwischen „Essential Entities“ und „Important Entities“ bestimmt auch den Umfang der staatlichen Aufsicht und die Sanktionierungsmöglichkeiten bei Missachtung und Zuwiderhandlung.
1. Kriterium: Die Unternehmensgröße
Unternehmen mit
- mindestens 50 Mitarbeiterinnen und Mitarbeitern und
- einem Jahresumsatz/einer Jahresbilanz von über 10 Mio. Euro
können unter den Anwendungsbereich der NIS-2-Richtlinie fallen, wenn Kriterium 2 auch erfüllt ist.
2. Kriterium: Der Unternehmenssektor
Ob eine Einrichtung unter die NIS 2 fällt, hängt zudem davon ab, ob sie zu einem der im Folgenden genannten 18 Unternehmenssektoren gehört. Der Unternehmenssektor ist das zweite ausschlaggebende Kriterium, zusätzlich zu der Unternehmensgröße.
Sind beide Kriterien erfüllt, fällt eine Einrichtung unter die NIS2-Richtlinie. Prüfen Sie also, ob ihr Unternehmen zu einem der 18 relevanten Sektoren gehört.
In der NIS2 gibt es elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren.
Diese NIS2-Sektoren ähneln denen der deutschen KRITIS-Einstufung:
- Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff) – entspricht dem KRITIS-Sektor „Energie“
- Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr) – KRITIS-Sektor „Transport“
- Bankwesen (Kreditinstitute) - KRITIS-Sektor „Finanzwesen“
- Finanzmarktinfrastruktur (Handelsplätze, Zentrale Gegenpartien) – KRITIS-Sektor „Finanzwesen“
- Gesundheit (Gesundheitsdienstleister; EU Labore, Medizinforschung, Pharmazeutik, Medizingeräte) – KRITIS-Sektor „Gesundheit“
- Trinkwasser (Wasserversorgung) – KRITIS-Sektor „Wasser“
- Abwässer (Abwasserentsorgung) – KRITIS-Sektor „Wasser“
- Digitale Infrastruktur (Internet-Knoten (IXP), DNS (ohne Root), TLD Registries, Cloud Provider, Rechenzentren, CDNs, Vertrauensdienste (TSP), Elektronische Kommunikation) – KRITIS-Sektor „IT“, teilweise TKG (Telekommunikationsgesetz)
- IKT-Dienstleistungsmanagement (B2B) (Managed Service Providers, Managed Security Service Providers) – keine KRITIS-Entsprechung
- Öffentliche Verwaltungen (Zentralregierung, regionale Regierung) – keine KRITIS-Entsprechung
- Weltraum (Bodeninfrastruktur) – teilweise KRITIS-Sektor „Transport“
- Post- und Kurierdienste (Postdienste) – teilweise KRITIS-Sektor „Transport“
- Abfallwirtschaft (Abfallbewirtschaftung) – KRITIS-Sektor „Entsorgung“
- Herstellung, Produktion und Vertrieb von Chemikalien – KRITIS-Sektor „UBI“ (3) (Unternehmen im besonderen öffentlichen Interesse)
- Lebensmittelproduktion, -verarbeitung und -vertrieb – KRITIS-Sektor „Ernährung“
- Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten – KRITIS-Sektor „UBI“ (2)
- Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke) – KRITIS-Sektor teilweise „TMG“ (Telemediengesetz)
- Forschung (Forschungsinstitute) – keine KRITIS-Entsprechung
Die Abwasserwirtschaft, die öffentliche Verwaltung und die Weltraumwirtschaft sind dabei neue Sektoren im Bereich der „wesentlichen Einrichtungen“.
Der Postsektor, die Abfallwirtschaft, die Chemie, die Lebensmittelwirtschaft, das produzierende Gewerbe sowie Digitalanbieter zählen nun zu den „wichtigen Einrichtungen“. Für „wichtige Einrichtungen“ sind dabei geringere Geldstrafen vorgesehen, und sie unterliegen einer reaktiven (anlassbezogenen) Aufsicht durch die Behörden.
Dies steht im Gegensatz zur proaktiven Aufsicht (ohne Anlass), welche den „wesentlichen Einrichtungen“ vorbehalten ist.
Infografik: Diese Unternehmen sind von der NIS 2 betroffen
Ausnahmen bei der Einstufung in NIS2
Unabhängig von der Größe und des Umsatzes eines Unternehmens gibt es zudem auch bestimmte Ausnahmen, etwa wenn ein Unternehmen kritische Tätigkeiten ausübt, Auswirkungen auf die öffentliche Ordnung nimmt oder Systemrisiken sowie grenzüberschreitende Auswirkungen bestehen, falls es ausfällt. Diese können vom Anwendungsbereich der NIS2 erfasst sein, selbst wenn sie weniger als 50 Mitarbeiterinnen und Mitarbeiter haben oder ihr Jahresumsatz unter 10 Mio. Euro liegt.
Gleichermaßen kann ein Unternehmen bei gewissen Ausnahmen auch gänzlich von der NIS2 ausgenommen sein:
Die NIS2-Richtlinie gilt nicht für Einrichtungen, die Tätigkeiten in Bereichen wie Verteidigung oder nationale Sicherheit, öffentliche Sicherheit und Strafverfolgung ausüben. Auch Justiz, Parlamente und Zentralbanken sind vom Anwendungsbereich ausgenommen. NIS2 wird hingegen für öffentliche Verwaltungen auf zentraler und regionaler Ebene gelten.
Darüber hinaus können die Mitgliedstaaten beschließen, dass sie auch für derartige Einrichtungen auf lokaler Ebene gilt.
Das hat es mit der „size-cap“-Regel auf sich
Die NIS-2-Richtlinie hat eine breitere Anwendung und baut auf den Grundlagen der vorherigen NIS-Richtlinie auf. Ein zentrales Ziel ist es, die Uneinheitlichkeit zwischen den Mitgliedstaaten in Bezug auf Cybersicherheitsanforderungen und die Umsetzung von Maßnahmen zu beseitigen. Dies ist ein großer Schritt nach vorn, da es Unternehmen und Regierungen ermöglicht, auf eine einheitliche Grundlage zurückzugreifen und so effektiver gegen Cyberbedrohungen vorzugehen.
Eine der zentralen Neuerungen von NIS 2 ist die Einführung der sogenannten „size-cap-Regel“. Damit werden mittlere und große Unternehmen in achtzehn verschiedenen Sektoren nach ihrer Größe reguliert, gemäß der Richtlinie 2003/361/EC. Diese Regelung ermöglicht es, gezielter auf die individuellen Bedürfnisse und Risiken von Unternehmen einzugehen und gleichzeitig sicherzustellen, dass alle relevanten Akteure angemessen geschützt sind.
Durch die Anwendung der size-cap-Regel schafft NIS 2 ein ausgewogenes Regelwerk, das gleichermaßen auf Start-ups, mittelständische Unternehmen und Großkonzerne zugeschnitten ist. Kleine Unternehmen, die oft nicht über die Ressourcen oder das Fachwissen verfügen, um komplexe Sicherheitsmaßnahmen zu implementieren, werden nicht übermäßig belastet. Gleichzeitig werden große Unternehmen dazu angehalten, ihre Verantwortung wahrzunehmen und angemessene Sicherheitsvorkehrungen zu treffen.
NIS2 – sind die Unternehmen überfordert?
Die zentrale Frage, die sich Unternehmen jetzt stellen, ist: Wie setzt man die aufwendigen Vorgaben der NIS2 korrekt um? Tatsächlich kommen zahlreiche Pflichten und Verantwortungen auf betroffene Unternehmen zu. Wer die Schwellenwerte überschreitet und damit der NIS2 unterliegt, muss ab 2024 die verschärften gesetzlichen Anforderungen an die Informationssicherheit umsetzen.
Gemäß der „Digital Trust Insights 2023“-Studie von PwC waren bereits 30 % der befragten Unternehmen Opfer von Datenverlusten im Millionenbereich aufgrund von Cyberangriffen geworden. Des Weiteren ergab die Studie, dass jedes vierte deutsche Unternehmen (26 %) einen deutlichen Anstieg von Angriffen auf Infrastrukturen im Zusammenhang mit Industrial Internet of Things (IIoT) und Betriebstechnologien (Operational Technology, OT) erwartet.
Der Digital-Branchenverband Bitkom gibt zudem in einer aktuellen Studie Einblick in Cyberangriffe auf die deutsche Wirtschaft. So erlitt die deutsche Wirtschaft 206 Milliarden Euro Schaden durch Cyberkriminalität.
Die zunehmende Vernetzung von Geräten und Systemen eröffnet neue Angriffsvektoren, die von Cyberkriminellen ausgenutzt werden können. Unternehmen müssen sich bewusst sein, dass die Sicherheit ihrer OT- und IIoT-Umgebungen von entscheidender Bedeutung ist und angemessene Sicherheitsmaßnahmen ergreifen, um sich gegen diese steigenden Bedrohungen zu schützen.
Jedoch gaben in der Digital Trust Insights 2023-Studie ganze 38 % der Befragten an, „einen Mangel an klar definierten Verantwortlichkeiten und Zuständigkeiten in der OT- und IT-Sicherheit“ zu haben. Weitere 37 % gaben eine „mangelnde Bewertung der Risiken und Auswirkungen auf Sicherheit, Gesundheit und Umwelt sowie der geschäftlichen/finanziellen Auswirkungen von Cyberangriffen“ an.
NIS2-Compliance umsetzen – mit einem automatisiertem ISMS
Risikomanagement, Zuständigkeiten, Notfallpläne: All diese Fäden laufen in Informationssicherheitsmanagementsystemen (ISMS) zusammen.
Ein ISMS ist ein systematischer Ansatz zur Verwaltung von Informationen und deren Sicherheit in einer Organisation. Es stellt zu weiten Teilen sicher, dass angemessene Sicherheitskontrollen implementiert sind, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten und Risiken durch Cyberangriffe zu minimieren.
Informationssicherheitsmanagementsysteme werden regelmäßig nach dem Goldstandard ISO27001 etabliert.
Die ISO 27001 ist eine international anerkannte Norm für Informationssicherheitsmanagementsysteme. Sie bietet einen qualifizierten, international anerkannten und weit bewährten Rahmen für die Einrichtung, Umsetzung, Überwachung und Verbesserung eines wirksamen ISMS.
Durch die Implementierung eines ISMS nach ISO 27001 können Unternehmen eine langfristig solide Grundlage schaffen, um die spezifischen Anforderungen der NIS2-Richtlinie zu erfüllen.
Das ISMS nach ISO 27001 unterstützt Unternehmen dann bei der Identifizierung und Bewertung von Risiken, der Festlegung geeigneter Sicherheitsmaßnahmen und der Überwachung der Wirksamkeit dieser Maßnahmen. Es ermöglicht eine proaktive Herangehensweise an die Informationssicherheit, indem es regelmäßige Überprüfungen, Audits und Verbesserungsmaßnahmen vorsieht.
Mit der Implementierung eines ISMS nach ISO 27001 können Unternehmen somit die Compliance mit den NIS-2-Anforderungen gezielt angehen.
Das ISMS bietet einen strukturierten Rahmen für die Umsetzung der geforderten Sicherheitsmaßnahmen und hilft dabei, Lücken zu identifizieren und zu schließen. Es unterstützt Unternehmen bei der Entwicklung und Implementierung von Richtlinien, Verfahren und Kontrollen, um die Netzwerk- und Informationssicherheit zu gewährleisten.
Darüber hinaus ermöglicht ein ISMS nach ISO 27001 eine kontinuierliche Verbesserung der Informationssicherheit.
Es fördert eine Kultur der Sensibilisierung und Schulung der Mitarbeiter, um sicherzustellen, dass sie sich der Bedeutung von Informationssicherheit bewusst sind und die erforderlichen Sicherheitspraktiken anwenden.
Regelmäßige interne Audits und Überprüfungen gewährleisten, dass das ISMS effektiv funktioniert und den sich ständig ändernden Bedrohungen und Anforderungen gerecht wird.
Schneller zur Cyberresilienz – mit einem ISMS mit SECJUR
Die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) kann eine komplexe und zeitaufwendige Aufgabe sein.
Doch mit der SECJUR Automatisierungsplattform können Sie diesen Prozess um ganze 55 % beschleunigen. Unsere innovative Plattform bietet Ihnen eine effiziente und automatisierte Lösung, um Ihr ISMS schnell und effektiv einzurichten.
ISMS, bis zu 67 % günstiger
Die Implementierung eines ISMS kann eine finanzielle Belastung darstellen, insbesondere wenn herkömmliche Beratungsleistungen in Anspruch genommen werden. Mit SECJUR können Sie jedoch bis zu 67 % der Kosten im Vergleich zur herkömmlichen Beratung einsparen.
Wir bieten Ihnen eine kosteneffiziente Alternative, die es Ihnen ermöglicht, Ihr ISMS ohne Kompromisse bei der Qualität aufzubauen.
Zertifizierbares ISMS nach dem Goldstandard
Die Zertifizierung nach ISO 27001 oder TISAX® ist ein bedeutender Schritt für Unternehmen, um ihre Informationssicherheit zu demonstrieren.
Mit SECJUR an Ihrer Seite können Sie sich auf unsere TÜV- und ISACA-zertifizierten Experten verlassen.
Dank ihrer umfassenden Erfahrung und Expertise haben wir eine Erfolgsrate von 100 % bei Zertifizierungsaudits erreicht. Wir begleiten Sie bei jedem Schritt des Zertifizierungsprozesses und sorgen dafür, dass Sie die erforderlichen Anforderungen erfüllen.
Vertrauen Sie auf die SECJUR Automatisierungsplattform, um Ihren ISMS-Aufbau zu beschleunigen, Kosten zu senken und eine erfolgreiche Zertifizierung zu gewährleisten.
Unsere Lösung bietet Ihnen die Unterstützung, die Sie benötigen, um Ihre Informationssicherheit auf ein neues Level zu heben. Nehmen Sie noch heute Kontakt mit uns auf und erfahren Sie, wie wir Sie bei Ihrer NIS2 Compliance unterstützen können.
Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Compliance, completed
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office