ISGroup Cybersicherheitsberatung

Was sind die Hauptunterschiede zwischen den NIS1- und NIS2-Richtlinien?

Die NIS2-Richtlinie stellt eine bedeutende Weiterentwicklung gegenüber der NIS1-Richtlinie dar und zielt darauf ab, deren Einschränkungen zu überwinden und sich an die sich ständig verändernde Landschaft der Cybersicherheit anzupassen. Wenn Sie wissen möchten, ob Ihre Organisation in den Anwendungsbereich fällt und was konkret zu tun ist, ist der erste Schritt die Überprüfung der Verpflichtungen gemäß dem Konformitätspfad zur NIS2-Richtlinie.

[Callforaction-NIS2]

Hier ist eine detaillierte Analyse der wichtigsten Unterschiede:

Erweiterter Anwendungsbereich und größenbasierte Schwellenwerte

  • NIS1: Konzentrierte sich auf sieben kritische Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Trinkwasser, Gesundheitswesen und digitale Infrastrukturen. Nur Unternehmen, die innerhalb dieser Sektoren als „Betreiber wesentlicher Dienste“ (OES) eingestuft wurden, fielen unter die Richtlinie.
  • NIS2: Erweitert den Anwendungsbereich erheblich durch die Einbeziehung zusätzlicher Sektoren, die für Wirtschaft und Gesellschaft entscheidend sind, basierend auf ihrem Grad der Digitalisierung und Vernetzung. Dazu gehören:
  • Sektoren mit hoher Kritikalität: Energie (erweitert um Fernwärme und -kälte, Erdöl, Gas und Wasserstoff), Verkehr (Luft-, Schienen-, Wasser- und Straßenverkehr), Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen (einschließlich pharmazeutischer Produktion, inklusive Impfstoffe), Trinkwasser, Abwasser, digitale Infrastrukturen (erweitert um Internetknotenpunkte, DNS-Dienstanbieter, TLD-Namensregister, Cloud-Computing-Dienste, Rechenzentren, Content-Delivery-Netzwerke, Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze und öffentlich zugängliche elektronische Kommunikationsdienste), Verwaltung von IKT-Diensten (einschließlich Managed Service Provider und Managed Security Service Provider), öffentliche Verwaltung und Raumfahrt.
  • Sonstige kritische Sektoren: Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, Herstellung von Medizinprodukten, Computern, Elektronik, Maschinen, Kraftfahrzeugen, Anhängern und sonstigen Transportmitteln, digitale Anbieter (einschließlich Online-Marktplätze, Online-Suchmaschinen und soziale Netzwerkplattformen) sowie Forschungseinrichtungen.
  • Größenbasierte Schwellenwerte: NIS2 führt eine größenbasierte Regel ein, die automatisch alle mittleren und großen Unternehmen in den ausgewählten Sektoren einbezieht. Sie gibt den Mitgliedstaaten zudem die Flexibilität, kleinere Unternehmen mit hohem Risikoprofil zu benennen, die ebenfalls unter die Verpflichtungen der Richtlinie fallen sollten. Dies stellt eine Abkehr vom zielgerichteteren Ansatz der NIS1 dar, der darauf basierte, dass die Mitgliedstaaten spezifische Einheiten identifizierten.

Klassifizierung der Einheiten: Von OES und DSP zu Wesentlich und Wichtig

  • NIS1: Unterschied zwischen „Betreibern wesentlicher Dienste“ (OES) und „Anbietern digitaler Dienste“ (DSP) und wandte für jede Kategorie unterschiedliche regulatorische Anforderungen an.
  • NIS2: Beseitigt diese Unterscheidung und klassifiziert Einheiten stattdessen basierend auf ihrer Bedeutung als „wesentlich“ oder „wichtig“. Diese vereinfachte Klassifizierung zielt darauf ab, mehr Klarheit und Kohärenz zwischen den Sektoren zu schaffen.

Verbesserte und gestraffte Sicherheitsanforderungen

  • NIS1: Verlangte von OES die Durchführung von Cybersicherheits-Risikobewertungen und die Implementierung angemessener Sicherheitsmaßnahmen, bot jedoch weniger spezifische Anleitungen zur Umsetzung.
  • NIS2: Stärkt und strafft die Sicherheitsanforderungen durch die Einführung eines expliziteren Ansatzes zum Risikomanagement. Sie führt eine Liste von zehn Schlüsselelementen der Sicherheit ein, die alle betroffenen Einheiten in ihren Cybersicherheits-Risikomanagement-Richtlinien berücksichtigen müssen. Dazu gehören Anforderungen an:
  • Risikoanalyse und Sicherheitsrichtlinien: Durchführung regelmäßiger Risikobewertungen, Entwicklung und Aktualisierung von Sicherheitsrichtlinien sowie deren Ausrichtung an anerkannten Standards und bewährten Verfahren.
  • Umgang mit Vorfällen: Etablierung klarer Verfahren für die Meldung, Kommunikation, Eskalation und Reaktion auf Vorfälle, um einen schnellen und koordinierten Ansatz zur Minimierung von Schäden und Ausfallzeiten zu gewährleisten.
  • Betriebskontinuität und Krisenmanagement: Implementierung von Maßnahmen zur Gewährleistung der betrieblichen Resilienz, wie Backup- und Notfallwiederherstellungsprozesse, sowie Entwicklung von Plänen für das Krisenmanagement, einschließlich Kommunikationsstrategien.
  • Sicherheit der Lieferkette: Bewertung und Minderung der Risiken im Zusammenhang mit Lieferanten und Dienstleistern unter Berücksichtigung deren Sicherheitspraktiken und allgemeinen Cybersicherheits-Postur.
  • Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen: Integration von Sicherheitsüberlegungen in den gesamten Lebenszyklus von IKT-Systemen, von der Beschaffung und Entwicklung bis hin zur Bereitstellung, Wartung und Außerbetriebnahme.
  • Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheits-Risikomanagementmaßnahmen: Etablierung von Mechanismen zur regelmäßigen Bewertung der Wirksamkeit implementierter Sicherheitskontrollen durch Audits, Penetrationstests und andere Formen der Sicherheitsbewertung.
  • Richtlinien zur Verwendung von Kryptografie und Verschlüsselung: Schutz sensibler Daten sowohl bei der Übertragung als auch im Ruhezustand durch Implementierung geeigneter kryptografischer Kontrollen, einschließlich Verschlüsselung, sicherer Kommunikationsprotokolle und digitaler Signaturen.
  • Personalsicherheit: Implementierung sicherheitsrelevanter Personalmaßnahmen, einschließlich Hintergrundüberprüfungen für Mitarbeiter in kritischen Rollen, Schulungen zum Sicherheitsbewusstsein und Maßnahmen zur Zugriffskontrolle.
  • Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung: Verbesserung der Zugriffssicherheit durch Implementierung robuster Authentifizierungsmechanismen, die über einfache Passwörter hinausgehen, wie z. B. Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierungsmethoden.
  • Richtlinien und Verfahren zur Gewährleistung der physischen Sicherheit von Netz- und Informationssystemen: Adressierung physischer Sicherheitsrisiken für kritische Infrastrukturen und Systeme, einschließlich Maßnahmen zur Kontrolle des Zugangs zu Serverräumen, Rechenzentren und anderen sensiblen Standorten.

Detailliertere Verfahren zur Meldung von Vorfällen

  • NIS1: Verlangte die Meldung „schwerwiegender Vorfälle“, jedoch mit weniger detaillierten Angaben zu Zeitrahmen und Inhalt der Meldung.
  • NIS2: Führt einen präziseren Prozess zur Meldung von Vorfällen mit klaren Zeitplänen und spezifischen Inhaltsanforderungen ein. Dies beinhaltet einen mehrstufigen Ansatz:
  • Frühwarnung: Innerhalb von 24 Stunden nach Kenntniserlangung eines erheblichen Vorfalls müssen die Einheiten eine Frühwarnung an ihren CSIRT oder die zuständige nationale Behörde senden, was ein frühzeitiges Eingreifen und eine potenzielle Schadensbegrenzung ermöglicht.
  • Vorfallmeldung: Auf diese erste Meldung muss innerhalb von 72 Stunden eine umfassendere Meldung folgen, die weitere Details zu den Auswirkungen des Vorfalls und den ergriffenen Reaktionsmaßnahmen enthält.
  • Abschlussbericht: Ein Abschlussbericht ist spätestens einen Monat nach der ersten Meldung erforderlich und bietet eine detaillierte Analyse des Vorfalls, seiner Grundursache und der gewonnenen Erkenntnisse, um ähnliche Vorfälle in Zukunft zu verhindern.

Stärkere harmonisierte Aufsicht, Durchsetzung und Sanktionen

  • NIS1: Verließ sich stark auf die Mitgliedstaaten bei der Aufsicht und Durchsetzung, was zu einer inkonsistenten Anwendung von Sanktionen in der gesamten EU führte.
  • NIS2: Stärkt die Aufsichtsmaßnahmen, erzwingt eine strengere Durchsetzung und versucht, die Sanktionsregime in allen Mitgliedstaaten zu harmonisieren.
  • Verbesserte Aufsichtsbefugnisse: Bietet den nationalen Behörden eine Mindestliste an Aufsichtsinstrumenten, einschließlich regelmäßiger und gezielter Audits, Vor-Ort-Inspektionen, Informationsanfragen und Zugang zu Dokumentationen.
  • Differenzierte Aufsichtsregime: Legt unterschiedliche Aufsichtsansätze für „wesentliche“ und „wichtige“ Einheiten fest und passt die Aufsicht an deren Risikoprofile und potenzielle Auswirkungen an.
  • Harmonisierter Sanktionsrahmen: Führt eine Mindestliste an Verwaltungssanktionen für Verstöße gegen die Anforderungen der Richtlinie ein, einschließlich verbindlicher Anweisungen, obligatorischer Sicherheitsaudits und Bußgelder.
  • Erhebliche Bußgelder: Für „wesentliche“ Einheiten sieht NIS2 Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Für „wichtige“ Einheiten beträgt das Maximum mindestens 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.
  • Verantwortung des Senior Managements: Führt Bestimmungen ein, um Personen in Führungspositionen für Verstöße gegen die Richtlinie zur Verantwortung zu ziehen, was eine Kultur der Verantwortlichkeit auf den höchsten Ebenen der Organisationen fördert.

Verbessertes Cyber-Krisenmanagement und EU-weite Zusammenarbeit

  • NIS1: Fehlten spezifische Bestimmungen für ein koordiniertes Cyber-Krisenmanagement auf EU-Ebene.
  • NIS2: Stärkt die Zusammenarbeit auf EU-Ebene und führt Mechanismen zur Verbesserung der Prävention, des Managements und der Reaktion auf Cyber-Krisen ein:
  • Nationale Behörden für Cyber-Krisenmanagement: Verpflichtet jeden Mitgliedstaat, eine nationale Behörde für das Cyber-Krisenmanagement zu benennen, was klare Verantwortungs- und Koordinierungslinien gewährleistet.
  • Nationale Pläne zur Reaktion auf Cyber-Krisen: Verlangt von den Mitgliedstaaten die Entwicklung umfassender nationaler Pläne zur Reaktion auf großflächige Cybersicherheitsvorfälle und -krisen, in denen Rollen, Verantwortlichkeiten, Kommunikationsprotokolle und Eskalationsverfahren festgelegt sind.
  • EU-CyCLONe: Etabliert das Europäische Netzwerk von Verbindungsorganisationen für Cyber-Krisen (EU-CyCLONe), um operative Unterstützung für das koordinierte Management großflächiger Cybersicherheitsvorfälle und -krisen zwischen den Mitgliedstaaten zu bieten.

Adressierung der Cybersicherheit in Lieferketten

  • NIS1: Adressierte Cybersicherheitsrisiken in Lieferketten nicht spezifisch.
  • NIS2: Enthält Anforderungen an die Einheiten, Cybersicherheitsrisiken innerhalb ihrer Lieferketten und Lieferantenbeziehungen zu adressieren. Dies umfasst die Durchführung von Risikobewertungen kritischer Lieferanten, die Implementierung von Sicherheitskontrollen in Beschaffungsprozessen und die Förderung des Informationsaustauschs und der Zusammenarbeit zu Cybersicherheitsfragen in der gesamten Lieferkette.

Gestärkte Rolle der Kooperationsgruppe und des Informationsaustauschs

  • NIS1: Etablierte die Kooperationsgruppe, um die strategische Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten zu erleichtern.
  • NIS2: Stärkt die Rolle der Kooperationsgruppe bei der Gestaltung strategischer Entscheidungen zur Cybersicherheitspolitik und fördert einen systematischeren Informationsaustausch und eine engere Zusammenarbeit zwischen den Behörden der Mitgliedstaaten. Dies beinhaltet den Austausch von Informationen über Bedrohungen, Schwachstellen, Vorfälle, bewährte Verfahren und regulatorische Ansätze.

Koordinierte Offenlegung von Schwachstellen und EU-Schwachstellendatenbank

  • NIS1: Enthielt keine Bestimmungen zur koordinierten Offenlegung von Schwachstellen.
  • NIS2: Etabliert einen Rahmen für die koordinierte Offenlegung von Schwachstellen, der Verfahren für die Meldung von Schwachstellen an Anbieter und die Koordinierung verantwortungsvoller Offenlegungspraktiken festlegt. Sie verpflichtet zudem zur Einrichtung einer EU-Schwachstellendatenbank, die von der ENISA gepflegt wird, um öffentlich bekannte Schwachstellen in IKT-Produkten und -Diensten zu verfolgen.

Zusammenfassend lässt sich sagen, dass die NIS2-Richtlinie auf dem Fundament der NIS1 aufbaut, ihren Anwendungsbereich erweitert, ihre Anforderungen stärkt und neue Mechanismen für Zusammenarbeit und Durchsetzung einführt, um den sich entwickelnden Cybersicherheitsherausforderungen der EU zu begegnen. Um den vollständigen regulatorischen Rahmen zu vertiefen, können Sie das offizielle Dokument der NIS2-Richtlinie konsultieren oder nachlesen, was das Hauptziel der NIS2-Richtlinie ist. Wenn Ihre Organisation bereits in der ACN-Liste eingetragen ist, finden Sie auch operative Hinweise dazu, was die NIS2-Konformität innerhalb der ACN-Fristen bedeutet.

Häufig gestellte Fragen zur NIS2-Richtlinie

  • Fällt mein Unternehmen unter den NIS2-Anwendungsbereich, auch wenn es nicht der NIS1 unterlag?
  • Das ist möglich. Die NIS2 erweitert den Anwendungsbereich im Vergleich zur NIS1 erheblich, indem sie neue Sektoren einbezieht und automatische Größenschwellenwerte anwendet: Alle mittleren und großen Unternehmen in den abgedeckten Sektoren unterliegen den Verpflichtungen, unabhängig von einer expliziten Benennung, wie dies bei der NIS1 der Fall war. Es ist daher notwendig, den Sektor und die Unternehmensgröße zu überprüfen.
  • Welche Sanktionen sind für die Nichteinhaltung der NIS2 vorgesehen?
  • Für Einheiten, die als „wesentlich“ eingestuft sind, können die Verwaltungssanktionen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen (der höhere Wert gilt). Für „wichtige“ Einheiten liegt das Maximum bei 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes. Die NIS2 führt zudem die persönliche Haftung des Senior Managements ein.
  • Bis wann müssen sich Organisationen in Italien an die NIS2 anpassen?
  • Die italienische Umsetzung der NIS2-Richtlinie erfolgte mit dem Gesetzesdekret 138/2024. Die operativen Fristen für die Registrierung und Anpassung werden von der ACN (Agenzia per la Cybersicurezza Nazionale) verwaltet, die die Zeitfenster für die Eintragung in die Liste der NIS-Subjekte und die nachfolgenden Konformitätsverpflichtungen festgelegt hat.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *