NIS-2-Checkliste

Im Folgenden werden zentrale Anforderungen der NIS-2-Richtlinie für besonders wichtige und wichtige Einrichtungen sowie Betreiber kritischer Anlagen, die den besonders wichtigen Einrichtungen zuzurechnen sind, aufgeführt.

Registrierungspflicht

  • Betroffene Unternehmen und Organisationen sind verpflichtet, sich spätestens nach drei Monaten zu registrieren. Derzeit ist ein zweistufiger Registrierungsprozess vorgesehen: Im ersten Schritt muss eine Registrierung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen. Als zweiter Schritt hat die Registrierung bei einer gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichteten Registrierungsmöglichkeit zu erfolgen. Diese Plattform („BSI-Portal“) wird voraussichtlich ab Anfang Januar 2026 zur Verfügung stehen.

Pflichten der Geschäftsleitung

  • Die Geschäftsleitung ist verpflichtet, die erforderlichen Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen.
  • Die Geschäftsleitung muss regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen.

Risikomanagement

  • Betroffene Unternehmen und Organisationen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden. Die Auswirkungen von Sicherheitsvorfällen sollen möglichst gering gehalten werden.
  • Die Verhältnismäßigkeit der Maßnahmen muss durch jedes betroffene Unternehmen bzw. jede betroffene Organisation individuell unter Einhaltung des Stands der Technik bestimmt werden. Die Gesamtverantwortung dafür liegt bei der Geschäftsführung.
  • Es muss eine angemessene Dokumentation für den Nachweis der Umsetzung der Maßnahmen erstellt und verfügbar gehalten werden.

Mindestens sind folgende Punkte unter Berücksichtigung des aktuellen Stands der Technik umzusetzen:

  • Konzepte zur Risikoanalyse und zur Sicherheit der Informationstechnik
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs, Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen
  • angemessener Umgang mit Schwachstellen (unter anderem Patch-Management)
  • Systematische Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Informationssicherheit
  • zielgruppenspezifische Schulungen und Sensibilisierungsmaßnahmen zur Informationssicherheit, z.B. für Geschäftsführungen mit dem Schwerpunkt Risikomanagement, IT-Sicherheit für Systemadministratoren und allgemeine Schulungen zur Informationssicherheit für alle Mitarbeiter
  • systematischer Einsatz von kryptographischen Verfahren 
  • Konzepte für die Sicherheit des Personals
  • Konzepte für die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung
  • gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung. 
    Die EU hat sich vorbehalten, dedizierte Rechtsakte zu Umsetzungsvorgaben zu erlassen.

Hinweis

Die von NIS-2 geforderten Maßnahmen sind grundsätzlich nicht neu, sondern seit langem etablierte „Best Practices“ der Informationssicherheit. Software enthält Schwachstellen, die durch das Einspielen von Patches geschlossen werden. Diese Patches werden von Herstellern bereitgestellt. „Best Practice“ ist es, sich über vom Hersteller bereitgestellte Updates zu informieren und Patches zeitnah einzuspielen. Das von der Richtlinie geforderte Patch-Management sollte also bei den meisten Unternehmen schon aus eigenem Interesse etabliert sein, um keine gravierenden Schwachstellen zu haben.

Die Betreiber kritischer Anlagen sind nach BSIG zu weiterführenden konkreten Maßnahmen verpflichtet, wie z.B. Systeme zur Angriffserkennung einzusetzen. Darüber hinaus müssen im Bereich der kritischen Anlagen höhere Sicherheitsanforderungen umgesetzt werden.

Meldepflicht

Betroffene Unternehmen und Organisationen sind verpflichtet

  • Innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall eine Erstmeldung dazu abzugeben. Dabei gelten als Sicherheitsvorfälle auch solche Situationen, die zu einem erheblichen Schaden führen können, dieser jedoch nicht oder noch nicht eingetreten ist.
  • Nach 72 Stunden eine ausführliche Meldung mit allen benötigten Informationen abzugeben.
  • Nach einem Monat eine Abschlussmeldung einzureichen. Sollte der Vorfall noch andauern, ist eine Fortschrittsmeldung und eine Abschlussmeldung nach dem Vorfall abzugeben.

Die Meldungen haben an eine vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle zu erfolgen. Bis das Meldeportal verfügbar ist, sind die bisherigen Meldewege zu nutzen. Für Unternehmen und Organisationen, die derzeit noch nicht registriert sind, steht ein Online-Formular bereit.

Nachweispflicht

  • Betroffene Unternehmen und Organisationen sind verpflichtet, Nachweise zum Risikomanagement und die umgesetzten Maßnahmen zur Informationssicherheit vorzuhalten.
  • Betreiber kritischer Anlagen haben die Umsetzung der Maßnahmen 
  • zu einem festgelegten Zeitpunkt (frühestens drei Jahre nachdem sie erstmals oder spätestens drei Jahre nachdem sie erneut als ein Betreiber einer kritischen Anlage gelten, und anschließend alle drei Jahre) durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen.
  • Des Weiteren können auch wichtige und besonders wichtige Einrichtungen, ähnlich der Betreiber kritischer Anlagen, dazu verpflichtet werden, Sicherheitsaudits, Prüfungen oder Zertifizierung nachzuweisen.

Sanktionen

Haftung

Durch die Umsetzung der NIS-2-Richtlinie wird die Haftung von Geschäftsleitungen bei schuldhaftem Handeln erweitert.

Bußgelder

Abhängig von der Art und Ausprägung des Verstoßes und abhängig von der Kategorie können Bußgelder in unterschiedlicher Höhe anfallen:

  • Bei besonders wichtigen Einrichtungen einschließlich der Betreiber kritischer Anlagen bis zu
    • 10 Millionen € oder
    • 2 % des Jahresumsatzes für Unternehmen, die mehr als 500 Millionen € Jahresumsatz erzielen.
  • Bei wichtigen Einrichtungen bis zu
    • 7 Millionen € oder
    • 1,4 % des Jahresumsatzes, falls mehr als 500 Millionen € Jahresumsatz erzielt werden.

Weitere Empfehlungen und Hilfestellungen

Auch Unternehmen, die nicht von der NIS-2-Richtlinie betroffen sind, empfiehlt das LSI dringend, sich mit IT-Sicherheit auseinanderzusetzen. Einen guten Einstieg bietet hierbei die Handlungsempfehlung „Informationssicherheit für kleine und mittelständische Unternehmen“ des LSI. Das zugehörige Vorgehensmodell empfiehlt eine zeitliche Reihenfolge bei der Umsetzung der „Best Practices“ der Handlungsempfehlung. Für einige Branchen (Krankenhäuser, Trinkwasserversorgung, Abwasserentsorgung, Siedlungsabfallentsorgung) bietet das LSI branchenspezifische Beratungsdokumente an.

Ein nächster Schritt kann die Einführung eines Informationssicherheitsmanagementsystems (ISMS) auf der Basis einer etablierten Norm, wie zum Beispiel der ISO/IEC 27001, sein.

Dieses Dokument in seiner aktuellen Fassung und weitere Dokumente zur Hilfestellung finden Sie im Downloadbereich des Landesamts für Sicherheit in der Informationstechnik: https://www.lsi.bayern.de/aktuelles/downloads/ 

 

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung.