Die NIS-2 Direktive der EU wird allein in Deutschland rund 30000 Organisationen betreffen.
Es geht um einen verbesserten Umgang mit Cyber-Bedrohungen sowohl auf internationaler wie auch auf nationaler Ebene.
Die Direktive wurde nötig, weil die ursprüngliche NIS-Richtlinie, die dasselbe Ziel verfolgte, nicht die gewünschten Effekte zeitigte.
Die deutsche Umsetzung, das NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird im Oktober 2024 in Kraft treten. Es liegen zwei Referentenentwürfe, ein Diskussionspapier und ein „Werkstattgespräch“ sowie etliche Stellungsnahmen hinter uns, manche sinnvolle aber schmerzhafte Passage wurde verwässert und nun klar scheint zu sein:
Die Kriterien für betroffene Organisationen setzen sehr weit unten an – es gibt im drei Größenkategorien: wichtige, besonders wichtige Einrichtungen und Betreiber kritischer Infrastrukturen. Entscheidend sind dabei wird nach Mitarbeiteranzahl und Umsatz bzw. Bilanzsumme, für den „Einstieg“ genügen 50 Mitarbeiter und 10 Mio EUR Umsatz bzw. Bilanzsumme.
Ein weiteres Betroffenheitskriterium ist die Tätigkeit in einem von 11 Bereichen, was ein sehr weites Spektrum abdeckt.
Manche Organisationen (wie Domänen-Registrare) zählen unabhängig von allen anderen Kriterien stets dazu, andere (wie Gefängnisse) sind immer außerhalb der Betrachtung.
Was müssen die betroffenen Organisationen tun?
Es ist eine Liste von zehn Forderungen, die von sehr abstrakten bis zu sehr konkreten Vorgaben reichen. Der Kern ist eine umfassende Risikobetrachtung inklusive daraus abgeleiteter Maßnahmenliste – diese sind natürlich umzusetzen.
Zu den sehr konkreten Forderungen gehören:
§30 Satz 10: „Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung„
Zu den Besonderheiten dieser Gesetzgebung wird eine verschärfte Regelung bei Nichtkonformität inklusive persönlicher Haftung der Organisationsleitung gehören.
Stichtag im Oktober 2024
Link zum Diskussionspapier: