Checkliste für NIS2: Ein Leitfaden zur Umsetzung der NIS2-Richtlinie im Unternehmen
In 10 Schritten zur NIS2-Compliance
Die EU-Richtlinie NIS2 setzt neue Maßstäbe in der Cybersicherheit und zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau in Netz- und Informationssystemen innerhalb der EU zu gewährleisten. Die Richtlinie ist besonders relevant für Betreiber wesentlicher Dienste und digitale Diensteanbieter, da sie verschärfte Anforderungen an die Sicherheit und Meldung von Cybervorfällen stellt. Um den Anforderungen der NIS2-Richtlinie gerecht zu werden, müssen Unternehmen eine Reihe von Anforderungen implementieren.
Relevante Sektoren gemäß NIS2-Richtlinie
Gemäß der NIS2-Richtlinie der Europäischen Union werden 18 essenzielle Sektoren klassifiziert, die in zwei Gruppen gegliedert sind: Sektoren mit hoher Kritikalität, aufgelistet in Anhang 1 der NIS2, und weitere essenzielle Sektoren, aufgeführt in Anhang 2 der NIS2. Für diese Sektoren ist die Aufrechterhaltung der Sicherheit und Integrität von Netz- und Informationssystemen von fundamentaler Bedeutung. Sie umfassen Organisationen, die Dienste und Infrastrukturen anbieten, welche für den Betrieb und das Wohl unserer modernen Gesellschaft zentral sind. Einige dieser Sektoren waren bereits unter der vorangegangenen NIS-Richtlinie erfasst, während andere ergänzt wurden.
- Energie
Dieser essenzielle Sektor umfasst die gesamte Energieversorgung, von der Erzeugung über die Verteilung bis zur Versorgung. Die Lieferkette beginnt bei der Gewinnung von Rohstoffen wie Kohle, Öl und Gas, führt zur Energieerzeugung und endet bei der Verteilung über Stromnetze. - Verkehr
Dieser Sektor hält die Welt in Bewegung und beinhaltet Straßen-, Schienen-, Luft- und Seetransport. Die Lieferkette erstreckt sich von der Herstellung von Fahrzeugen über den Betrieb von Verkehrswegen bis zur Bereitstellung von Transportdienstleistungen. - Bankwesen
Dieser Sektor umfasst Finanzinstitute, die Bankgeschäfte wie Einlagen- und Kreditgeschäfte durchführen. Die Stabilität und Integrität des Finanzsystems hängt maßgeblich von diesen Instituten ab. - Finanzmarktinfrastrukturen
Dieser Sektor umfasst Betreiber von Handelsplätzen. Diese Unternehmen spielen eine zentrale Rolle im Finanzmarkt, indem sie Handelsplätze betreiben und als zentrale Gegenparteien in Finanztransaktionen agieren. Sie sind von hoher Kritikalität für die Stabilität und Integrität des Finanzsystems. - Gesundheitswesen
Das Wohl und die Gesundheit der Bevölkerung hängen von diesem Sektor ab, der Krankenhäuser, Kliniken und medizinische Dienstleister einschließt. Die Lieferkette beinhaltet medizinische Geräte, Medikamente und eine breite Palette von Gesundheitsdienstleistungen. - Trinkwasser
Die Trinkwasserbereitstellung ist von entscheidender Bedeutung. Sie umfasst die Gewinnung und Aufbereitung von Trinkwasser sowie die zuverlässige Verteilung an Haushalte und Unternehmen. Die Lieferkette umfasst Dienstleistungen wie Wartung und Reparatur von Wasseraufbereitungsanlagen sowie die Herstellung technischer Ausrüstung, wie zum Beispiel Pumpen und Rohrleitungen. Es ist jedoch zu beachten, dass Unternehmen, bei denen die Wasserversorgung nur einen unwesentlichen Teil ihrer allgemeinen Geschäftstätigkeit darstellt und die hauptsächlich andere Rohstoffe und Güter liefern, von dieser Regel ausgenommen sind. - Abwasser
Dieser Sektor umfasst die Sammlung, Entsorgung und Behandlung von Abwasser, um Umwelt- und Gesundheitsstandards zu erfüllen. Die Lieferkette in diesem Bereich kann Dienstleistungen und Produkte umfassen, die zur Unterstützung der Abwasserbewirtschaftung notwendig sind. Dazu gehören beispielsweise Unternehmen, die Abwasseraufbereitungsanlagen warten und reparieren, sowie Hersteller und Lieferanten von Abwasseraufbereitungschemikalien. Es ist jedoch zu beachten, dass Unternehmen, bei denen die Abwasserwirtschaft nur einen unwesentlichen Teil ihrer allgemeinen Geschäftstätigkeit darstellt und die hauptsächlich andere Tätigkeiten ausüben, von dieser Regel ausgenommen sind. - Digitale Infrastruktur
Dieser umfangreiche Sektor umfasst Betreiber von Internet-Knoten, DNS-Diensteanbieter (wobei Betreiber von Root-Namenservern ausgenommen sind), TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze und Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste. Diese Unternehmen sind von hoher Kritikalität, da sie die Grundlagen der digitalen Welt darstellen. Sie sind maßgeblich für die Sicherheit, Konnektivität und Leistungsfähigkeit des Internets verantwortlich und tragen dazu bei, dass digitale Dienste und Kommunikation reibungslos funktionieren. - Verwaltung von IKT-Diensten (Business-to-Business)
Diese Unternehmen spielen eine entscheidende Rolle in der Geschäftswelt, indem sie Informationstechnologie-Dienstleistungen und -Sicherheitslösungen für andere Unternehmen bereitstellen. Sie unterstützen Geschäftskunden bei der Verwaltung und Sicherung ihrer digitalen Ressourcen und tragen zur Effizienz und Sicherheit von Geschäftsprozessen bei. Unternehmen in diesem Sektor sind von hoher Kritikalität, da sie die Geschäftskontinuität und den Schutz sensibler Daten gewährleisten. - öffentliche Verwaltung
Dieser Sektor umfasst Einrichtungen der öffentlichen Verwaltung von Zentralregierungen und Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene gemäß der Definition eines Mitgliedstaats gemäß nationalem Recht. Diese Einrichtungen bilden das Rückgrat der staatlichen Verwaltung und regionalen Behörden. Sie sind von hoher Kritikalität, da sie die grundlegenden Funktionen der öffentlichen Verwaltung ausüben, die für die Aufrechterhaltung der staatlichen Ordnung und die Bereitstellung von öffentlichen Dienstleistungen unerlässlich sind. Die Sicherheit und Stabilität dieser Einrichtungen sind von größter Bedeutung für die Gesellschaft. - Weltraum
Dieser Sektor umfasst Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden. Diese Infrastrukturen unterstützen die Erbringung von weltraumgestützten Diensten und sind von hoher Kritikalität für die Raumfahrt- und Satellitenindustrie. Sie spielen eine entscheidende Rolle bei der Kommunikation, Navigation, Erdbeobachtung und wissenschaftlichen Forschung im Weltraum. Es ist zu beachten, dass Anbieter öffentlicher elektronischer Kommunikationsnetze von dieser Regel ausgenommen sind. Die Sicherheit und Integrität dieser Weltrauminfrastrukturen sind von höchster Bedeutung für zahlreiche Anwendungen und Dienste.
- Post- und Kurierdienste
Dieser Sektor umfasst Anbieter von Postdiensten. Dazu gehören auch Anbieter von Kurierdiensten. Diese Unternehmen spielen eine wesentliche Rolle bei der Zustellung von Postsendungen und Paketen, was nicht nur für den alltäglichen Geschäftsbetrieb, sondern auch für die Kommunikation und den Warenverkehr von großer Bedeutung ist. Die Sicherstellung einer zuverlässigen Post- und Kurierzustellung trägt zur reibungslosen Funktion von Wirtschaft und Gesellschaft bei. - Abfallbewirtschaftung
Dieser Sektor umfasst Unternehmen der Abfallbewirtschaftung. Diese Unternehmen spielen eine entscheidende Rolle bei der Sammlung, Entsorgung und Wiederverwertung von Abfällen. Sie tragen zur Umweltschonung bei und sind von hoher Kritikalität, da sie die Abfallentsorgung und -recycling sicherstellen. Unternehmen, bei denen die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist, sind von dieser Regel ausgenommen. Die ordnungsgemäße Abfallbewirtschaftung ist entscheidend für den Schutz der Umwelt und die Gesundheit der Bevölkerung. - Produktion, Herstellung und Handel mit chemischen Stoffen
Hierbei handelt es sich um Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln, sowie um Unternehmen, die Erzeugnisse aus Stoffen oder Gemischen produzieren. Diese Unternehmen spielen eine wichtige Rolle in der Herstellung und dem Handel von chemischen Produkten, die in verschiedenen Branchen und Produkten Anwendung finden. Die sichere und umweltverträgliche Handhabung von Chemikalien in diesem Sektor ist von großer Bedeutung für die Gesundheit und die Umwelt. - Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Unternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung von Lebensmitteln tätig sind. Diese Unternehmen spielen eine Schlüsselrolle in der Lebensmittelversorgungskette, da sie Lebensmittel produzieren, verarbeiten und im Großhandel vertreiben. Die Qualität und Sicherheit von Lebensmitteln sind von höchster Bedeutung für die Gesundheit der Bevölkerung, und die Aktivitäten in diesem Sektor haben einen direkten Einfluss auf die Ernährung und Gesundheit der Verbraucher. - Verarbeitendes Gewerbe/Herstellung von Waren
Dieser Sektor umfasst mehrere Bereiche:- Herstellung von Medizinprodukten und In-vitro-Diagnostika
Einrichtungen, die Medizinprodukteherstellen, sowie Einrichtungen, die In-vitro-Diagnostika herstellen. Unternehmen in diesem Bereich produzieren lebenswichtige Medizinprodukte, die für die Gesundheitsversorgung und medizinische Behandlungen von großer Bedeutung sind.
Ausgenommen sind natürliche Personen oder rechtlich anerkannte Einrichtungen, die im eigenen Namen handeln können und bestimmten rechtlichen Anforderungen entsprechen. - Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
Dieser Bereich umfasst die Produktion von Computern, elektronischen Geräten und optischen Produkten. - Herstellung von elektrischen Ausrüstungen
Hier werden Unternehmen eingeordnet, die elektrische Ausrüstungen produzieren, einschließlich elektrischer Komponenten und Geräte. - Maschinenbau
In dieser Kategorie sind Unternehmen im Maschinenbausektor enthalten, die Maschinen und Ausrüstungen für verschiedene Branchen herstellen. - Herstellung von Kraftwagen und Kraftwagenteilen
Dieser Bereich umfasst Unternehmen, die Kraftfahrzeuge und Teile für Kraftfahrzeuge herstellen. - Sonstiger Fahrzeugbau
Hier werden Unternehmen eingeordnet, die Fahrzeuge herstellen, die nicht in die vorherigen Kategorien fallen, wie beispielsweise Schienenfahrzeuge.
- Herstellung von Medizinprodukten und In-vitro-Diagnostika
- Anbieter digitaler Dienste
Dieser Sektor umfasst verschiedene Dienstleistungsanbieter, darunter Anbieter von Online-Marktplätzen, Anbieter von Online-Suchmaschinen und Anbieter von Plattformen für Dienste sozialer Netzwerke. Diese Unternehmen spielen eine wesentliche Rolle in der digitalen Wirtschaft, indem sie Online-Marktplätze bereitstellen, die den Handel mit Produkten und Dienstleistungen erleichtern, Suchmaschinen anbieten, die die Informationssuche im Internet ermöglichen, und Plattformen für soziale Netzwerke, auf denen Nutzer miteinander kommunizieren, Inhalte teilen und soziale Netzwerke aufbauen können. Ihre Dienste sind von großer Bedeutung für die Gesellschaft und die Wirtschaft und haben erheblichen Einfluss auf die Art und Weise, wie wir online kommunizieren, Geschäfte abwickeln und Informationen suchen. - Forschung
In diesem Sektor sind Forschungseinrichtungen eingeschlossen, deren Hauptziel die Durchführung angewandter Forschung oder experimenteller Entwicklung ist, um die Ergebnisse dieser Forschung für kommerzielle Zwecke zu nutzen. Forschungseinrichtungen in diesem Sektor spielen eine wichtige Rolle bei der Förderung von Innovation und wissenschaftlicher Entwicklung, insbesondere wenn es darum geht, neue Erkenntnisse und Technologien für wirtschaftliche Zwecke zu nutzen.
Es ist jedoch zu beachten, dass Bildungseinrichtungen nicht in diese Kategorie fallen.
Betroffene Unternehmen
Als weiteres Kriterium legt die NIS2 die Unternehmensgröße fest, um die betroffenen Unternehmen zu identifizieren.
Hierbei erfolgt die Unterscheidung wie folgt:
- Mittlere Unternehmen ab 50 Mitarbeiter und einem Jahresumsatz von 10 bis 50 Mio. EUR oder einer Jahresbilanz bis 43 Mio. EUR
- Große Unternehmen ab 250 Mitarbeiter und einem Jahresumsatz ab 50 Mio. EUR oder einer Jahresbilanz ab 43 Mio. EUR
Auch hier kategorisiert die NIS2 zwei Hauptgruppen, nämlich Wesentliche und wichtige Einrichtungen. Die öffentliche Verwaltung, bestimmte Bereiche der digitalen Infrastruktur und Anbieter von kritischen Diensten, bei denen eine Störung erhebliche Auswirkungen haben könnte, unterliegen der Regulierung, unabhängig von ihrer Größe. Dieser Ansatz ermöglicht es, differenzierte Sicherheitsanforderungen anzuwenden, um sicherzustellen, dass sowohl die kritischsten als auch die weniger kritischen Dienstleister angemessen reguliert werden.
- Große Unternehmen, die in Anhang 1 (Sektoren mit hoher Kritikalität) fallen
- Qualifizierte Vertrauensdiensteanbieter und Domänennamenregister sowie DNS-Diensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste
- Einrichtungen der öffentlichen Verwaltung
- Sonstige Einrichtungen der in Anhang I oder II aufgeführten Art, die von einem Mitgliedstaat als wesentliche Einrichtungen eingestuft werden.
- Einrichtungen, die von den Mitgliedstaaten vor dem 16. Januar 2023 gemäß der Richtlinie (EU) 2016/1148 (NIS-Richtlinie) oder nach nationalem Recht als Betreiber wesentlicher Dienste eingestuft wurden
- Große Unternehmen, die in Anhang 2 (sonstige kritische Sektoren) fallen
- Mittlere Unternehmen, die in Anhang 1 oder 2 (Sektoren mit hoher Kritikalität oder sonstige kritische Sektoren) fallen
- Einrichtungen, die von einem Mitgliedstaat als solche eingestuft werden
Werden Sie NIS2-compliant!
Nachfolgende Schritte geben Ihnen einen ersten Handlungsrahmen.
1. Überprüfung der Anwendbarkeit:
Unternehmen müssen zunächst prüfen, ob sie unter die NIS2-Richtlinie fallen, indem sie ihre Dienste, die Größe des Unternehmens und die Branche bewerten. Diese Überprüfung ist entscheidend, da sie die Grundlage für alle weiteren Schritte zur Compliance darstellt. Es ist wichtig, alle relevanten gesetzlichen und regulatorischen Anforderungen zu verstehen, um sicherzustellen, dass die notwendigen Maßnahmen getroffen werden. Unternehmen, die unter diese Richtlinie fallen, müssen ihre Verpflichtungen kennen und entsprechende Sicherheitsmaßnahmen implementieren.
2. Sicherheitsmaßnahmen:
Angemessene technische und organisatorische Maßnahmen sind erforderlich, um die Sicherheit der Netz- und Informationssysteme zu gewährleisten. Dazu gehört die Implementierung von Verschlüsselung, Zugriffskontrollen, physischer Sicherheit und Sicherheitsaudits. Diese Maßnahmen müssen regelmäßig aktualisiert und auf ihre Wirksamkeit hin überprüft werden. Die Auswahl der Maßnahmen sollte auf einer Risikobewertung basieren, um sicherzustellen, dass sie den Bedrohungen angemessen entgegenwirken.
3. Kritische Dienste:
Die Identifikation und Bewertung kritischer Dienste ist ein wesentlicher Schritt, um die Resilienz gegenüber Cyberangriffen zu erhöhen. Unternehmen müssen verstehen, welche ihrer Systeme und Daten als kritisch einzustufen sind, um angemessene Schutzmaßnahmen zu priorisieren. Die Bewertung der Sicherheitsniveaus dieser Infrastrukturen hilft bei der Identifikation von Schwachstellen. Anschließend können gezielte Maßnahmen ergriffen werden, um die Sicherheit dieser kritischen Komponenten zu erhöhen.
4. Erkennung von Cybervorfällen:
Ein effektives System zur Erkennung von Cybervorfällen ist entscheidend, um auf Sicherheitsverletzungen schnell reagieren zu können. Unternehmen müssen in Technologien und Prozesse investieren, die es ihnen ermöglichen, Anomalien und potenzielle Bedrohungen in Echtzeit zu erkennen. Die frühzeitige Erkennung von Vorfällen minimiert potenzielle Schäden und unterstützt eine schnelle Reaktion. Darüber hinaus ist es wichtig, ein Bewusstsein für Cybersicherheit im Unternehmen zu schaffen, damit Mitarbeiter Vorfälle erkennen und melden können.
5. Risikominimierung und Incident Response-Pläne:
Die Entwicklung von Strategien zur Risikominimierung ist grundlegend, um potenzielle Cybersicherheitsvorfälle zu verhindern oder deren Auswirkungen zu begrenzen. Incident Response-Pläne sind entscheidend für eine schnelle und effektive Reaktion auf Sicherheitsvorfälle. Diese Pläne sollten klare Verfahren und Zuständigkeiten enthalten, um sicherzustellen, dass Vorfälle effizient bewältigt werden. Die regelmäßige Überprüfung und Anpassung dieser Pläne an die sich ändernde Bedrohungslandschaft ist ebenfalls wichtig.
6. Zuständigkeiten:
Etablieren Sie feste Rollen und Verantwortlichkeiten für die Bereiche Informationssicherheit und Cyber-Sicherheit, bestenfalls als Stabsstelle der Unternehmensleitung. Je nach Unternehmensgröße empfiehlt sich die Schaffung einer gesonderten internen oder externen Stelle als ISB oder CISO.
7. Schulung und Training:
Regelmäßige Schulungen und Bewusstseinsbildung sind unerlässlich, um das Risiko von Cybersicherheitsvorfällen zu minimieren. Mitarbeiter müssen über die neuesten Cybersicherheitsrisiken informiert und in den besten Praktiken geschult werden. Eine starke Sicherheitskultur beginnt mit gut informierten Mitarbeitern, die in der Lage sind, potenzielle Bedrohungen zu erkennen und richtig darauf zu reagieren. Schulungen sollten regelmäßig aktualisiert werden, um sicherzustellen, dass das Wissen der Mitarbeiter aktuell bleibt.
8. Security Incidents Meldungen:
Ein vereinfachter und effizienter Prozess für die Meldung von Sicherheitsvorfällen ist entscheidend, um Compliance zu gewährleisten und schnell auf Vorfälle reagieren zu können. Mitarbeiter sollten wissen, wie und an wen sie Sicherheitsvorfälle melden müssen. Die Einrichtung eines zentralen Meldesystems kann die Effizienz verbessern und sicherstellen, dass alle relevanten Informationen erfasst werden. Schnelle und genaue Vorfallsmeldungen unterstützen eine effektive Reaktion und Analyse.
9. Kontinuierliche Überprüfung:
Die Cybersicherheitslandschaft ändert sich ständig, daher müssen Sicherheitsmaßnahmen regelmäßig überprüft und angepasst werden. Unternehmen sollten Überprüfungen und Audits durchführen, um die Effektivität ihrer Sicherheitsmaßnahmen zu bewerten. Anpassungen an neue Bedrohungen und Technologien sind entscheidend, um die Sicherheit aufrechtzuerhalten. Kontinuierliche Verbesserung ist der Schlüssel zur Bewältigung der dynamischen Bedrohungslandschaft.
10. Information über Cybersicherheit:
Um proaktiv auf neue Bedrohungen reagieren zu können, müssen Unternehmen über die neuesten Entwicklungen im Bereich der Cybersicherheit informiert sein. Dies beinhaltet die Teilnahme an Branchenforen, die Nutzung von Sicherheitsberichten und die Zusammenarbeit mit Sicherheitsexperten. Ein tiefes Verständnis aktueller und aufkommender Bedrohungen ermöglicht es Unternehmen, ihre Verteidigungsstrategien entsprechend anzupassen. Die Förderung eines kontinuierlichen Lernens und der Informationsaustausch innerhalb des Unternehmens sind ebenfalls wichtig.
Ansprechperson
Timo Schusser
Vorstand valvisio international AG
ISO27001 Auditor, Ethical Hacker
Zusätzliche Prüfverfahrenskompetenz für § 8a (3) BSIG