Ansprechpartner

Informationsverarbeitung für den Mittelstand

Die NIS2-Richtlinie verstehen und anwenden

Die Network and Information Systems Directive 2 (NIS2) ist eine wichtige Richtlinie, die die Sicherheit und Integrität von Netzwerken und Informationssystemen in der Europäischen Union (EU) stärken soll. Sie betrifft eine breite Palette von Organisationen und Unternehmen. Hier erfahren Sie, wer von NIS2 betroffen ist und was Sie wissen müssen, um diese Richtlinie zu verstehen und anzuwenden.

Die Hauptabsicht der NIS2-Richtlinie besteht darin, die Widerstandsfähigkeit von Netz- und Informationssystemen in der Europäischen Union gegenüber Cyberbedrohungen zu erhöhen. Sie fokussiert sich auf kritische Sektoren wie Energie, Gesundheitswesen, Verkehr und digitale Infrastruktur. Das Ziel ist es, EU-Länder dabei zu unterstützen, effektive Maßnahmen zur Erkennung, Prävention und Bewältigung von Cyberangriffen zu entwickeln und umzusetzen. Die Richtlinie fördert die Zusammenarbeit zwischen Mitgliedstaaten und der Privatwirtschaft, um die digitale Sicherheit auf EU-Ebene zu stärken und Netz- und Informationssysteme besser zu schützen. Sie hebt die Richtlinie (EU) 2016/1148 (NIS-Richtlinie) zum 18. Oktober 2024 auf.

Betroffene Sektoren

Die NIS2-Richtlinie der Europäischen Union identifiziert 18 kritische Sektoren, die in solche mit hoher Kritikalität gemäß Anhang 1 NIS2 und sonstige kritische Sektoren gemäß Anhang 2 NIS2 unterteilt werden. In diesen Sektoren sind die Sicherheit und Integrität von Netz- und Informationssystemen von entscheidender Bedeutung. Sie beinhalten Organisationen, die grundlegende Dienstleistungen und Infrastrukturen bereitstellen, die für die Funktionsweise unserer modernen Gesellschaft unerlässlich sind. Einige dieser Sektoren waren bereits in der vorherigen NIS-Richtlinie enthalten, während die rot markierten Sektoren neu hinzugekommen sind:

  • Energie
    Dieser essenzielle Sektor umfasst die gesamte Energieversorgung, von der Erzeugung über die Verteilung bis zur Versorgung. Die Lieferkette beginnt bei der Gewinnung von Rohstoffen wie Kohle, Öl und Gas, führt zur Energieerzeugung und endet bei der Verteilung über Stromnetze.
     
  • Verkehr
    Dieser Sektor hält die Welt in Bewegung und beinhaltet Straßen-, Schienen-, Luft- und Seetransport. Die Lieferkette erstreckt sich von der Herstellung von Fahrzeugen über den Betrieb von Verkehrswegen bis zur Bereitstellung von Transportdienstleistungen.
     
  • Bankwesen
    Dieser Sektor umfasst Finanzinstitute, die Bankgeschäfte wie Einlagen- und Kreditgeschäfte durchführen. Die Stabilität und Integrität des Finanzsystems hängt maßgeblich von diesen Instituten ab.
     
  • Finanzmarktinfrastrukturen
    Dieser Sektor umfasst Betreiber von Handelsplätzen. Diese Unternehmen spielen eine zentrale Rolle im Finanzmarkt, indem sie Handelsplätze betreiben und als zentrale Gegenparteien in Finanztransaktionen agieren. Sie sind von hoher Kritikalität für die Stabilität und Integrität des Finanzsystems.
     
  • Gesundheitswesen
    Das Wohl und die Gesundheit der Bevölkerung hängen von diesem Sektor ab, der Krankenhäuser, Kliniken und medizinische Dienstleister einschließt. Die Lieferkette beinhaltet medizinische Geräte, Medikamente und eine breite Palette von Gesundheitsdienstleistungen.
     
  • Trinkwasser (Neu!)
    Die Trinkwasserbereitstellung ist von entscheidender Bedeutung. Sie umfasst die Gewinnung und Aufbereitung von Trinkwasser sowie die zuverlässige Verteilung an Haushalte und Unternehmen. Die Lieferkette umfasst Dienstleistungen wie Wartung und Reparatur von Wasseraufbereitungsanlagen sowie die Herstellung technischer Ausrüstung, wie zum Beispiel Pumpen und Rohrleitungen. Es ist jedoch zu beachten, dass Unternehmen, bei denen die Wasserversorgung nur einen unwesentlichen Teil ihrer allgemeinen Geschäftstätigkeit darstellt und die hauptsächlich andere Rohstoffe und Güter liefern, von dieser Regel ausgenommen sind.
     
  • Abwasser (Neu!)
    Dieser Sektor umfasst die Sammlung, Entsorgung und Behandlung von Abwasser, um Umwelt- und Gesundheitsstandards zu erfüllen. Die Lieferkette in diesem Bereich kann Dienstleistungen und Produkte umfassen, die zur Unterstützung der Abwasserbewirtschaftung notwendig sind. Dazu gehören beispielsweise Unternehmen, die Abwasseraufbereitungsanlagen warten und reparieren, sowie Hersteller und Lieferanten von Abwasseraufbereitungschemikalien. Es ist jedoch zu beachten, dass Unternehmen, bei denen die Abwasserwirtschaft nur einen unwesentlichen Teil ihrer allgemeinen Geschäftstätigkeit darstellt und die hauptsächlich andere Tätigkeiten ausüben, von dieser Regel ausgenommen sind.
     
  • Digitale Infrastruktur
    Dieser umfangreiche Sektor umfasst Betreiber von Internet-Knoten, DNS-Diensteanbieter (wobei Betreiber von Root-Namenservern ausgenommen sind), TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze und Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste. Diese Unternehmen sind von hoher Kritikalität, da sie die Grundlagen der digitalen Welt darstellen. Sie sind maßgeblich für die Sicherheit, Konnektivität und Leistungsfähigkeit des Internets verantwortlich und tragen dazu bei, dass digitale Dienste und Kommunikation reibungslos funktionieren.
     
  • Verwaltung von IKT-Diensten (Business-to-Business) (Neu!)
    Diese Unternehmen spielen eine entscheidende Rolle in der Geschäftswelt, indem sie Informationstechnologie-Dienstleistungen und -Sicherheitslösungen für andere Unternehmen bereitstellen. Sie unterstützen Geschäftskunden bei der Verwaltung und Sicherung ihrer digitalen Ressourcen und tragen zur Effizienz und Sicherheit von Geschäftsprozessen bei. Unternehmen in diesem Sektor sind von hoher Kritikalität, da sie die Geschäftskontinuität und den Schutz sensibler Daten gewährleisten.
     
  • öffentliche Verwaltung (Neu!)
    Dieser Sektor umfasst Einrichtungen der öffentlichen Verwaltung von Zentralregierungen und Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene gemäß der Definition eines Mitgliedstaats gemäß nationalem Recht. Diese Einrichtungen bilden das Rückgrat der staatlichen Verwaltung und regionalen Behörden. Sie sind von hoher Kritikalität, da sie die grundlegenden Funktionen der öffentlichen Verwaltung ausüben, die für die Aufrechterhaltung der staatlichen Ordnung und die Bereitstellung von öffentlichen Dienstleistungen unerlässlich sind. Die Sicherheit und Stabilität dieser Einrichtungen sind von größter Bedeutung für die Gesellschaft.
     
  • Weltraum (Neu!)
    Dieser Sektor umfasst Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden. Diese Infrastrukturen unterstützen die Erbringung von weltraumgestützten Diensten und sind von hoher Kritikalität für die Raumfahrt- und Satellitenindustrie. Sie spielen eine entscheidende Rolle bei der Kommunikation, Navigation, Erdbeobachtung und wissenschaftlichen Forschung im Weltraum. Es ist zu beachten, dass Anbieter öffentlicher elektronischer Kommunikationsnetze von dieser Regel ausgenommen sind. Die Sicherheit und Integrität dieser Weltrauminfrastrukturen sind von höchster Bedeutung für zahlreiche Anwendungen und Dienste.
  • Post- und Kurierdienste (Neu!)
    Dieser Sektor umfasst Anbieter von Postdiensten. Dazu gehören auch Anbieter von Kurierdiensten. Diese Unternehmen spielen eine wesentliche Rolle bei der Zustellung von Postsendungen und Paketen, was nicht nur für den alltäglichen Geschäftsbetrieb, sondern auch für die Kommunikation und den Warenverkehr von großer Bedeutung ist. Die Sicherstellung einer zuverlässigen Post- und Kurierzustellung trägt zur reibungslosen Funktion von Wirtschaft und Gesellschaft bei.
     
  • Abfallbewirtschaftung
    Dieser Sektor umfasst Unternehmen der Abfallbewirtschaftung. Diese Unternehmen spielen eine entscheidende Rolle bei der Sammlung, Entsorgung und Wiederverwertung von Abfällen. Sie tragen zur Umweltschonung bei und sind von hoher Kritikalität, da sie die Abfallentsorgung und -recycling sicherstellen. Unternehmen, bei denen die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist, sind von dieser Regel ausgenommen. Die ordnungsgemäße Abfallbewirtschaftung ist entscheidend für den Schutz der Umwelt und die Gesundheit der Bevölkerung.
     
  • Produktion, Herstellung und Handel mit chemischen Stoffen
    Hierbei handelt es sich um Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln, sowie um Unternehmen, die Erzeugnisse aus Stoffen oder Gemischen produzieren. Diese Unternehmen spielen eine wichtige Rolle in der Herstellung und dem Handel von chemischen Produkten, die in verschiedenen Branchen und Produkten Anwendung finden. Die sichere und umweltverträgliche Handhabung von Chemikalien in diesem Sektor ist von großer Bedeutung für die Gesundheit und die Umwelt.
     
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
    Unternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung von Lebensmitteln tätig sind. Diese Unternehmen spielen eine Schlüsselrolle in der Lebensmittelversorgungskette, da sie Lebensmittel produzieren, verarbeiten und im Großhandel vertreiben. Die Qualität und Sicherheit von Lebensmitteln sind von höchster Bedeutung für die Gesundheit der Bevölkerung, und die Aktivitäten in diesem Sektor haben einen direkten Einfluss auf die Ernährung und Gesundheit der Verbraucher.
     
  • Verarbeitendes Gewerbe/Herstellung von Waren (Neu!)
    Dieser Sektor umfasst mehrere Bereiche:
     
    • Herstellung von Medizinprodukten und In-vitro-Diagnostika
      Einrichtungen, die Medizinprodukteherstellen, sowie Einrichtungen, die In-vitro-Diagnostika herstellen. Unternehmen in diesem Bereich produzieren lebenswichtige Medizinprodukte, die für die Gesundheitsversorgung und medizinische Behandlungen von großer Bedeutung sind.
      Ausgenommen sind natürliche Personen oder rechtlich anerkannte Einrichtungen, die im eigenen Namen handeln können und bestimmten rechtlichen Anforderungen entsprechen.
        
    • Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
      Dieser Bereich umfasst die Produktion von Computern, elektronischen Geräten und optischen Produkten.
       
    • Herstellung von elektrischen Ausrüstungen
      Hier werden Unternehmen eingeordnet, die elektrische Ausrüstungen produzieren, einschließlich elektrischer Komponenten und Geräte.
       
    • Maschinenbau
      In dieser Kategorie sind Unternehmen im Maschinenbausektor enthalten, die Maschinen und Ausrüstungen für verschiedene Branchen herstellen.
       
    • Herstellung von Kraftwagen und Kraftwagenteilen
      Dieser Bereich umfasst Unternehmen, die Kraftfahrzeuge und Teile für Kraftfahrzeuge herstellen.
       
    • Sonstiger Fahrzeugbau
      Hier werden Unternehmen eingeordnet, die Fahrzeuge herstellen, die nicht in die vorherigen Kategorien fallen, wie beispielsweise Schienenfahrzeuge.
       
  • Anbieter digitaler Dienste (Neu!)
    Dieser Sektor umfasst verschiedene Dienstleistungsanbieter, darunter Anbieter von Online-Marktplätzen, Anbieter von Online-Suchmaschinen und Anbieter von Plattformen für Dienste sozialer Netzwerke. Diese Unternehmen spielen eine wesentliche Rolle in der digitalen Wirtschaft, indem sie Online-Marktplätze bereitstellen, die den Handel mit Produkten und Dienstleistungen erleichtern, Suchmaschinen anbieten, die die Informationssuche im Internet ermöglichen, und Plattformen für soziale Netzwerke, auf denen Nutzer miteinander kommunizieren, Inhalte teilen und soziale Netzwerke aufbauen können. Ihre Dienste sind von großer Bedeutung für die Gesellschaft und die Wirtschaft und haben erheblichen Einfluss auf die Art und Weise, wie wir online kommunizieren, Geschäfte abwickeln und Informationen suchen.
     
  • Forschung (Neu!)
    In diesem Sektor sind Forschungseinrichtungen eingeschlossen, deren Hauptziel die Durchführung angewandter Forschung oder experimenteller Entwicklung ist, um die Ergebnisse dieser Forschung für kommerzielle Zwecke zu nutzen. Forschungseinrichtungen in diesem Sektor spielen eine wichtige Rolle bei der Förderung von Innovation und wissenschaftlicher Entwicklung, insbesondere wenn es darum geht, neue Erkenntnisse und Technologien für wirtschaftliche Zwecke zu nutzen.
    Es ist jedoch zu beachten, dass Bildungseinrichtungen nicht in diese Kategorie fallen.

Betroffene Unternehmen

Als weiteres Kriterium legt die NIS2 die Unternehmensgröße fest, um die betroffenen Unternehmen zu identifizieren.

Hierbei erfolgt die Unterscheidung wie folgt:

  • Mittlere Unternehmen ab 50 Mitarbeiter und einem Jahresumsatz von 10 bis 50 Mio. EUR oder einer Jahresbilanz bis 43 Mio. EUR
  • Große Unternehmen ab 250 Mitarbeiter und einem Jahresumsatz ab 50 Mio. EUR oder einer Jahresbilanz ab 43 Mio. EUR

 

Auch hier kategorisiert die NIS2 zwei Hauptgruppen, nämlich Wesentliche und wichtige Einrichtungen. Die öffentliche Verwaltung, bestimmte Bereiche der digitalen Infrastruktur und Anbieter von kritischen Diensten, bei denen eine Störung erhebliche Auswirkungen haben könnte, unterliegen der Regulierung, unabhängig von ihrer Größe. Dieser Ansatz ermöglicht es, differenzierte Sicherheitsanforderungen anzuwenden, um sicherzustellen, dass sowohl die kritischsten als auch die weniger kritischen Dienstleister angemessen reguliert werden.

  • Große Unternehmen, die in Anhang 1 (Sektoren mit hoher Kritikalität) fallen
  • Qualifizierte Vertrauensdiensteanbieter und Domänennamenregister sowie DNS-Diensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste
  • Einrichtungen der öffentlichen Verwaltung
  • Sonstige Einrichtungen der in Anhang I oder II aufgeführten Art, die von einem Mitgliedstaat als wesentliche Einrichtungen eingestuft werden.
  • Einrichtungen, die von den Mitgliedstaaten vor dem 16. Januar 2023 gemäß der Richtlinie (EU) 2016/1148 (NIS-Richtlinie) oder nach nationalem Recht als Betreiber wesentlicher Dienste eingestuft wurden
  • Große Unternehmen, die in Anhang 2 (sonstige kritische Sektoren) fallen
  • Mittlere Unternehmen, die in Anhang 1 oder 2 (Sektoren mit hoher Kritikalität oder sonstige kritische Sektoren) fallen
  • Einrichtungen, die von einem Mitgliedstaat als solche eingestuft werden

Um unter die NIS2-Richtlinie zu fallen, müssen Unternehmen sowohl den kritischen Sektoren angehören, die in Anhang 1 und Anhang 2 der Richtlinie aufgeführt sind, als auch bestimmte Größenkriterien erfüllen.
Mit unserer Checkliste können Sie leicht überprüfen, ob Ihr Unternehmen von den Anforderungen der NIS2-Richtlinie betroffen ist:

Beachten Sie, dass die NIS2-Richtlinie auch Unternehmen in der Lieferkette betrifft, die Dienstleistungen oder Produkte im Zusammenhang mit kritischen Sektoren erbringen.
 

  • Unternehmensgröße
    Überprüfen Sie, ob Ihr Unternehmen die definierten Schwellenwerte für die Unternehmensgröße gemäß NIS2 erfüllt:
    • Mittlere Unternehmen mit 50 – 250 Beschäftigten und einem Umsatz zwischen 10 und 50 Mio. EUR oder einer Jahresbilanzsumme von höchstens 43 Mio. EUR
    • Große Unternehmen mit mehr als 250 Beschäftigten und mehr als 50 Mio. EUR Umsatz oder einer Jahresbilanz von mehr als 43 Mio. EUR
       
  • Sektorzugehörigkeit
    Ermitteln Sie, ob Ihr Unternehmen in einem der 18 kritischen Sektoren gemäß NIS2 tätig ist und überprüfen Sie, ob Ihr Sektor in Anhang 1 oder Anhang 2 der NIS2-Richtlinie aufgeführt ist
     
  • Wesentliche oder wichtige Einrichtung
    Klären Sie, ob Ihr Unternehmen als wesentliche Einrichtung (Essential Entity) oder wichtige Einrichtung (Important Entity) eingestuft wird.

Wie kann VdS bei der Umsetzung der NIS2-Richtlinie unterstützen?

Unser Motto lautet: Let's give NIS(2) a KISS

Das Ziel ist die Entwicklung von VdS-Richtlinien, die Unternehmen bei der effektiven Umsetzung der NIS2-Richtlinie unterstützen. Diese Richtlinien werden für Unternehmen jeder Größe - klein, mittel und groß - entwickelt, um die neuen Anforderungen klar und praxisnah umzusetzen. Dabei steht das Prinzip "So wenig wie möglich, so viel wie nötig!" im Fokus.

Die ergriffenen Maßnahmen können von der unabhängigen Instanz, der VdS Schadenverhütung GmbH, auditiert und zertifiziert werden. Die erforderliche Infrastruktur für die Zertifizierung und die neuen VdS-Richtlinien werden voraussichtlich zum Zeitpunkt der Verkündung des NIS2UmsuCG im Bundesgesetzblatt (voraussichtlich Oktober 2024) verfügbar sein. Sofern es gemäß dem NIS2UmsuCG erforderlich ist, werden die Richtlinien dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Zertifizierung oder Anerkennung vorgelegt.

Um eine nahtlose Verbindung herzustellen, werden diese neuen Richtlinien auf der Grundlage der bewährten VdS-Richtlinien VdS 10000 entwickelt und sollen als ergänzendes Modul für Unternehmen dienen, die zukünftig von NIS2 betroffen sind. Dies bedeutet, dass die VdS 10000-Richtlinien bereits heute als vorbereitende Maßnahme umgesetzt werden können und sollten. Sie bieten einen soliden Rahmen, um die Anforderungen der NIS2-Richtlinie zu erfüllen und Unternehmen auf mögliche Veränderungen vorzubereiten.

Wir sind überzeugt, dass wertvolle und praxisnahe Richtlinien nur entstehen können, wenn viele kluge Köpfe daran mitwirken. Daher laden wir alle Interessierten herzlich ein, sich aktiv in diesen Prozess einzubringen. Unser Ziel ist es, die Gestaltung der neuen VdS-Richtlinien möglichst offen zu gestalten. Wir möchten, dass diese Richtlinien von der Gemeinschaft mitgestaltet werden.

Weitere Informationen zur NIS2-Richtlinie und dem Projektverlauf finden Sie auf unserer Projektseite.

    Ansprechpartner

    nach oben
    Top