Die NIS-2-Richtlinie (NIS steht für Network and Information Security) ist aktuell in Deutschland zwar noch nicht per Gesetz in geltendes Recht umgesetzt. Aber für ca. 29.000 nach dem Gesetz "besonders wichtige" und "wichtige" Einrichtungen ergeben sich erstmals Registrierungs-, Nachweis- und Meldepflichten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) möchte aber Unternehmen und Organisationen aber schon während des laufenden Gesetzgebungsverfahrens bestmöglich unterstützen und die Umsetzung der NIS-2-Richtlinie in Deutschland so reibungslos wie möglich gestalten.
Anzeige
Die NIS-2-Richtlinie der EU
Die NIS-2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die bereits 2022 beschlossen, und im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht wurde. NIS-2 ist am 16. Januar 2023 offiziell EU-weit in Kraft getreten. Die Mitgliedstaaten haben nun bis Oktober 2024 Zeit, NIS-2 in nationales Recht umzusetzen. In Deutschland erfolgt die Umsetzung durch das NIS-2UmsuCG, welches seit dem 24. Juli 2024 als Kabinettsbeschluss vorliegt.
Ziel der Richtlinie ist die Stärkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit. NIS-2 bildet die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu gehören etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur.
Mit der überarbeiteten Richtlinie sollen die Anforderungen an die Cybersicherheit und die Umsetzung von Cybersicherheitsmaßnahmen zwischen verschiedenen Mitgliedstaaten harmonisiert werden. Dazu werden Mindestvorschriften für einen Rechtsrahmen und Mechanismen für eine wirksame Zusammenarbeit zwischen den zuständigen Behörden der einzelnen Mitgliedstaaten festgelegt. Die Liste der Sektoren und Tätigkeiten, für die Verpflichtungen im Hinblick auf die Cybersicherheit gelten, werden aktualisiert und es werden Abhilfemaßnahmen und Sanktionen festgelegt, um die Durchsetzung zu gewährleisten. Eine Übersicht, warum NIS-2 notwendig wurde, findet sich beispielsweise auf dieser Webseite.
Das BSI plant eine Unterstützung
Mit der Umsetzung der NIS-2-Richtlinie (NIS-2-RL) in nationales Recht wird das BSI durch eine Änderung des BSI-Gesetzes für deutlich mehr Unternehmen als zuvor Aufsichtsbehörde. Für die bestehenden Kritischen Infrastrukturen (KRITIS) ändert sich hierdurch voraussichtlich wenig, aber für ca. 29.000 nach dem Gesetz "besonders wichtige" und "wichtige" Einrichtungen ergeben sich erstmals Registrierungs-, Nachweis- und Meldepflichten, schreibt das BSI.
Anzeige
Da das Gesetz noch nicht verabschiedet ist, kann sich das BSI noch nicht genauer zu daraus möglicherweise entstehenden Pflichten äußern. Die Behörde möchte Unternehmen und Organisationen aber schon während des laufenden Gesetzgebungsverfahrens bestmöglich unterstützen und die Umsetzung der NIS-2-Richtlinie in Deutschland so reibungslos wie möglich gestalten. Daher gibt es bereits erste Unterstützungsangebote für die Wirtschaft:
- Die NIS-2-Betroffenheitsprüfung ist das zentrale Werkzeug zur Prüfung, ob ein Unternehmen voraussichtlich von der nationalen Umsetzung der NIS-2-RL in Deutschland erfasst sein wird.
- Die NIS-2-FAQ bieten eine Sammlung von Antworten auf die am häufigsten gestellten Fragen zur NIS-2-RL.
- Die Seite NIS-2 – Was tun? enthält Hinweise, was wichtige und besonders wichtige Einrichtungen jetzt schon tun können.
Weitere Hinweise finden sich auf der BSI-Seite.
ECO befürchtet Probleme
Der eco-Verband der Internetwirtschaft e.V. warnt, dass viele Unternehmen bislang nicht ausreichend aus NIS-2 vorbereitet sind und fordert eine Verlängerung der Umsetzungsfristen. Denn die europäische NIS2 Richtlinie soll ab Herbst 2024 in allen EU-Mitgliedsstaaten umgesetzt sein. Sie betrifft etwa 30.000 deutsche Unternehmen. Die Bundesregierung hat erst zum 24. Juli 2024 vor dem nahenden Ende der Umsetzungsfrist nach mehreren Anläufen einen Gesetzentwurf im Kabinett verabschiedet.
Dazu sagt eco-Vorstand Klaus Landefeld: §Die Bundesregierung wäre gut beraten, sich bei der nationalen Umsetzung der NIS2-Richtlinie stärker an die europäischen Vorgaben zu halten. Das Risiko, dass der Regulierungsrahmen auseinanderfällt und für Deutschland andere Regeln gelten als für Europa, ist groß. Insbesondere die Einstufung als 'Betreiber kritischer Anlagen' schafft Unsicherheit für international tätige Unternehmen, die in den einzelnen EU-Mitgliedstaaten unterschiedliche Regeln befolgen müssten."
Die kurze Umsetzungsfrist bereitet dem Verband ebenfalls Sorgen. "Viele Unternehmen wissen noch nicht, dass sie im Anwendungsbereich der Richtlinie und der daraus folgenden Gesetzgebung in Deutschland liegen. Sie haben sich noch nicht auf die künftigen Anforderungen der NIS2-Richtlinie vorbereitet und scheitern teilweise schon daran ihre eigene Betroffenheit zu ermitteln. Dass die EU-Kommission kurzfristig nun noch Durchführungsrechtsakte speziell für die Anbieter digitaler Dienste veröffentlicht, die ebenfalls zu beachten sind, erzeugt zusätzlich Unsicherheit.", so Landefeld.
Der Zeitplan, den Gesetzentwurf fristgerecht durchs Kabinett und das anschließende parlamentarische Verfahren zu bringen, ist mittlerweile äußerst eng – und eine Fristüberschreitung des Startdatums 18. Oktober 2024 wahrscheinlich.
Ähnliche Artikel:
NIS-2-Richtlinie zu Cybersicherheit und Resilienz im Amtsblatt der EU veröffentlicht
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
Praxisleitfaden zur NIS-2-Umsetzung
Anzeige
Sollte das BSI nicht lieber die Verwaltung und Behörden unterstützen, die aus Gründen derzeit von NIS2 ausgenommen sind? Oder sind diese Stellen nicht so wichtig?
Bei Ämtern und Behörden wird doch noch gefaxt was soll da schon passieren.
Tja was bin ich froh das ich da mit meiner Firma nicht drunter falle! Umsetzen werde ich da trotzdem einiges von, schon aus Eigenschutzinteresse (bzw. muss gar nicht erst extra umgesetzt werden). Wenn dir das BSI dabei unter die Arme greift kann es ja nur besser werden… Not! Deutschland wird das schon vermasseln ;-P wie alles was mit Digitalisierung zu tun hat. Die könnens einfach nicht.
Kurze Umsetzungsfrist… LOL das wurde 2022 in der EU beschlossen… wer da bisher nicht seinen Arsch hochgekriegt hat hat es nicht anders verdient.
2022? Das ja noch jung :D DSGVO ist älter und auch nicht 100% Prozent vollzogen :D Also ruhig Blut, es geht immer schlimmer ;-)
Sorry aber ich verstehe nicht, warum man hier die Unternehmen den schwarzen Peter zuschieben sollte.
Die Regierung hat es zwei Jahre lang nicht geschafft den Arsch hochzukriegen und die Direktive im lokalen Recht umzusetzen. Jetzt sollen die privaten Unternehmen das aber binnen weniger Wochen umsetzen?!
Wenn ich das richtig verstehe ist ja bis heute noch nicht klar:
– Wer ist nun konkret davon betroffen.
– Was muss konkret alles umgesetzt werden.
Die EU-Richtlinie ist zwar seit 2022 beschlossen, aber bis heute ist nicht endgültig klar, was in der nationalen (deutschen) Umsetzung steht. Die weicht m. W. teilweise durchaus ein ganzes Stück von der EU-Richtlinie ab.
Ich kann es mir schon vorstellen wie das BSI da unterstützt. Da werden neue Compliance-Checklisten erstellt dass man die IT "auf den Stand der Technik" bringen soll ,also noch ein Virenscanner und dazu CrowdStrike.
Das war auch mein erster Gedanke. >:)
Die "Complience Checklisten" haben bereits so manchem KRITIS-Betreiber den Arsch gerettet, glaube mir. Die verpflichtenden Audits haben in einem mir bekannten Fall einen bereits im Netzwerk befindlichen Angreifer detektiert.
So sieht es aus – ROFL. BSI_checklist.xslx vs realword-Security. Naja zu sicher sollen wir auch nicht werden, am Ende kommen unsere Freunde da gar nicht mehr rein. Hoffentlich gibt es bei den Sitzungen zumindest dann kostenlosen Kaffee und Kekse.
Kleiner Hinweis: NIS2 ist keine EU-Richtlinie sondern eine EU-Direktive. Bei Richtlinien ist gar keine nationale Gesetzgebung erforderlich.
Falsch, bitte nachlesen:
https://de.wikipedia.org/wiki/Richtlinie_(EU)
https://de.wikipedia.org/wiki/Verordnung_(EU)
Bei NIS2 handelt es sich um eine Richtlinie:
https://de.wikipedia.org/wiki/NIS-2-Richtlinie
Im Endeffekt ist jedes Unternehmen selbst für die eigene IT Sicherheit verantwortlich und muss entsprechende Maßnahmen ergreifen. Wie so oft, ist alles was die Computerei betrifft, bei vielen nur ein unliebsamer Posten und wird entsprechend auch so bewertet.
Da kann man noch so viele Checklisten und Empfehlungen geben. Natürlich ist alles mit Aufwand und Geld verbunden, aber wenns dann knallt, geht die Rennerei los.
Was anderes ist es bei öffentlichen Verwaltungen. Weil da auch immer ein Datenaustausch mit anderen Behörden stattfindet, müssen die Schnittstellen besonders geschützt sein. Das dem auch nicht immer so ist, konnte man ja auch oft hier bei borncity nach lesen. Gerade hier sollte das BSI seine Prioritäten setzten.
Vor allem sollten Behörden aufhören unsichere Dateiformate wie docx durch die Gegend zu schicken. Aber wenn man halt Word und Outlook nutzt ist das am bequemsten.
Was an docx ist unsicher?
>>> Was an docx ist unsicher? <<<
Dass Microsoft (1) dem Format in Sachen Sicherheit selbst nicht traut: "Many types of files are designed to let automated actions run during ordinary use of the file. Obvious examples of this functionality include program files (*.exe), batch files (*.cmd and *.bat), and script files (*.vbs and *.js). These files are designed for the sole purpose of executing commands. Less obvious examples are file types that allow for embedded script operations, such as Microsoft Access files (*.mdb) or macros in Microsoft Word files (*.doc) or in Microsoft Excel files (*.xls). … these … technologies can be leveraged by a malicious attacker to damage a user's computer."
(1) An overview of unsafe file types in Microsoft products
support.microsoft.com/en-us/topic/an-overview-of-unsafe-file-types-in-microsoft-products-266a9bd3-50d7-d65a-8fe0-ec4e486c3a14
doc != docx
Die besagten Macros gibts auch in docx. Von daher bedarf es nur ein User und eine nicht restriktive GPO, dann ist die Kacke am Dampfen
Die Office-Dateiformate mit dem X (*.DOCX) am Ende erlauben keine Macros. Dafür gibt es seit fast 20 Jahren die Endung mit dem M (*.DOCM). Nur bei den alten Formaten können sich ungesehen Macros einschleichen.
Bitte auf dem Stand der Technik bleiben.
>>> Bitte auf dem Stand der Technik bleiben. <<<
Das beherzigen Sie mal lieber selber. Beim Öffnen von .docx-Dateien kann definitiv Schadcode ausgeführt werden! Dass das .docx selbst keine Excel 4.0- bzw. VBA-Macros enthält, ist unerheblich. Bitte (1), (2) lesen!
(1) https://attack.mitre.org/techniques/T1559/002/
(2) https://attack.mitre.org/techniques/T1221/
Was für ein Unfug.
@Anonymous
Aktive Elemente bzw. JavaScript können in PDF-Dokumenten enthalten sein. Das macht Docx nicht unsicherer.
nein. dann heißen sie "m" anstelle von "x".
Manchmal bieten sie alles an, was es braucht, um sicherer zu sein, aber das Ökosystem ignoriert es.
Das Problem ist, die meisten erkennen noch gar nicht wie spitzfindig das Gesetz bzw. die aktuelle Vorgabe ist….. wenn ein Unternehem eine Solaranlage auf dem Dach hat, die "theoretisch" den Überschuss einspeisst fällt man bereits unter NIS2… auch wenn es nur 0,1kw am Tag sind…. man ist defakto ein "Energieversorger" im erweiterten Sinne….
Wenn man den Klotz genauer beleuchtet, gibt es da noch mehr so "Nebensächlichkeiten"… due stellt deinem Kunden der selbst NIS2 ist, e-mail Hosting oder ERP-Hosting im eigenen "kleinen" RZ zur verfügung? Du fällst automatisch auch unter NIS2….
Das mit den ca. 30 Tausend deutschen unternehmen ist entsprechend ein viel zu niedrig angesetzte Zahl und wird noch einige "erschrecken"….
Es wird doch immer nach mehr IT-Sicherheit gefragt, jetzt gibt es eine neue Richtlinie die harte Anforderungen stellt und das ist am Ende auch wieder nicht richtig?
Das sagte ich nicht…. nur das die Ziffer der betroffenen noch ganz andere Dimensionen haben wird….
Quatsch, da Kleinbetreiber die Kennzahlen gar nicht erfüllen und somit nicht unter die Norm fallen.
Sorry…. das siehst du einfach falsch… es geht nicht um Umsatz/Kennzahlen "UND" eine der anderen Vorgaben… es ist ein und/oder…. Umsatz >x und/oder Versorger, Medizin etc…. Einfach mal richtig lesen!
Hi John Doe,
zu Beginn war ich ebenfalls deiner Meinung, dass man als Energieversorger mit einer kleinen PV-Anlage auf dem Dach unter NIS2 fällt. Aber bei der Betroffenheitsprüfung des BSI heißt es auch:
„… weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden."
Die NIS 2-Richtlinie betrifft somit vor allem Unternehmen, deren Ausfall erhebliche Auswirkungen haben könnte. Kleine PV-Anlagen, bzw. kleine Einspeisungen von Strom fallen normalerweise nicht darunter, es sei denn, der Ausfall hätte tatsächlich relevante Folgen. Allerdings bleibt die Definition, wann genau dieser Schwellenwert erreicht ist, sehr schwammig. ^^
Japp, so schwammig das du dank "voller" Durchgriffshaftung auf das Privatvermögen des jeweiligen Geschäftsführers gar keine andere Wahl hast, als dich NIS2 zu unterwerfen. Denn wer will das schon mit den Gerichten diskutieren? Der GF will sicher nicht mit seinem privatem Vermögen haften, nach NIS2 tut er das aber. Also setzt man die im Zweifel besser um und meldet. Ansonsten wäre ein nicht einhalten ein Verstoss und es greift auch wieder die Haftung durch bis zum GF plus dann noch ggf. Fahrlässigkeit….
Wieso sollte man jetzt wegen der Solaranlage unter NIS2 fallen, weil da "Energieversorger" erwähnt sind? Das kommt mir schon etwas sehr weit hergeholt vor, weil an diversen anderen Stelle "Energieversorger" in der Regel komplett anders definiert sind. Auf welchen konkreten Wortlaut beziehst du dich?
Wenn ich mich nicht täusche, dann gibt es in der Richtlinie eine Auflistung was Bereiche mit besonderer Gefährdungslage sind. Da sind auch als erstes Elektrizitätsunternehmen aufgeführt, aber da wird wieder Bezug auf eine andere Richtlinie, die irgendwas mit Versorgung zu tun hat, genommen. Ich gehe mal stark davon aus, dass da eben mit "Elektrizitätsunternehmen" wirklich derartige Firmen gemeint sind. Alles andere würde auch irgendwie den ganzen Inhalt der Richtlinie widersprechen.
Je mehr private Solaranlagen, desto kritischer bei zentral gesteuertem Ausfall der dort genutzen Solaranlagen Controller, da die Haushalte dann alle gleichzeitig anfangen, Strom aus dem Netz zu ziehen?
Das ist natürlich grundsätzlich korrekt, es geht hier aber um eine Richtline.
Ich sehe da theoretisch auch ein Problem, wenn Jemand von Außerhalb plötzlich mal alle Wechselrichter zu Zeitpunkt X An- oder Ausschalten kann. Gibt ja diverse Modelle, welche die Funktion, auch einfach zugänglich haben. Inwieweit das ein Problem in der Praxis ist, aber je mehr Anlagen es gibtz…