Zweifel und Klarstellungen bezüglich der Implementierung von NIS2 in unseren Unternehmen
Aktie
Wir haben kürzlich in einem anderen Flu-Project-Artikel über die NIS2-Richtlinie gesprochen, in diesem Fall einem anderen Thema mit einem sehr ähnlichen Aspekt gewidmet, der Einführung des 2. RTS-Pakets, das von der AES für die DORA-Konformität gestartet wurde. Im heutigen Beitrag möchten wir uns jedoch auf NIS2 und einige der verschiedenen Zweifel konzentrieren, die in den letzten Monaten aufgetaucht sind. Deshalb werde ich diesen Beitrag als FAQ behalten, der für Sie in Ihren jeweiligen Organisationen nützlich sein kann.
Zur Erinnerung: Wenn wir über NIS2 sprechen, beziehen wir uns auf die Richtlinie (EU) 2022/2555: NIS 2 (v2 der Netzwerk- und Informationssicherheit), die darauf abzielt, die Cybersicherheit in der EU zu erhöhen und dabei wesentliche Sektoren als Hebel zu nutzen. Es hat nichts mit dem (amerikanischen) NIST zu tun, dessen Ähnlichkeit in drei von vier Buchstaben reiner Zufall ist ;). Diese neue Verordnung wurde geschaffen, um die Richtlinie (EU) 2016/1148 vom 6. Juli 2016 (ehemalige NIS1-Richtlinie) zu aktualisieren und aufzuheben.
NIS2 unterscheidet zwei große Gruppen, für die je nach Kritikalität bestimmte Anforderungen gelten. Diese Anforderungen gelten für Unternehmen dieser Branchen, sofern sie mehr als 50 Arbeitnehmer beschäftigen (also mindestens ein mittelständisches Unternehmen sind):
- Sektoren mit hoher Kritikalität:
- Energie
- Transport
- Bank
- Infrastrukturen Finanzmärkte
- Gesundheitssektor
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- IKT-Dienstleistungen (B2B)
- Öffentliche Verwaltung
- Raum
- Andere kritische Sektoren:
- Post- und Kurierdienste
- Abfallmanagement
- Herstellung, Produktion und Vertrieb chemischer Stoffe und Gemische
- Lebensmittelproduktion, -verarbeitung und -verteilung
- Herstellung: Unter anderem Gesundheitsprodukte.
- Digitale Dienstleister
- Untersuchung
Aufgrund des Wortlauts von Artikel 2 Nummer 1 der Richtlinie, der einige Kontroversen hervorgerufen hat, weil der Wortlaut Verwirrung stiftet, gelten diese Anforderungen jedoch nicht nur für diese 18 Sektoren in mittleren und großen Organisationen, sondern auch gelten für jede Organisation in diesen Sektoren, unabhängig von der Größe, unter Umständen.
Diese Hypothese wird nach der Veröffentlichung des National Cryptological Center bestätigt, das auf dieser Seite klarstellt , dass die Maßnahmen unabhängig von ihrer Größe für beide Gruppen (hohe Kritikalität und kritische Sektoren) in Fällen im Zusammenhang mit der nationalen Sicherheit und dem Betrieb kritischer Sektoren gelten Infrastrukturen, in Forschungszentren (z. B. Lehrzentren), in regionalen und lokalen Verwaltungen (z. B. Stadtverwaltungen), was andererseits selbstverständlich ist, da dies in vielen Fällen, beispielsweise in Städten und Kleinstädten, der Fall ist erreichen zwar nicht die 50-Personen-Grenze, sind aber für die Bürger, den Staat usw. von mehr als wesentlicher Bedeutung. Im folgenden Screenshot von der CCN-Website können Sie diese Details einsehen:
In derselben Veröffentlichung können Sie eine sehr interessante Infografik herunterladen , die das National Security Scheme (ENS) mit NIS2 verbindet und in der klargestellt wird, dass in den Augen der Verwaltung ein Unternehmen sein wird, das das ENS auf höchstem Niveau zertifiziert hat gelten als „konform“ mit der NIS2-Richtlinie. Wenn Sie also bereits über diese Zertifizierung verfügen, haben Sie Ihre Hausaufgaben bereits erledigt:
Ebenso wird klargestellt, dass Unternehmen mit ENS-Medium- und Basic-Zertifizierungen den Schwerpunkt auf die Themen Kontinuität und Lieferantenmanagement legen müssen, wie sie in der Richtlinie selbst definiert sind.
Um zu verstehen, worum es bei NIS2 geht, empfehle ich zwei der offiziellen Veröffentlichungen, die wir auf Spanisch haben, die offizielle Übersetzung der Richtlinie selbst :
Und der CCN-STIC 892 Guide , der erst vor wenigen Tagen veröffentlicht wurde:
Ein weiteres wichtiges Datum, das uns vorliegt, ist der 17. April 2025, der Tag, an dem die verschiedenen EU-Länder ihre Listen der von der Anwendung der Verordnung betroffenen Unternehmen und Verwaltungen veröffentlicht haben müssen. Diese Listen der wesentlichen und wichtigen Einheiten müssen höchstens alle zwei Jahre aktualisiert werden.
Abschließend und zu einer weiteren Frage, die uns oft gestellt wird: Ist NIS2 zertifizierbar? Technisch gesehen NEIN. Es ist einfach ein Gesetz, das wir einhalten müssen, wie es bei vielen anderen der Fall ist, beispielsweise dem Organic Law on Data Protection (LOPD). Wie CCN-CERT jedoch klarstellt, ist der Besitz einer ENS-Zertifizierung aufgrund ihrer Ähnlichkeiten ein anerkannter Weg zur Einhaltung von NIS2, sodass Unternehmen dies in ihren Governance- und Sicherheitsstrategien berücksichtigen können.
Bald werden wir diese Artikelkette weiter ausbauen, sobald neue Daten zu dieser lang erwarteten Verordnung veröffentlicht werden.
Grüße!