V-Hub by Vodafone Business Security SicherheitNIS-2: Das steckt dahinter und so handeln Sie konform

Personen auf einer digitalen Leiterbahn, im Hintergrund ein helles Licht. Über den Personen digitale Symbole für Schaltkreise

Security

NIS-2: Das steckt dahinter und so handeln Sie konform

16.08.2024

8 Min.

Unternehmen unterliegen in der Europäischen Union (EU) nicht nur strengen Regeln hinsichtlich des Datenschutzes. Seit Januar 2023 gibt es auch die sogenannte NIS-2-Richtline der EU, die für eine bessere Cyberresilienz von Unternehmen sorgen soll. Das Ziel: Die novellierte Richtlinie soll vor allem Unternehmen der sogenannten kritischen Infrastruktur (KRITIS) im europäischen Binnenmarkt besser vor Cyberangriffen schützen. Allerdings geht sie weit über den bislang bekannten Anwendungsbereich hinaus. NIS-2 tritt spätestens im Oktober 2024 in Deutschland in Kraft.

Die Europäische Union veröffentlichte die „zweite Richtlinie zur Netzwerk- und Informationssicherheit“ (NIS-2) bereits am 27.12.2022. Bis zur Umsetzung in nationales Recht haben die Mitgliedsstaaten 21 Monate Zeit. NIS-2 ist eine Weiterentwicklung der bisherigen „EU-Richtline über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ (NIS-1) aus dem Jahr 2016.

Was bedeutet NIS-2 konkret für Ihr Unternehmen? Sind Sie davon betroffen und falls ja, wie können Sie Ihr Unternehmen fit für die Bestimmungen der Richtlinie machen? Hier erfahren Sie es.

Inhaltsverzeichnis

Grundlagen von NIS-2: Das müssen Sie wissen Unterliegt Ihr Unternehmen den NIS-2-Vorschriften?NIS-1 vs. NIS-2 Sanktionen bei Verstößen gegen die NIS-2-Richtlinie

Grundlagen von NIS-2: Das müssen Sie wissen

Was ist KRITIS?

Kritische Infrastrukturen (KRITIS) sind Einrichtungen und Organisationen, die besonders wichtig für das Gemeinwesen sind oder bei deren Beeinträchtigung erhebliche Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen eintreten können. Dazu gehören die Sektoren Energie, Informationstechnik/Telekommunikation, Transport/Verkehr, Gesundheit, Medien/Kultur, Wasser, Ernährung, Staat/Verwaltung, Finanzwesen und Abfallentsorgung. Weitere Informationen dazu sowie zur KRITIS-Verordnung finden Sie auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Bislang existiert zwar nur ein Grundlagenentwurf des Bundesinnenministeriums, um NIS-2 in ein nationales Gesetz zu überführen. Doch bis Oktober 2024 muss die Richtlinie nach EU-Vorgaben auch in Deutschland rechtskräftig sein. Eine wichtige Prämisse dabei: Bisher fielen vor allem größere Institutionen unter die KRITIS-Gesetzgebung – NIS-2 nimmt dagegen künftig auch kleinere Unternehmen in Haftung. Aus diesem Grund sollten Sie sich baldmöglichst mit den Grundlagen und Anforderungen von NIS-2 befassen.

Von der NIS-2-Richtline betroffene Unternehmen sind dazu verpflichtet, angemessene Maßnahmen in folgenden Bereichen zu ergreifen und in sämtlichen Betriebsprozessen durchzusetzen:

Cyber-Risikomanagement
Lieferkettensicherheit
Business-Continuity-Management
Datenverschlüsselung
Zutrittsbeschränkungen
Berichterstattung an Behörden
Abhilfemaßnamen

Der Anwendungsbereich von NIS-2 geht über die klassischen Unternehmen und Institutionen der kritischen Infrastruktur hinaus. Generell soll die Richtlinie dafür sorgen, dass Geschäftsprozesse und die dazu notwendigen IT-Systeme unterbrechungsfrei und sicher laufen. Mit den verschärften Schutzmaßnahmen reagiert die EU auf die enorm gestiegene Zahl von Cyberangriffen in den Jahren seit Inkrafttreten von NIS-1.

Die NIS-2-Richtlinie unterscheidet in ihrem Geltungsbereich zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Der Unterschied liegt in den Sanktionen bei Verstößen sowie der Aufsicht durch die Behörden: Während „besonders wichtige“ Einrichtungen unter eine aktive Aufsicht fallen, gilt für die „wichtigen“ Einrichtungen lediglich die eine reaktive Aufsicht. Das bedeutet, dass die Aufsichtsbehörden die betroffenen Unternehmen nicht benachrichtigen. Sie müssen selbst entscheiden, ob sie in den Geltungsbereich von NIS-2 fallen.

Generell müssen sich betroffene Institutionen bei der Agentur der Europäischen Union für Cybersicherheit registrieren und die nationalen Sicherheitsbehörden künftig über „signifikante Störungen, Vorfälle und Cyber Threats ihrer Dienstleistungen“ unterrichten. Daneben müssen die Security-Maßnahmen der Unternehmen dem aktuellen Stand der Technik in der IT entsprechen. Außerdem müssen betroffene Firmen ein Risikomanagement einrichten.

Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

Mehr zu Lookout

Unterliegt Ihr Unternehmen den NIS-2-Vorschriften?

Verglichen mit der aktuellen Gesetzgebung erhöht sich die Zahl der Unternehmen und Organisationen in Deutschland, die unter die NIS-2-Richtlinie fallen – und zwar massiv. Gleichzeitig steigen die Anforderungen an Cybersicherheit und der Druck zur Durchsetzung der Richtlinie durch die Behörden. Auch die möglichen Sanktionen und die Haftung bei Verstößen verschärfen sich. Beispielsweise fallen künftig nicht mehr nur Produzenten im Energiesektor unter die neuen Vorschriften, sondern auch sämtliche Beteiligten an den jeweiligen Lieferketten.

Ihr Unternehmen ist von den neuen NIS-2-Vorschriften betroffen, wenn Sie in den folgenden Bereichen tätig sind.

„Besonders wichtige“ Einrichtungen

Energiewirtschaft: Herstellung, Vertrieb und Verkauf von Energie (zum Beispiel Strom, Gas, Öl) sowie Betreiber von E-Ladestationen
Wasserwirtschaft: Herstellung und Bereitstellung von Trinkwasser, Entsorgung von Abwasser
Verkehrswesen: Straßen-, Schienen-, Schiffs- und Luftverkehr
Bank-, Finanz- und Versicherungswesen: Bereitstellung von Krediten, Handel, Märkten und der dazugehörigen Infrastruktur
Digitale Infrastruktur: sämtliche Großunternehmen im digitalen Sektor; mittlere Unternehmen im Telekommunikationssektor; größenunabhängig daneben Betreiber kritischer Anlagen wie Zugangsnetze, Rechenzentren, Seekabel sowie DNS-Dienstanbieter, Top-Level-Domain-Name-Register (TLD) und Vertrauensdiensteanbieter
Gesundheitswesen: Gesundheitsdienstleistungen (einschließlich Pharmazeutika), Forschungseinrichtungen, Hersteller medizinischer Geräte
Öffentliche Verwaltung: alle Einrichtungen der Bundesverwaltung, Einrichtungen des öffentlichen Rechts und dazugehörige Vereinigungen, öffentliche IT-Unternehmen, die mehrheitlich im Eigentum des Bundes stehen
Raumfahrt: Hersteller von Bauteilen, Betreiber bodengestützter Infrastrukturen

„Wichtige“ Einrichtungen

Postwesen: Post- und Kurierdienste
Abfallwirtschaft: Sammlung, Transport, Recycling, Entsorgung
Forschungseinrichtungen: Produktion und Vertrieb zu Forschungszwecken
Lebensmittel: Produktion, Verarbeitung, Vertrieb
Chemische Erzeugnisse: Produktion und Handel
Hersteller von: Elektronik/Computern, Medizin-/Diagnosegeräten, Optik, Maschinen, Kraftfahrzeugen, sonstigen Transportmitteln

NIS-1 vs. NIS-2

Mit Inkrafttreten von NIS-2 in allen EU-Mitgliedsstaaten zum 24. Oktober 2024 ist die bisherige NIS-1-Richtlinie aufgehoben. Die NIS-1-Richtlinie diente im Jahr 2016 der Verbesserung der IT-Sicherheit angesichts einer sich verschärfenden Bedrohungslage. Vor allem machte sie KRITIS-Unternehmen konkrete Vorgaben zum Schutz ihrer IT-Systeme.

Die neue Richtlinie führt nun strengere Aufsichtsmaßnahmen und Durchsetzungsmöglichkeiten für die nationalen Behörden sowie einheitliche Sanktionen ein. Gleichzeitig fallen unter die neuen Regelungen zur Cyberresilienz deutlich mehr Unternehmen und Institutionen als bislang. Nach Schätzungen des TÜV Nord betrifft dies etwa 30.000 Firmen in Deutschland und 400.000 in Europa.

Dabei unterscheidet NIS-2 nicht mehr nach Mindestschwellenwerten bei der Unternehmensgröße, sondern nach sogenannten uniformen Kriterien, die zwischen mittleren und großen Firmen differenzieren:

Mittel: 50-249 Beschäftigte oder 10-50 Millionen Euro Umsatz pro Jahr
Groß: ab 250 Beschäftigen oder 50 Millionen Euro Umsatz pro Jahr

Arbeiter mit Helm schaut auf sein Smartphone

Mobiler Virenschutz für Mitarbeiter:innen

Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

Ohne Installation, direkt im Netz
Schützt von Viren und Pishing
Automatisch auf dem neusten Stand

Jetzt informieren

Sanktionen bei Verstößen gegen die NIS-2-Richtlinie

Nicht nur der Anwendungsbereich von NIS-2 geht über die bisher definierten kritischen Infrastrukturen hinaus. Im gleichen Zuge steigen die Anforderungen an die Umsetzung sowie das Haftungsrisiko für Unternehmen und geschäftsführende Personen.

Bußgelder für Unternehmen

Unternehmen unterliegen einem Stufenkonzept für Bußgelder. Generell fällt unter den Bußgeldtatbestand ein „vorsätzliches oder fahrlässiges Verschulden“ hinsichtlich der NIS-2-Bestimmungen.

Die Bußgelder betragen für „besonders wichtige“ Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes. Bei „wichtigen“ Einrichtungen kann es Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes geben – in beiden Fällen ist der höhere Betrag maßgeblich.

Haftungsrisiko für die Geschäftsleitung

Das Haftungsrisiko umfasst nach dem Entwurf des Bundesinnenministeriums auch die Geschäftsleitung. Bei einem Schaden durch unzureichendes Risikomanagement haften Mitglieder mit ihrem Privatvermögen – bis zu 2 Prozent des Jahresumsatzes des Unternehmens gelten dafür als Obergrenze.

Ein Beispiel dafür wäre ein erfolgreicher Cyberangriff mit Auswirkungen auf den Geschäftsprozess. Grund kann zum Beispiel ein mangelhaftes Security-Konzept oder ein unzureichend überwachter Risikomanagementprozess sein. Kommt es aufgrund dessen etwa zu finanziellen Auswirkungen durch Erpressungen, Kosten für externe Dienstleistungen und Bußgelder, haften Geschäftsführer:innen persönlich.

Checkliste: Was tun, wenn Ihr Unternehmen betroffen ist?

Unterliegt Ihr Unternehmen den erweiterten Anwendungsbereichen der NIS-2-Richtlinie, sollten Sie zeitnah die folgenden Maßnahmen ergreifen. Sind Sie sich unsicher oder verfügen nicht über eine entsprechende IT-Sicherheitsexpertise in Ihrem Unternehmen, sollten Sie einen externen Dienstleister hinzuziehen.

Betroffenheitsanalyse vornehmen: Ermitteln Sie zunächst, ob Ihr Unternehmen betroffen ist. Gehören Sie zu den „besonders wichtigen“ Einrichtungen im Sinne der KRITIS, wendet sich die Behörde an Sie. Zählt Ihr Unternehmen zu den „wichtigen“ Einrichtungen, sind Sie verpflichtet, sich Ihrerseits bei den Behörden zu registrieren.
Verantwortlichkeiten klären: Bestimmen Sie innerhalb Ihres Unternehmens, wer für welche Teilbereiche verantwortlich ist, um die Kriterien von NIS-2 einzuhalten.
Zuständigkeitsbereiche definieren: Definieren Sie die Zuständigkeiten für die konkreten Maßnahmen der Cybersecurity, für das Reporting gegenüber der Geschäftsführung, hinsichtlich des Risikomanagements sowie gegenüber den Behörden.
Überwachung etablieren: Implementieren Sie Überwachungsmechanismen innerhalb der Firma, um die Einhaltung der NIS-2-Richtlinie zu gewährleisten.
Geschäftskontinuität sichern: Sorgen Sie dafür, dass Ihre Geschäftsprozesse auch im Falle eines Cyberangriffs weiterlaufen können. Unterbrechungen oder komplette Ausfälle können schwere Sanktionen der Behörden nach sich ziehen.
Meldeverfahren einrichten: Entwickeln Sie ein standardisiertes Meldeverfahren bei Vorfällen, die unter die NIS-2-Bestimmungen fallen. Unterschiedliche Personen in Ihrem Betrieb müssen das Meldeverfahren durchführen können.

Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Jetzt kostenlos downloaden

Das Wichtigste zu NIS-2 in Kürze

Die NIS-2-Richtlinie der EU soll dafür sorgen, dass Geschäftsprozesse und die dazu notwendigen IT-Systeme von Einrichtungen der sogenannten kritischen Infrastruktur (KRITIS) und damit zusammenhängenden Institutionen unterbrechungsfrei und sicher laufen.
Mit den verschärften Schutzmaßnahmen reagiert die EU auf die enorm gestiegene Zahl von Cyberangriffen in den vergangenen Jahren.
Verglichen mit der aktuellen Gesetzgebung erhöht sich die Zahl der Unternehmen und Organisationen in Deutschland, die unter die NIS-2-Richtlinie fallen – und zwar massiv.
Man unterscheidet künftig zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Mit ersteren treten die Behörden direkt in Kontakt, zweitere müssen sich aus eigener Initiative bei den Behörden registrieren.
Es gibt strenge Sanktionen bei Verstößen gegen die NIS-2-Richtlinie, zum Beispiel in Form von hohen Bußgeldern für Unternehmen und einem persönlichen Haftungsrisiko der Geschäftsführung.
Ist Ihr Unternehmen von den erweiterten Bestimmungen von NIS-2 betroffen, sollten Sie zeitnah Maßnahmen einleiten. Dazu gehört es, Verantwortlichkeiten und Zuständigkeitsbereiche festzulegen, eine Überwachung der Maßnahmen zu etablieren und standardisierte Meldeverfahren bei Vorfällen einzurichten.

Clemens Förster

16.08.2024

# Tags:Sicherheit Business Basics Service

Trojaner entfernen: Effektive Strategien zur Beseitigung von Schadsoftware

Lernen Sie hier effektive Strategien zum Entfernen von Trojanern von den Computern Ihres Unternehmens kennen – mit bewährten Methoden und Schritt-für-Schritt-Anleitungen für Windows 10 und 11. Trojaner stellen für Unternehmen eine Gefahr dar, da sie vertrauliche Daten stehlen, die Systemintegrität beeinträchtigen und finanzielle Schäden verursachen können. Hier finden Sie praxisnahe Lösungen, um Trojaner zu entfernen und so die Sicherheit Ihrer Systeme wiederherzustellen.

Security

Digitale Ziffernfolgen eines Binärcodes, in dem die Bezeichnung „DDoS“ in roten Buchstaben eingebettet ist.

DDoS-Angriffe: Was dahinter steckt und wie Sie sich wirksam vor Attacken schützen

Unternehmen werden immer öfter zum Ziel von sogenannten Distributed-Denial-of-Service-Angriffen (DDoS). Für 2023 vermeldet der Dienstleister StormWall in seinem jährlichen Bericht einen weltweiten Anstieg der DDoS-Attacken um 63 Prozent. Die veränderte weltpolitische Lage, aber auch neue Technologien wie künstliche Intelligenz (KI), die mittlerweile in Rekordzeit effiziente Hackingsoftware entwickeln kann, tragen zur Verschärfung bei. Bestimmte Branchen sind ganz besonders betroffen. Ziel von DDoS-Attacken ist es, Server oder Webdienste von Unternehmen durch eine technische Überlastung zum Ausfall zu bringen. Gelingt den Angreifer:innen die Blockade von Servern, Diensten oder Schnittstellen, fordern sie in der Regel Lösegeldzahlungen (häufig in Kryptowährung) von den betroffenen Firmen, um die Blockade wieder zu beenden. In einigen Fällen stellen sie auch politische Forderungen oder wollen einfach nur maximalen Schaden anrichten. Dabei stehen nicht nur populäre Dienstleister wie Amazon, Yahoo und eBay im Fokus der Angreifer. Häufig sind es auch kleinere Unternehmen und Behörden, deren Server und Dienstleistungen sie außer Gefecht setzen. Gerade solche IT-Infrastrukturen sind nicht immer optimal geschützt und stellen dadurch ein leichtes Angriffsziel dar.

Unified Communication

Zwei Hände an einem Laptop, davor Symbole für Ordner und Dokumente.

LDAP einfach erklärt: Definition, Funktionsweise und Einsatzmöglichkeiten

Das „Lightweight Directory Access Protocol“, kurz LDAP, gehört zu den heimlichen Stars in der IT-Welt. In Millionen Netzwerken weltweit übernimmt es die Rechtevergabe und Authentifizierung und durchsucht dabei mühelos riesige Benutzerdatenbanken. Trotzdem ist es weithin unbekannt, weil es unsichtbar im Hintergrund arbeitet. Erfahren Sie hier, was LDAP alles kann und wofür Sie es in Ihrem Business nutzen können. LDAP ist die universelle Protokollsprache, wenn es um Benutzerverzeichnisse geht und ganz allgemein um das „Identity and Access Management“ (IAM), also die Verwaltung von Identitäten und Zugriffsrechten in Netzwerken. Hierfür wird LDAP oft auch als Quasi-Industriestandard bezeichnet. Über Betriebssystemgrenzen hinweg verwaltet es Freigaben für Anwender:innen, selbst in großen Strukturen mit vielen Betriebssystemen, wo Windows, MacOS, Unix, Linux, Android und iOS parallel zum Einsatz kommen. Doch LDAP kann noch viel mehr.

Security

Nahaufnahme von Händen, die auf einem Laptop tippen. Symbole für Cybersicherheit sind darüber eingeblendet.

Gefahrenquelle Cyberattacken: So schützen Sie sich und bleiben produktiv

206 Milliarden Euro kosteten Cyberattacken die deutsche Wirtschaft allein im Jahr 2023. Das ergab eine Studie des Branchenverbandes Bitkom. Dabei handelt es sich längt nicht mehr um spektakuläre Einzelfälle in wenigen Großunternehmen: 7 von 10 Internetnutzern waren bundesweit von Cyberkriminalität betroffen. Auch für kleine und mittlere Unternehmen entstehen dadurch hohe Kosten. Zu den größten Kostentreibern gehören Ausfallzeiten und der damit verbundene Produktivitätseinbruch. Was also tun? Mehr dazu hier. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erkennt eine Verlagerung von Ransomware-Angriffen von großen Firmen hin zu kleinen und mittleren Unternehmen (KMU). Das BSI bezeichnet die Lage im Cyberraum deshalb als „angespannt bis kritisch“ und stellt fest, dass die Bedrohungslage nie ernster war. Doch wie sollten Unternehmen vorgehen, um optimale Sicherheit zu gewährleisten und gleichzeitig produktiv zu bleiben? Welche Lösungen es in diesem Umfeld gibt, welche Unterstützung sinnvoll ist und welche Rolle künstliche Intelligenz (KI) dabei spielt, erfahren Sie hier.

Security

Nahaufnahme eines Smartphones in der Hand. Eine Wolke schwebt über dem Gerät, um das Cloud-Back-up zu symbolisieren.

Datensicherung für Smartphones: So erstellen Sie ein Back-up

Auf Firmenhandys befinden sich in der Regel zahlreiche wichtige und sensible Daten, die auf keinen Fall verloren gehen sollten. Angenommen, Ihr geschäftliches Smartphone wird auf einer Geschäftsreise gestohlen oder es fällt herunter und ist kaputt. In solchen Fällen garantiert eine regelmäßige Datensicherung der mobilen Geräte, dass die darauf gespeicherten Daten trotzdem erhalten bleiben. Auch der Datenschutz spielt eine entscheidende Rolle. Zu den Daten, die sich auf Firmenhandys finden, zählen geschäftliche Kontakte, interne E-Mails sowie SMS und sensible Passwörter. Mit einer guten Back-up-Strategie stellen Sie sicher, dass diese Daten unabhängig vom jeweiligen Gerät erhalten und abrufbar bleiben. Wie Sie vorgehen, um sichere Back-ups anzulegen, welche zusätzlichen Optionen es für Firmen gibt und was grundsätzlich zu beachten ist, erfahren Sie hier.

Vodafone Business

Zur Webseite

NIS-2: Das steckt dahinter und so handeln Sie konform

Inhaltsverzeichnis

Grundlagen von NIS-2: Das müssen Sie wissen

Lookout: Die Sicherheitslösung für mobile Endgeräte

Unterliegt Ihr Unternehmen den NIS-2-Vorschriften?

„Besonders wichtige“ Einrichtungen

„Wichtige“ Einrichtungen

NIS-1 vs. NIS-2

Mobiler Virenschutz für Mitarbeiter:innen

Sanktionen bei Verstößen gegen die NIS-2-Richtlinie

Bußgelder für Unternehmen

Haftungsrisiko für die Geschäftsleitung

Checkliste: Was tun, wenn Ihr Unternehmen betroffen ist?

Whitepaper: Cyber Security

Das Wichtigste zu NIS-2 in Kürze

Trojaner entfernen: Effektive Strategien zur Beseitigung von Schadsoftware

DDoS-Angriffe: Was dahinter steckt und wie Sie sich wirksam vor Attacken schützen

LDAP einfach erklärt: Definition, Funktionsweise und Einsatzmöglichkeiten

Gefahrenquelle Cyberattacken: So schützen Sie sich und bleiben produktiv

Datensicherung für Smartphones: So erstellen Sie ein Back-up

Vodafone Business

Newsletter für Business-Kund:innen

Enterprise Plenum