Was ist NIS2?

Die NIS2-Richtlinie (Richtlinie EU 2022/2555) ist die grundlegende EU-Cybersicherheitsregulierung für Betreiber kritischer und wichtiger Infrastrukturen. Sie ersetzt die ursprüngliche NIS-Richtlinie und erweitert den Anwendungsbereich massiv: Statt weniger hundert Unternehmen sind nun Zehntausende in 18 Sektoren betroffen.

Wen betrifft NIS2? #

NIS2 gilt für Unternehmen in 18 Sektoren, aufgeteilt in zwei Gruppen:

• Hohe Kritikalität (11 Sektoren): Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienste (B2B), Öffentliche Verwaltung, Weltraum
• Sonstige kritische Sektoren (7 Sektoren): Post und Kurier, Abfallbewirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung

Die Einstufung als "wesentliche" oder "wichtige" Einrichtung hängt von Sektor und Unternehmensgröße ab.

Was fordert NIS2 konkret? #

Artikel 21 verpflichtet betroffene Unternehmen zu umfassenden Cybersicherheitsmaßnahmen. Für Open-Source-Abhängigkeiten besonders relevant:

• Risikoanalyse und Sicherheitskonzepte für Informationssysteme (Art. 21 Abs. 2 lit. a)
• Sicherheit der Lieferkette als Pflichtmaßnahme (Art. 21 Abs. 2 lit. d)
• Bewertung der Schwachstellen und Entwicklungsprozesse unmittelbarer Anbieter (Art. 21 Abs. 3)
• Schwachstellenmanagement und -offenlegung (Art. 21 Abs. 2 lit. e)
• Regelmäßige Bewertung der Wirksamkeit des Risikomanagements (Art. 21 Abs. 2 lit. f)
• Management von Anlagen einschließlich Zugriffskontrolle (Art. 21 Abs. 2 lit. i)
• Meldepflichten: 24 Stunden Frühwarnung, 72 Stunden Meldung mit Bewertung, 1 Monat Abschlussbericht (Art. 23 Abs. 4)
• Persönliche Verantwortung der Leitungsorgane für die Umsetzung und Überwachung (Art. 20 Abs. 1)
• Schulungspflicht für Mitglieder der Leitungsorgane (Art. 20 Abs. 2)

Was droht bei Verstößen? #

• Wesentliche Einrichtungen: 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (Art. 34 Abs. 4)
• Wichtige Einrichtungen: 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes (Art. 34 Abs. 5)
• Persönliche Haftung: Leitungsorgane können persönlich haftbar gemacht werden (Art. 20 Abs. 1, Art. 32 Abs. 6)
• Tätigkeitsverbot: Geschäftsführern kann vorübergehend untersagt werden, Leitungsaufgaben wahrzunehmen (Art. 32 Abs. 5 lit. b)
• Öffentliche Bekanntmachung von Verstößen durch die Aufsichtsbehörde (Art. 32 Abs. 4 lit. h)
• Aussetzung von Genehmigungen und Zertifizierungen (Art. 32 Abs. 5 lit. a)

Umsetzung in Deutschland #

NIS2 ist eine Richtlinie und muss national umgesetzt werden. In Deutschland geschieht dies durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Zuständige Behörde ist das BSI. Deutsche Besonderheiten:

• Dreistufige Kategorisierung statt EU-zweistufig: besonders wichtige Einrichtungen, wichtige Einrichtungen und Betreiber kritischer Anlagen
• Schwellenwerte: Besonders wichtige Einrichtungen ab 250 Mitarbeitern oder 50 Mio. Euro Umsatz; wichtige Einrichtungen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz
• Persönliche Schadenshaftung der Geschäftsleitung gegenüber dem Unternehmen (§ 38 Abs. 2)
• Registrierungspflicht beim BSI innerhalb von 3 Monaten (§ 33 Abs. 1)
• Umsatzbasierte Bußgelder erst ab 500 Mio. Euro Gesamtumsatz (§ 65 Abs. 6-7)

In anderen EU-Ländern gelten abweichende Umsetzungen - jedes Land setzt die Richtlinie eigenständig um.

Was bedeutet das für Sie? #

Wenn Ihr Unternehmen in einem der 18 Sektoren tätig ist, betrifft Sie Artikel 21 in doppelter Hinsicht:

IT-Inventar: Art. 21 Abs. 2 lit. i verlangt das Management von Anlagen - also ein vollständiges Inventar aller IT-Assets. Jeder Server, jede Appliance, jedes Netzwerkgerät muss erfasst, klassifiziert und einem Verantwortlichen zugeordnet sein. Ohne dieses Inventar können Sie weder eine Risikoanalyse durchführen (lit. a) noch die Sicherheit Ihrer Lieferkette bewerten (lit. d).

Lieferkette: Art. 21 Abs. 2 lit. d macht Sie für Ihre gesamte Software-Lieferkette verantwortlich - einschließlich aller Open-Source-Komponenten. "Wir nutzen Open Source, also ist es nicht unser Problem" ist keine zulässige Position. Artikel 21 verlangt, dass Sie die Sicherheit Ihrer Anbieter bewerten, und das schließt die Projekte in Ihrer SBOM mit ein.

Beides gehört zusammen: Ein Linux-Server in Ihrem Rechenzentrum gehört ins IT-Inventar (lit. i). Die darauf laufende Software - das Betriebssystem, die Pakete, die Abhängigkeiten - gehört zur Lieferkette (lit. d). Wer nur das eine oder das andere betrachtet, hat eine Lücke im Risikomanagement.

Weiterlesen #

• NIS2-Anforderungen im Detail und wie OTTRIA sie abdeckt
• Open-Source-Lieferkettensicherheit
• Praktische Audit-Vorbereitung

Factsheet herunterladen: NIS2-Factsheet (in Erstellung)

Sie möchten Ihre NIS2-Pflichten im Open-Source-Bereich klären? Fordern Sie eine kostenlose SBOM-Erstanalyse an.