Was ist NIS2 BSI?
Die NIS2-Richtlinie wurde am 27. Dezember 2022 in der EU eingeführt. Sie baut auf der ersten NIS-Richtlinie von 2016 auf. Ziel ist es, die Sicherheit im Internet für Firmen und öffentliche Stellen in Europa zu verbessern. Alle EU-Länder müssen diese bis Oktober 2024 umsetzen.
Wichtige Schlüsselpunkte zur NIS2 und dem BSI:
- NIS2 gibt dem Bundesamt für Sicherheit und Informationstechnik (BSI) mehr Macht. Es verbessert die Zusammenarbeit von Regierung und Wirtschaft.
- Kritische Infrastrukturen (KRITIS) wie Kraftwerke sind oft Ziele von Cyberattacken. Diese Angriffe können großen wirtschaftlichen Schaden anrichten.
- Das BSI hilft KRITIS-Betreibern, wenn sie starken Cyberangriffen ausgesetzt sind.
- Unternehmen, die kritische Infrastrukturen betreiben, müssen sich beim BSI melden und Regeln einhalten.
- Verstöße gegen NIS2 können hohe Strafen nach sich ziehen. Das BSI kann Bußgelder bis zu 10 Millionen Euro oder 2% des Jahresumsatzes verhängen.
Einführung zu NIS2
Hintergründe und Geschichte der NIS-Richtlinie
Im Jahr 2016 wurde die erste NIS-Richtlinie in der EU erlassen. Sie zielte darauf ab, das Cybersicherheitsniveau in der EU zu vereinheitlichen. Dazu gehörten ein Rechtsrahmen und Vorgaben für kritische Infrastrukturen (KRITIS) und bestimmte Anbieter digitaler Dienste.
NIS2 als Weiterentwicklung der NIS-Richtlinie
Die NIS2-Richtlinie baut auf diesen Grundlagen auf und erweitert sie. Es geht in der neuen Richtlinie auch um besonders wichtige und wichtige Einrichtungen in verschiedenen Sektoren. Die Cybersicherheitsanforderungen sind schärfer geworden, unter anderem bei Risikomanagement, Meldepflichten und technischen Maßnahmen.
Unternehmen müssen nun Maßnahmen zur Risikominderung entwickeln und umsetzen. Dazu gehören Richtlinien für Risikomanagement und Informationssicherheit. Diese Maßnahmen sollen die Unternehmens-Cybersicherheit verbessern.
| Statistik | Wert |
|---|---|
| Geschätzte Zahl der betroffenen Unternehmen in Deutschland | 29.000 bis 40.000 |
| Umsatzschwelle für Unternehmen | über 10 Millionen Euro |
| Mitarbeiterzahl für Unternehmen | über 50 |
| Anzahl der betroffenen Sektoren | 18 |
| Mögliche Strafen bei Nichteinhaltung | Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes |
Die Richtlinien von NIS2 verlangen von Firmen den Ausbau von Cybersicherheitsmaßnahmen. Konkret geht es um Richtlinien für Risikomanagement und Informationssicherheit. Damit sollen Risiken für die Unternehmenssicherheit verringert werden.
„Unternehmen, die sich nicht an die neuen Anforderungen der NIS2-Richtlinie halten, können mit schweren finanziellen Sanktionen belegt werden, wobei die Geldstrafen von mindestens 10 Millionen Euro bis zu 1,4 Prozent des weltweiten Umsatzes reichen können.“
Die NIS2-Richtlinie ist ein großer Schritt in der EU-Cybersicherheit. Sie betrifft viele Firmen in unterschiedlichen Wirtschaftszweigen. Diese Entwicklung ist wichtig für den Schutz der IT-Systeme in Europa.
NIS2 in der Europäischen Union
Die NIS2-Richtlinie gilt für alle EU-Länder. Sie sorgt für ein hohes Maß an Cybersicherheit in der Europäischen Union. Außerdem fördert sie den Austausch von Wissen über IT-Sicherheit über Grenzen hinweg. Jedes Land muss die Regeln in sein nationales Recht umwandeln.
Am 27.12.2022 wurde die NIS2-Richtlinie offiziell bekannt gemacht. Seit dem 16.01.2023 ist sie gültig. Alle EU-Staaten haben bis Oktober 2024 Zeit, die Regeln anzunehmen. In Deutschland wird seit Juli 2023 an der Umsetzung gearbeitet.
Die Richtlinie bringt strengere Regeln für Sicherheit im Internet. Viele mehr Unternehmen werden dadurch betroffen. Schwere Verstöße können sehr teuer werden, bis zu zehn Millionen Euro oder zwei Prozent des Umsatzes.
| Schlüsselfakten zur NIS2-Richtlinie | Details |
|---|---|
| Inkrafttreten | 16.01.2023 |
| Umsetzungsfrist für EU-Mitgliedstaaten | Oktober 2024 |
| Referentenentwurf in Deutschland | Juli 2023 |
| Höchststrafe für besonders wichtige Einrichtungen | 10 Mio. Euro oder 2% des Jahresumsatzes |
| Erweiterung der betroffenen Unternehmen | Massive Ausweitung |
Unternehmen müssen sich besser gegen Online-Gefahren schützen. Dazu gehören Maßnahmen wie Risikomanagement und Verschlüsselung. Die Verantwortlichen haften bis zu 2% des Umsatzes, wenn sie nichts tun. Es gibt verschieden hohe Strafen je nach Schaden durch den Verstoß.
„Die NIS2-Richtlinie betrifft nicht nur kritische Infrastrukturen, sondern geht weit über diese hinaus, beispielsweise auf die Lieferkette im Energiesektor.“
NIS2-Umsetzung in Deutschland
In Deutschland arbeitet man gerade an der Umsetzung der NIS2 Richtlinie. Es geht darum, neue EU-Vorgaben in nationales Recht bis Oktober 2024 umzusetzen. Das Bundesministerium des Innern und für Heimat ist hierbei federführend.
Gesetzgebungsprozess und Federführung
Am 7. Mai 2024 wurde der Referentenentwurf zum „Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit“ veröffentlicht. Dieser Entwurf wird jetzt schrittweise im Gesetzgebungsverfahren besprochen und bearbeitet.
Das neue Gesetz erweitert den bestehenden Rahmen in Deutschland. Es bringt die Vorgaben der NIS2 Richtlinie ins deutsche Recht. Dazu gehören neue Kategorien, mehr Aufsichtsbefugnisse für das BSI und Regeln zum Melden von Sicherheitsvorfällen.
| Statistik | Wert |
|---|---|
| Geschätzte Schäden durch Cyberangriffe in Deutschland 2022 | Mehr als 200 Milliarden Euro |
| Zusätzliche Unternehmen, die von NIS2 erfasst werden | Rund 29.000 |
| Mögliche Bußgelder bei Verstößen | 100.000 bis 20 Millionen Euro |
Die NIS2-Umsetzung in Deutschland kommt nun in eine wichtige Phase. Es ist wichtig, dass sich Unternehmen rechtzeitig mit den neuen Regeln vertraut machen. Eine genaue Prüfung, wie sie betroffen sind, ist entscheidend, um die nötigen Schritte rechtzeitig zu tun.
Geltungsbereich von NIS2
Die Europäische Union hat die NIS2-Richtlinie geschaffen. Sie will die Cybersicherheit überall in Europa verbessern. Ab 2024 müssen Firmen in vielen Bereichen die Regeln für Informationssicherheit einhalten. Dies wird für mehr Unternehmen verpflichtend sein als vorher.
Betroffene Unternehmen und Einrichtungen
Die NIS2-Richtlinie betrifft Firmen, die mehr als 50 Leute beschäftigen und mehr als 10 Mio. Euro Umsatz machen. So wurden die Regeln festgelegt. Diese Firmen müssen sich an die NIS2-Richtlinie halten, wenn die Kriterien zutreffen.
Jetzt sind neben den kritischen Infrastrukturen auch „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ dran. Sie wurden je nach Größe und Sektor eingestuft.
| Kategorie | Kriterien |
|---|---|
| Besonders wichtige Einrichtungen | Mindestens 250 Mitarbeiter und 50 Mio. Euro Jahresumsatz |
| Wichtige Einrichtungen | Mindestens 50 Mitarbeiter und 10 Mio. Euro Jahresumsatz |
„Die NIS2-Sektoren ähneln denen der deutschen KRITIS-Einstufung in Bereichen wie Energie, Transport, Bankwesen, Gesundheit, Digitale Infrastruktur, etc“
NIS2 führt eine neue Regel, die „size-cap-Regel“, ein. Mittelgroße und große Firmen in 18 Sektoren werden so reguliert. Dies macht die Cybersicherheitsvorschriften für viele weitere Unternehmen verpflichtend.
Einrichtungen nach NIS2
Die EU NIS2-Richtlinie teilt Einrichtungen in Deutschland nach ihrer Wichtigkeit ein. Sie müssen verschiedene Cybersicherheitsstandards erfüllen, je nachdem in welcher Kategorie sie sind.
Besonders wichtige Einrichtungen
Große Firmen in Schlüsselbereichen wie Energie oder Gesundheit sind NIS2-Bereiche. Dazu gehören auch Anbieter von Diensten, die wir täglich brauchen. Diese Regelungen schützen unsere kritischen Einrichtungen vor Hackerangriffen.
Wichtige Einrichtungen
Mittlere und große Unternehmen in Sektoren wie Post oder Chemie zählen auch dazu. Maßgeblich ist die Größe und Wirtschaftskraft der Firmen. Sie müssen ebenfalls hohe Sicherheitsstandards erfüllen.
| Einrichtung | Kriterien | Beispiele |
|---|---|---|
| Besonders wichtige Einrichtungen | Großunternehmen in Sektoren hoher Kritikalität, unabhängig von Unternehmensgröße bestimmte Anbieter, KRITIS-Betreiber | Energieunternehmen, Flughäfen, Banken, Krankenhäuser, Telekommunikationsanbieter |
| Wichtige Einrichtungen | Mittlere und große Unternehmen in Sektoren wie Post/Kurier, Chemie, Lebensmittel, Digitale Dienste, Vertrauensdienste-Anbieter | Logistikanbieter, Chemieunternehmen, Lebensmittelproduzenten, Cloud-Anbieter |
Es ist wichtig, die genauen Regeln zu kennen, um sie zu erfüllen. Firmen sollten früh lernen, was sie tun müssen, um sich vorzubereiten.
„Wir erwarten, dass die NIS2-Richtlinie in Deutschland rund 20.000 zusätzliche Betriebe in die Pflicht nehmen wird – das ist eine enorme Herausforderung für die Betriebe und die Aufsichtsbehörden.“
Betreiber kritischer Anlagen
In Deutschland bekommen Betreiber kritischer Infrastrukturen einen neuen Namen. Sie heißen jetzt Betreiber kritischer Anlagen. Diese Gruppen sind sehr wichtig für die Sicherheit im Internet. Sie müssen prüfen, ob sie zu den kritischen Anlagen gehören.
Die neuen Regeln gelten auch für wichtige Einrichtungen nach dem NIS2-Umsetzungsgesetz (NIS2UmsuCG). Etwa 8.100 Betriebe gehören dazu, darunter digitale und kritische Dienstleister. Dazu kommen noch 3.400 neue wichtige Orte.
Es gibt sogar noch 20.900 weitere wichtige Stellen. Insgesamt werden etwa 30.000 Firmen die neuen Regeln beachten müssen. Doch nur 40% haben bisher alles Nötige getan.
| Kategorie | Anzahl der Betriebe |
|---|---|
| Besonders wichtige Einrichtungen | 8.100 |
| Andere wichtige Einrichtungen | 20.900 |
| Insgesamt betroffene Unternehmen | 30.000 |
Die Umsetzung der NIS2-Regeln kostet ziemlich viel Geld. Etwa 1,65 Milliarden Euro jedes Jahr. Dazu kommen einmalige Kosten von ungefähr 1,37 Milliarden Euro.
Die Betreiber kritischer Anlagen müssen sich gut vorbereiten. Zum Beispiel müssen sie digitale Prozesse verbessern. Das NIS2UmsuCG wird ab Oktober 2024 alle neuen Regeln klar machen.
„Die Nichterfüllung der NIS2UmsuCG-Anforderungen kann empfindliche Geldstrafen nach sich ziehen: 10 Mio. EUR oder 2 % des Gesamtumsatzes (KRITAN und besonders wichtige Unternehmen) bzw. max. 7 Mio. EUR 1,4 % des Gesamtumsatzes (wichtige Unternehmen).“
NIS2-Sektoren
Die NIS2-Richtlinie teilt kritische Sektoren in zwei Gruppen ein. Es gibt Sektoren hoher Kritikalität und sonstige kritische Sektoren. Diese Unterscheidung bestimmt, welche Sicherheitsregeln für Firmen gelten.
Sektoren hoher Kritikalität
Energie, Verkehr/Transport, Finanzen/Versicherungen, Gesundheit, Wasser/Abwasser, IT/Telekommunikation und Weltraum gelten als Schlüsselbereiche. Sie müssen besonders hohe Standards in Sachen Cybersicherheit erfüllen. Ein großer Schaden könnte entstehen, wenn hier etwas ausfällt.
Sonstige kritische Sektoren
Andere wichtige Bereiche sind zum Beispiel Post/Kurier, Entsorgung, Chemie, Lebensmittel, das verarbeitende Gewerbe, digitale Dienste und Forschung. Auch sie müssen sich intensive Gedanken um Cybersicherheit machen. Die Regeln sind jedoch etwas lockerer als bei den Schlüsselsektoren.
| Sektoren hoher Kritikalität | Sonstige kritische Sektoren |
|---|---|
| Energie, Verkehr/Transport, Finanzen/Versicherungen, Gesundheit, Wasser/Abwasser, IT/Telekommunikation, Weltraum | Post/Kurier, Entsorgung, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung |
Ziel dieser Einteilung ist es, wichtige Regionen der EU besser vor Cyberangriffen zu schützen. So sollen Störungen oder Ausfälle in den kritischsten Sektoren vermieden werden.
Cybersicherheitsanforderungen von NIS2
Die NIS2-Richtlinie legt strenge Anforderungen an Risikomanagement, Sicherheitsmaßnahmen und Meldepflichten. Sie betrifft Firmen in 18 Sektoren, die mehr als 50 Mitarbeiter haben. Sie sollten auch mehr als 10 Millionen Euro jährlich verdienen. Das ist eine große Änderung im Vergleich zur vorigen NIS-Richtlinie.
Risikomanagement und Meldepflichten
Zwischen 29.000 und 40.000 Unternehmen in Deutschland werden von NIS2 beeinflusst sein. Sie müssen ein gutes Risikomanagement-System haben und die Sicherheitsmaßnahmen nutzen, die heute Stand der Technik sind. Sie müssen auch große Cybersicherheitsvorfälle den Aufsichtsbehörden melden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine dieser Behörden.
Betreiber kritischer Anlagen haben noch heftigere Regeln zu beachten. Ihre Chefs und Leitungsorgane müssen sicherstellen, dass sie die NIS2-Anforderungen erfüllen. Bei Verstoß könnten sie mit ihrem persönlichen Geld haften müssen.
Die NIS2-Normen einzuführen und zu befolgen, wird für viele Firmen schwierig, langwierig und teuer sein. Es wird empfohlen, Führungskräften Cybersecurity nahezubringen. Auch kontinuierliche IT-Sicherheitsschulungen für die Mitarbeitenden sind hilfreich. So kann die Cybersicherheit im Rahmen von NIS2 gestärkt werden.
| Sanktionen bei Nichteinhaltung | Betroffene Unternehmen |
|---|---|
| Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes für wesentliche Einrichtungen | Rund 30.000 Unternehmen in Deutschland werden voraussichtlich von den Anforderungen der NIS2-Richtlinie betroffen sein |
| Bußgelder von bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes für wichtige Einrichtungen | Unternehmen in 18 Sektoren ab 50 Mitarbeiter und 10 Mio. Euro Umsatz unterliegen den neuen Vorschriften |
„Die Implementierung und Überwachung der NIS2-Standards wird für viele Unternehmen eine komplexe, zeitaufwendige und kostspielige Aufgabe sein.“
Prüfungen und Nachweise
Seit NIS2 müssen Firmen ihre Cyber-Sicherheit oft zeigen. Das hilft, in Europa ein gleiches, besseres Schutz-Niveau zu schaffen.
Kritische Anlagen brauchen alle drei Jahre eine Prüfung. „Wichtige“ oder „besonders wichtige“ Orte müssen ihre Sicherheit zeigen. Und sie werden manchmal kontrolliert, ob sie es richtig machen.
- Betreiber kritischer Anlagen: Alle 3 Jahre Prüfung durch unabhängige Stellen
- Wichtige und besonders wichtige Einrichtungen: Regelmäßige Dokumentation der Cybersicherheit, Stichprobenkontrollen durch Aufsichtsbehörden
Dank NIS2 werden Sicherheits-Standards in Deutschland und der EU besser. Firmen müssen alle zwei Jahre ein spezielles Sicherheits-Audit machen.
| Unternehmensgröße | Prüfungen und Nachweise |
|---|---|
| Besonders wichtige Einrichtungen (≥250 MA oder >50 Mio. € Umsatz, >43 Mio. € Bilanzsumme) | Alle 2 Jahre Sicherheitsaudit, Stichprobenkontrollen |
| Wichtige Einrichtungen (50-249 MA oder >10 Mio. € Umsatz, >10 Mio. € Bilanzsumme) | Regelmäßige Dokumentation, Stichprobenkontrollen |
| Betreiber kritischer Anlagen | Alle 3 Jahre Prüfung durch unabhängige Stellen |
Die NIS2-Regel soll Cybersicherheit auf hohem Level halten. Dafür sind regelmäßige Prüfungen und Nachweise sehr wichtig.
Aufsicht und Befugnisse
NIS2 erweitert die Macht und Kontrolle der Behörden deutlich. Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), sowie die Bundesnetzagentur (BNetzA) mit der Überwachung der NIS2-Richtlinie beauftragt.
Diese Stellen verfügen nun über mehr Macht. Sie überwachen, ob Unternehmen die NIS2-Regeln befolgen. Sie haben folgende Befugnisse:
- Registrierungspflichten für Unternehmen
- Regelmäßige Sicherheitsüberprüfungen und Prüfungen
- Die Erteilung verbindlicher Weisungen zur Behebung von Mängeln
- Verhängung von Sanktionen bei Nichteinhaltung der Vorgaben
Cybersicherheit in kritischen Teilen der Wirtschaft und in Diensten wird stärker beobachtet. Unternehmen müssen strenge Sicherheitsregeln befolgen. Das soll Strafen und Probleme verhindern.
| Behörde | Zuständigkeiten |
|---|---|
| Bundesamt für Sicherheit in der Informationstechnik (BSI) | Cybersicherheit, Registrierung, Prüfungen, Weisungen |
| Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) | Resilience, Katastrophenschutz, Notfallplanung |
| Bundesnetzagentur (BNetzA) | Telekommunikation, digitale Infrastrukturen, Sanktionen |
Unternehmen müssen die NIS2-Regeln gut umsetzen. So vermeiden sie Strafen. Die Behörden helfen, passen aber auch auf und strafen bei Regelverstößen.
Sektorgesetze und Sonderregelungen
Die NIS2-Richtlinie zwingt einige Bereiche, ihre Gesetze zu aktualisieren. Bereiche wie das Telekommunikationsgesetz (TKG) und das Energiewirtschaftsgesetz (EnWG) werden angepasst. Für Finanzfirmen gibt es die EU-Verordnung DORA. Für manche Firmen gibt es auch spezielle Regeln.
Ab 2024 gilt das NIS2-Umsetzungsgesetz für rund 30.000 deutsche Unternehmen. Diese müssen neue Sicherheitsstandards einhalten. Bei Verstößen drohen Bußgelder bis zu 20 Millionen Euro.
Firmen mit kritischen Anlagen müssen alle drei Jahre Prüfungen machen. Einrichtungen müssen ihre Arbeit dokumentieren. Sie können auch ohne Vorwarnung überprüft werden.
Das TKG und EnWG ändern sich wegen NIS2. Das neue Gesetz betrifft wichtige Einrichtungen und Anlagen in vielen Bereichen. Es gibt höhere Geldstrafen für Regelverstöße.
Bestimmte Firmen haben Ausnahmen von den NIS2-Regeln. Das hilft, passende Sicherheitsmaßnahmen zu finden. Jede Branche hat spezielle Bedürfnisse, die berücksichtigt werden sollen.
| Sektor | Gesetz | Änderungen durch NIS2 |
|---|---|---|
| Telekommunikation | Telekommunikationsgesetz (TKG) | Anpassung der Sicherheitsanforderungen und Meldepflichten |
| Energie | Energiewirtschaftsgesetz (EnWG) | Erhöhung der Cybersicherheitsstandards für Energieversorger |
| Finanzsektor | EU-Verordnung DORA | Ergänzende Regelungen zur digitalen Betriebsresilienz |
Das NIS2-Umsetzungsgesetz ist wichtig für Deutschlands Cybersicherheit. Es schützt kritische Anlagen und Systeme besser.
Sanktionen bei Nichteinhaltung
Die NIS2-Richtlinie in Deutschland stellt hohe Anforderungen an die Cybersicherheit. Unternehmen und Einrichtungen müssen sich an Vorschriften halten. Bei Nichtbeachtung drohen empfindliche Strafen. Dies gilt vor allem für Betreiber kritischer Infrastrukturen und wichtiger Einrichtungen.
Seit 2021 kann das IT-Sicherheitsgesetz 2.0 Bußgelder bis zu 2 Millionen Euro verhängen. Mit der NIS2-Richtlinie werden die Strafen aber noch höher.
Ab Oktober 2024 können Strafen bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes entstehen. Die Höhe der Strafe hängt von der Schwere des Verstoßes ab. Die Beträge können sehr hoch sein.
Auch Betriebsuntersagungen oder andere Sanktionen sind möglich. Besonders schwerwiegende Verstöße haben ernste Folgen für Unternehmen und Einrichtungen.
Um Strafen zu vermeiden, sollten Verantwortliche die NIS2-Anforderungen erfüllen. Regelmäßige Risikobewertungen und Schulungen sind wichtig. Ein gutes Cybersicherheitsmanagement hilft, die Vorschriften einzuhalten.
Fazit
Die NIS2-Richtlinie ist ein wichtiger Schritt für die Sicherheit in der EU. Sie gilt nicht nur für besonders kritische Betreiber. Unternehmen müssen nun strengere Regeln beim Risikomanagement und der Sicherheit einhalten.
Für Verstöße können hohe Strafen verhängt werden. Diese Strafen sollen sicherstellen, dass sich alle an die Regeln halten. Sowohl große als auch kleine Unternehmen müssen Vorsicht walten lassen.
Die EU-Länder müssen bis Oktober 2024 die NIS2-Richtlinie umsetzen. Somit soll Deutschland sicherer vor digitalen Gefahren werden. Diese Sicherheitsmaßnahmen betreffen nicht nur Großkonzerne, sondern auch kleine und mittelständische Unternehmen.