NIS2 (Network and Information Security Directive 2)

Was ist NIS2?

Die NIS2-Richtlinie (Network and Information Security Directive 2) zielt darauf ab, ein hohes Maß an Cybersicherheit in der Europäischen Union zu gewährleisten, indem sie bestimmte Verpflichtungen und Anforderungen an verschiedene Sektoren und Akteure stellt. Unter NIS2 fallen eine Vielzahl von Organisationen, die als wesentliche und wichtige Dienstanbieter betrachtet werden. 

Was kommt mit NIS2 auf Staat und Wirtschaft zu?

Um dem erhöhten Bedarf nach Cybersicherheit in einzelnen, von der KRITIS-Regulierung (Vorgaben für kritische Infrastrukturen) bislang nicht betroffenen Unternehmen gerecht werden zu können, wurde ein neuer Ansatz gewählt. Nicht mehr Schwellenwerte entscheiden darüber, ob ein Unternehmen oder eine Organisation in einem der regulierten Sektoren betroffen ist, sondern die Unternehmensgrösse oder der bilanzierte Umsatz beziehungsweise Ertrag. Die Mindestanforderungen und Standards der nationalen NIS2-Umsetzung gelten auch für Unternehmen aus bestimmte Lieferketten: Experten sprechen von einer indirekten Betroffenheit für Lieferanten und Dienstleister.

NIS2 gilt also nicht mehr ausschliesslich für klassische Betreiber kritischer Infrastrukturen, sondern wird zu einer allgemeinen Compliance-Anforderung für die europäische Wirtschaft in nunmehr 18 regulierten Sektoren. Die Richtlinie definiert elf Sektoren der Wirtschaft mit besonders hohem Gefährdungspotential («Wesentliche») und weitere sieben in den «Wichtige Dienstanbieter» (siehe Tabelle unten).
Unterschiede zwischen Essential und Important Entities ergeben sich im Bereich der staatlichen Aufsicht, der Sanktionen und der umzusetzenden technischen und organisatorischen Massnahmen. Welche Massnahmen konkret für die betroffenen Unternehmen umzusetzen sind, hängt wiederum von der Einordnung in die Gruppe der Essential oder der Important Entities und von der jeweiligen Unternehmensgrösse ab.

Ähnlich wie bei der Datenschutzgrundverordnung sehen auch die NIS2-Richtlinie und deren nationale Umsetzung einen konkreten Sanktionskatalog bei Nicht-Compliance für die betroffenen Unternehmen vor. Neben den für Unternehmen vorgesehenen Bestrafungen sieht die NIS2 auch Bussgelder und Sanktionen für die Leitungsorgane der Betreiber im Falle von Verstössen vor. Die Pflichten für die verantwortlichen Manager in den regulierten Unternehmen und Organisationen machen deutlich: «Security ist Chefsache!» und das mit allen Konsequenzen für Firmenlenker, die ihre Verantwortung bezogen auf die Umsetzung der NIS2-Anforderungen nicht ernst genug nehmen.

Einstufung von Branchen nach der NIS2-Richtlinie

Wesentliche Dienstanbieter               Wichtige Dienstanbieter
Energie                                                       Post- und Kurierdienste
Verkehr und Transport                            Abfallwirtschaft
Bankwesen                                                Produktion, Herstellung und Handel mit                                                                               chemischen Stoffen
Gesundheitswesen                                  Verarbeitendes Gewerbe/Herstellung von                                                                             Waren
Trinkwasser                                               Anbieter digitaler Dienste
Abwasser                                                   Forschungseinrichtungen
Digitale Infrastruktur    
ICT Service Management (MSP)    
Öffentliche Verwaltung    
Weltraum    

Stand der Technik spielt auch hier grosse Rolle

Wie entscheidend die Absicherung der IT-Infrastruktur und vertraulicher Informationen geworden ist, beweist der digitale Dauerbeschuss auf Organisationen beliebiger Grösse. Astronomisch gestiegene Sicherheitslecks und Datenpannen zwangen die EU schon beim Thema Datenschutzrecht zum Handeln: Die DSGVO sollte häufige «Fehler im System» wie mangelnde Sicherheitsvorkehrungen oder die Wahrnehmung von Datenschutz als lästiges Übel stärker eindämmen.
Hier spielte ein Begriff eine tragende Rolle, der sich auch in der NIS2-Richtlinie wiederfindet: Stand der Technik. Die NIS-2-Richtlinie regelt in Art. 21 ausdrücklich, dass die betroffenen Unternehmen und Organisationen unter Berücksichtigung des Stands der Technik geeignete und angemessene technische, organisatorische sowie operative Massnahmen vornehmen müssen, um Cybersicherheitsrisiken zu beherrschen und Folgen von Sicherheitsvorfällen zu verhindern. Konkret sieht NIS2 eine Vielzahl von Mindestvorkehrungen vor.

Hierzu zählen:

•  Policies/Richtlinienmanagement: Richtlinien für Risiken und             Informationssicherheit. Entwicklung und Durchführung von Richtlinien für   Risikomanagement und Informationssicherheit.
• Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
• Business Continuity: BCM mit Back¬up Management, DR, Krisen-Management. Notfallpläne und Backupmanagement, um     Geschäftskontinuität zu gewährleisten.
• Supply Chain/Liferkettenmanagement: Sicherheit in der Lieferkette – bis zur sicheren Entwicklung bei Zulieferern
• Beschaffung: Sicherheitsmasnahmen in der Beschaffung von IT- und Netzwerksystemen
• Effektivität: Vorgaben zur Messung von Cyber- und Risikomassnahmen. Überwachung und Bewertung der Wirksamkeit von     Cybersicherheits-massnahmen.
• Training/Schulung: Cybersecurity-Hygiene unter Mitarbeitern
• Kryptographie: Vorgaben/Richtlinien für den Einsatz von Verschlüsselungstechnologie
• Personalmanagement: HR-Security. HR-Richtlinien, die die Sicherheit betreffen.
• Zugangskontrolle: Überprüfung und Management des Zugangs zu sensiblen Systemen und Daten.
• Asset Management (ISMS): Implementierung eines Informations-sicherheitsmanagementsystems (ISMS).
• Authentifizierung: Einsatz von Multi Factor Authentisierung und Single SignOn (SSO) Lösungen.
• Kommunikation: Einsatz/Nutzung sicherer Kommunikationslösungen

Schweizer Unternehmen teils indirekt betroffen

Niederlassungen von Schweizer Unternehmen innerhalb der EU, die aufgrund ihrer Rechtsform eigene Unternehmen sind, könnten selbst unter die NIS-Regulierung fallen. Dies ist der Fall, wenn sie die entsprechenden Kriterien bezüglich der Sektorzugehörigkeit und der Schwellenwerte zur Unternehmensgrösse und zum Jahresumsatz erfüllen.

Die Anforderungen von NIS2 können durch die Implementierung eines ISO/IEC 27001-konformen ISMS abgedeckt werden, da viele der Anforderungen und Kontrollen in beiden Frameworks ähnlich sind.

Aus diesem Grund sind wir als ISO 27001 zertifiziertes Unternehmen mit der Umsetzung dieser Anfoderungen bestens Vertraut.

Sollten Sie Fragen dazu haben, dann kontaktieren Sie uns am besten noch heute. Wir stehen Ihnen sehr gern für weitere Informationen zur Verfügung. Unter 061 467 99 33 erreichen Sie uns auf direktem Weg. Selbstverständlich freuen wir uns auch über Ihre Anfrage per E-Mail an csf@csf.ch.

  Detaillierte Informationen zur Zertifizierung