5 wichtige Änderungen von NIS1 zu NIS2

Seit dem 16. Januar 2023 ist die Richtlinie in Kraft und verpflichtet die EU-Mitgliedstaaten, sie bis zum 17. Oktober 2024 in nationales Recht umzusetzen.

Bis Januar 2025 hatten jedoch nur Belgien, Kroatien, Ungarn, Italien, Lettland und Litauen nationale Rechtsvorschriften zur Umsetzung der Richtlinie verabschiedet. Die Europäische Kommission stellte fest, dass in mehreren Mitgliedstaaten, darunter Frankreich, Deutschland, die Niederlande und Schweden, die Gesetzesentwürfe zur Umsetzung der Richtlinie noch nicht verabschiedet worden waren.

Dies hat zu einer fragmentierten Umsetzungslandschaft in der EU geführt, mit unterschiedlichen Graden an Vorbereitung und Einhaltung.

In Ländern, in denen die Gesetzesentwürfe zur Umsetzung der Richtlinie noch nicht verabschiedet wurden, gibt es keine Rechtsgrundlage, um Organisationen zur Einhaltung einiger der größten Änderungen zu zwingen, die NIS2 gegenüber seinem Vorgänger NIS1 mit sich bringt. Dies wird von der Europäischen Kommission bestätigt, die erklärt: „Damit eine Richtlinie auf nationaler Ebene in Kraft treten kann, müssen die Mitgliedstaaten ein Gesetz zu ihrer Umsetzung verabschieden.“

Da die Umsetzung jedoch unmittelbar bevorsteht, sollten Organisationen die Entwicklungen auf nationaler Ebene genau beobachten und sich über Aktualisierungen oder Änderungen der umgesetzten Rechtsvorschriften auf dem Laufenden halten.

Diese zusätzliche Zeit ermöglicht es Organisationen, die wichtigsten Unterschiede zwischen NIS1 und NIS2 zu verstehen, ihre Cybersicherheitsmaßnahmen gründlich zu bewerten, etwaige Lücken bei der Einhaltung zu ermitteln und die erforderlichen Anpassungen vorzunehmen, um sie an die neuen Anforderungen anzupassen.

1. Erweiterung des Geltungsbereichs

Der Übergang von NIS1 zu NIS2 bringt erhebliche Änderungen im Umfang der von den Richtlinien abgedeckten Einrichtungen mit sich.

Während sich NIS1 in erster Linie auf Betreiber wesentlicher Dienste (OES) in kritischen Sektoren wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheit und digitale Infrastruktur konzentrierte, schreibt NIS2 die Einhaltung der Vorschriften durch ein breiteres Spektrum von Organisationen vor, die eine entscheidende Rolle in der digitalen Wirtschaft spielen. Dazu gehören Organisationen im Bereich der Wasserversorgung, der Lebensmittelversorgung, der Post- und Kurierdienste, der digitalen Infrastruktur und andere.

Nachfolgend findet ihr eine Übersicht über weitere Sektoren, die von NIS2 abgedeckt werden, sowie die vollständige Aufschlüsselung der einzelnen Sektoren und ihrer Teilsektoren, die von NIS2 abgedeckt werden, in Anhang 1, Seite 64 der NIS2-Richtlinie.

Die Berücksichtigung dieses erweiterten Geltungsbereichs fördert einen widerstandsfähigeren Cybersicherheitsrahmen in ganz Europa und beseitigt Schwachstellen, die durch zuvor ausgenommene Sektoren und Organisationen entstanden sind.

Darüber hinaus kategorisiert die NIS2-Richtlinie Einrichtungen in wesentliche Einrichtungen und wichtige Einrichtungen mit unterschiedlichen Aufsichts- und Strafmaßen. Wesentliche Einrichtungen erbringen kritische Dienstleistungen wie Energie und Gesundheitswesen und müssen strenge Regeln befolgen, da ihre Dienstleistungen einen großen Einfluss auf die Gesellschaft haben. Wichtige Einrichtungen sind zwar ebenfalls von entscheidender Bedeutung, haben aber weniger Einfluss auf das tägliche Leben und unterliegen daher weniger strengen Anforderungen – obwohl sie dennoch hohe Cybersicherheitsstandards einhalten müssen.

Schließlich senkt NIS2 die Größenschwelle, um mehr kleine und mittlere Unternehmen (KMU) einzubeziehen, die in diesen Sektoren eine entscheidende Rolle spielen.

2. Anforderungen an Risikomanagement und Cybersicherheit

Während NIS1 bereits die Einführung von Risikomanagementpraktiken durch Organisationen vorschrieb, führt NIS2 im Vergleich zu seinem Vorgänger strengere Anforderungen ein. Diese Verschiebung spiegelt die sich entwickelnde Landschaft der Cybersicherheitsbedrohungen und die Notwendigkeit für Organisationen wider, ihre Abwehrmaßnahmen zu verbessern.

Die strengeren Anforderungen konzentrieren sich in erster Linie auf die Sicherheit der Lieferkette und Risiken durch Dritte, da diese Bereiche als erhebliche Schwachstellen im Cybersicherheits-Ökosystem identifiziert wurden.

Die Richtlinie schreibt vor, dass Organisationen

• Implementierung von Verschlüsselungsprotokollen: Organisationen müssen sicherstellen, dass sensible Daten sowohl im Ruhezustand als auch während der Übertragung mit branchenüblichen Verschlüsselungsprotokollen verschlüsselt werden. Dies trägt zum Schutz vor unbefugtem Zugriff und Datenlecks bei.
• Einführung von Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs: Organisationen müssen über Pläne zur Aufrechterhaltung des Geschäftsbetriebs verfügen, um im Falle eines Cybervorfalls die rechtzeitige Wiederherstellung kritischer Systeme und Daten zu gewährleisten. Dazu gehören regelmäßige Sicherungen, Redundanzmaßnahmen und das Testen dieser Pläne, um ihre Wirksamkeit zu überprüfen.
• Regelmäßige Bewertungen durchführen: Organisationen müssen regelmäßige Bewertungen ihrer eigenen Cybersicherheitsmaßnahmen sowie der Cybersicherheitsmaßnahmen ihrer Lieferanten durchführen, um sicherzustellen, dass potenzielle Schwachstellen identifiziert und umgehend behoben werden.
• Das Bewusstsein der Mitarbeiter:innen schärfen: Menschliches Versagen ist nach wie vor eine der Hauptursachen für Cybervorfälle. NIS 2 betont die Bedeutung von Sensibilisierungs- und Schulungsprogrammen für Mitarbeiter:innen, um sie über bewährte Verfahren für Cybersicherheit aufzuklären, wie z. B. das Erkennen von Phishing-Versuchen, die Verwendung sicherer Passwörter und das Melden verdächtiger Aktivitäten.

Durch die Umsetzung dieser strengeren Anforderungen zielt NIS2 darauf ab, die allgemeine Cybersicherheit von Organisationen, die in kritischen Sektoren tätig sind, zu stärken. Diese Anforderungen sind speziell darauf ausgelegt, sicherzustellen, dass Organisationen effektiv auf Cybervorfälle reagieren und sich von ihnen erholen können, wodurch potenzielle Betriebsstörungen minimiert werden.

Es wird anerkannt, dass Cybersicherheit eine kollektive Verantwortung ist, die nicht nur einzelne Organisationen, sondern auch deren Lieferanten und Partner umfasst.

3. Meldung von Vorfällen

Im Rahmen von NIS2 wurden im Vergleich zu NIS1 wesentliche Änderungen an den Mechanismen zur Meldung von Vorfällen vorgenommen.

Gemäß NIS 2 müssen Organisationen Vorfallreaktionsteams und -verfahren einrichten, um eine schnelle und koordinierte Reaktion auf Cybervorfälle zu gewährleisten.

Zu den wichtigsten Unterschieden gehören:

• Erweiterte Meldefristen: Unternehmen sind nun verpflichtet, Vorfälle innerhalb von 24 Stunden, nachdem sie davon Kenntnis erlangt haben, zu melden, mit einem Folgebericht nach 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Dies ist eine bemerkenswerte Änderung gegenüber den vorherigen Fristen unter NIS1. Eine zeitnahe Berichterstattung ist für die nationalen Behörden von entscheidender Bedeutung, da sie es den Behörden ermöglicht, die notwendigen Maßnahmen zu ergreifen, um potenzielle Bedrohungen zu mindern und kritische Infrastrukturen zu schützen. Dieser verbesserte Informationsaustausch fördert einen koordinierten Ansatz bei Herausforderungen im Bereich der Cybersicherheit.
• Klare Protokolle: Die Richtlinie legt den Schwerpunkt auf standardisierte Protokolle für die Meldung von Vorfällen. Organisationen müssen sicherstellen, dass ihre Prozesse mit den neuen Anforderungen übereinstimmen, um schnelle Reaktionen zu ermöglichen. Dazu gehört eine im Rahmen von NIS2 eingerichtete zentrale Plattform, auf der Organisationen Vorfälle melden können, was einen optimierten Informationsaustausch und eine bessere Koordination zwischen den Beteiligten ermöglicht.

Durch die Einführung dieser Änderungen zielt NIS2 darauf ab, das Situationsbewusstsein zu verbessern und eine rechtzeitige Reaktion auf Cyber-Bedrohungen zu ermöglichen. Es betont die Bedeutung des Informationsaustauschs und der Zusammenarbeit und erkennt an, dass gemeinsame Anstrengungen von entscheidender Bedeutung sind, um die sich entwickelnde Cybersicherheitslandschaft zu entschärfen.

4. Harmonisierung zwischen den EU-Mitgliedstaaten

Der Übergang von NIS1 zu NIS2 bringt erhebliche Verbesserungen in der Zusammenarbeit und Kohärenz zwischen den EU-Mitgliedstaaten mit sich.

Während NIS1 den nationalen Behörden mehr Ermessensspielraum bei der Entscheidung ließ, welche Einrichtungen unter die Vorschriften fallen, legt NIS2 einheitliche Kriterien für die Klassifizierung von Organisationen fest und reduziert so die Fragmentierung.

Darüber hinaus schreibt NIS2 verbesserte Kooperationsrahmen für die EU-Mitgliedstaaten vor und betont die Notwendigkeit einer engen Zusammenarbeit zwischen den Mitgliedstaaten.

Ein entscheidender Aspekt dieser Richtlinie ist die Einrichtung von Kanälen für den Austausch von Bedrohungsinformationen, die es Organisationen ermöglichen, über neu auftretende Cyber-Bedrohungen auf dem Laufenden zu bleiben.

Diese Änderungen führen zu einem strukturierteren Ansatz bei der Reaktion auf Cybervorfälle und ermöglichen ein rechtzeitiges Eingreifen und die Zuweisung von Ressourcen in kritischen Situationen.

5. Durchsetzung und Strafen

Der Übergang von NIS1 zu NIS2 bringt erhebliche Änderungen bei der Durchsetzung der Richtlinie mit sich, insbesondere in Bezug auf Strafen bei Nichteinhaltung.

Unternehmen, die die Vorschriften nicht einhalten, müssen mit erheblichen Geldstrafen rechnen, die ihre finanzielle Stabilität stark beeinträchtigen können. Die Bußgeldstruktur nach NIS2 soll von Fahrlässigkeit abschrecken und die Einhaltung von Cybersicherheitsprotokollen sicherstellen. Die Bußgelder betragen bis zu 10.000.000 € oder 2 % des weltweiten Gesamtumsatzes des Vorjahres, was eine deutliche Erhöhung gegenüber NIS1 darstellt.

Darüber hinaus ist die Unternehmensleitung nun ausdrücklich für die Überwachung der Cybersicherheitsmaßnahmen verantwortlich, was ihre Rolle bei der Sicherstellung der Einhaltung der Vorschriften unterstreicht. Führungskräfte müssen bei Verstößen mit möglichen Konsequenzen rechnen, wodurch die Leistung des Unternehmens direkt mit der individuellen Verantwortlichkeit verknüpft wird. Infolgedessen müssen Unternehmen möglicherweise ihre Hierarchien anpassen und spezielle Rollen schaffen, die sich auf die Steuerung der Cybersicherheit konzentrieren.

Die Verlagerung hin zu einer größeren Verantwortlichkeit stellt sicher, dass wichtige Interessengruppen wachsam bleiben und proaktiv gegen Cyber-Bedrohungen vorgehen.

Die Nichteinhaltung der Richtlinie kann schwerwiegende Folgen für Organisationen haben. Abgesehen von den erheblichen finanziellen Strafen können nicht konforme Unternehmen auch mit Rufschädigung, Vertrauensverlust bei Kunden und möglichen rechtlichen Schritten der betroffenen Parteien rechnen.

Zu diesen Risiken gehören:

• Verwaltungsstrafen: Die Strafen für Verstöße gegen die NIS2-Richtlinie können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes eines Unternehmens betragen.
• Durchsetzungsmaßnahmen: Behörden können Unternehmen, die sich nicht an die Vorschriften halten, untersuchen und prüfen. Diese Prüfungen können weitere Sicherheitsprobleme aufdecken, die zu einer Überprüfung, obligatorischen Systemaktualisierungen oder Betriebsunterbrechungen führen können.
• Rufschädigung: In einigen Fällen können Unternehmen dazu verpflichtet werden, ihre Nichteinhaltung öffentlich bekannt zu geben, was zu einer Rufschädigung führen kann.
• Betriebsunterbrechungen: Wenn keine robusten Cybersicherheitsmaßnahmen umgesetzt werden, erhöht sich das Risiko von Datenschutzverletzungen, was zu Betriebsunterbrechungen und Einnahmeverlusten führen kann.
• Persönliche Sanktionen: Bei grober Fahrlässigkeit kann die oberste Führungsebene persönlich für Sicherheitsverletzungen zur Verantwortung gezogen werden, was zu einem vorübergehenden Verbot von Führungspositionen führen kann.

Der Übergang von NIS1 zu NIS2 ist ein notwendiger Schritt zur Stärkung der Cybersicherheit in der gesamten EU.

Der erweiterte Anwendungsbereich und die strengeren Anforderungen der Richtlinie spiegeln die sich entwickelnde Natur der Cyberbedrohungen und die Notwendigkeit eines proaktiven Ansatzes zum Schutz kritischer Infrastrukturen und wesentlicher Dienste wider.

Und obwohl es bei der Umsetzung von NIS2 in den EU-Mitgliedstaaten zu erheblichen Verzögerungen gekommen ist, müssen Organisationen unverzüglich Maßnahmen ergreifen, um ihre aktuellen Sicherheitsmaßnahmen zu bewerten, Lücken zu identifizieren und Cybersicherheitsstrategien umzusetzen, um die Einhaltung der Richtlinie zu gewährleisten.

Wird dies versäumt, kann dies weitreichende Folgen haben, die sich sowohl auf die finanzielle Tragfähigkeit als auch auf den Ruf der Organisation auswirken.

Um die nächsten Schritte zur Vorbereitung auf die Einhaltung von NIS2 zu unternehmen, lies weiter oder vereinbare eine kostenlose Beratung, um mehr über unsere komplette Lösung für die Einhaltung von NIS2 zu erfahren.