NIS2-Compliance

NIS2-Compliance bezeichnet die Einhaltung der EU-Richtlinie 2022/2555, besser bekannt als NIS2-Richtlinie (Network and Information Security Directive 2). Diese Richtlinie verpflichtet eine grosse Zahl von Unternehmen in der EU zu verbindlichen Massnahmen fuer Cybersicherheit. Sie ist seit Oktober 2024 in Kraft und erweitert den Kreis der betroffenen Unternehmen erheblich gegenueber der Vorgaengerrichtlinie NIS1.

Was regelt die NIS2-Richtlinie?

Die NIS2-Richtlinie legt Mindestanforderungen an die Cybersicherheit fuer Unternehmen fest, die in bestimmten Sektoren taetig sind. Die Kernbereiche:

• Risikomanagement: Unternehmen muessen systematisch IT-Risiken identifizieren, bewerten und behandeln. Dazu gehoeren technische Massnahmen (Firewalls, Verschluesselung, Zugriffskontrollen) und organisatorische Massnahmen (Sicherheitsrichtlinien, Schulungen, Verantwortlichkeiten).
• Incident Reporting: Sicherheitsvorfaelle muessen innerhalb von 24 Stunden an die zustaendige Behoerde gemeldet werden (Fruehwarnung). Innerhalb von 72 Stunden folgt eine detaillierte Meldung mit Schweregrad und Auswirkungen. Nach einem Monat ist ein Abschlussbericht faellig.
• Supply-Chain-Security: Unternehmen muessen die Cybersicherheit ihrer gesamten Lieferkette bewerten. Das betrifft IT-Dienstleister, Cloud-Anbieter, Hosting-Provider und Softwarelieferanten.
• Geschaeftskontinuitaet: Notfallplaene und Wiederherstellungsstrategien muessen vorhanden und getestet sein.
• Governance: Die Geschaeftsleitung traegt persoenliche Verantwortung fuer die Cybersicherheit. Fuehrungskraefte muessen an Schulungen teilnehmen und Sicherheitsmassnahmen genehmigen.

Welche Unternehmen sind betroffen?

Die NIS2-Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Die Einstufung haengt von der Branche und der Unternehmensgroesse ab.

Wesentliche Einrichtungen (strengere Aufsicht):

• Energie (Strom, Gas, Oel, Fernwaerme)
• Verkehr (Luft, Schiene, Wasser, Strasse)
• Bankwesen und Finanzmarktinfrastruktur
• Gesundheitswesen
• Trinkwasser und Abwasser
• Digitale Infrastruktur (DNS, TLD-Registrierungen, Cloud-Dienste, Rechenzentren, CDNs)
• Oeffentliche Verwaltung
• Weltraum

Wichtige Einrichtungen (weniger strenge Aufsicht, aber gleiche Pflichten):

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemische Industrie
• Lebensmittelproduktion und -vertrieb
• Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau)
• Digitale Dienste (Online-Marktplaetze, Suchmaschinen, soziale Netzwerke)
• Forschung

Die Groessenschwelle liegt bei mittleren Unternehmen: ab 50 Mitarbeitern oder ab 10 Millionen Euro Jahresumsatz. Fuer bestimmte Sektoren der digitalen Infrastruktur (DNS-Dienste, TLD-Registrare, Cloud-Anbieter) gilt die Richtlinie unabhaengig von der Groesse.

Welche Strafen drohen bei Verstoessen?

Die NIS2-Richtlinie sieht empfindliche Sanktionen vor:

Dazu kommt: Die Geschaeftsleitung kann persoenlich haftbar gemacht werden, wenn sie ihre Aufsichtspflichten verletzt. Das ist ein wesentlicher Unterschied zur Vorgaengerrichtlinie.

Was muessen Unternehmen konkret umsetzen?

Die NIS2-Richtlinie verlangt ein umfassendes Sicherheitskonzept. Zu den konkreten Massnahmen gehoeren:

1. Risikoanalyse: Alle IT-Systeme und Prozesse auf Schwachstellen pruefen. Bedrohungsszenarien bewerten und priorisieren.
2. Zugriffskontrollen: Wer darf auf welche Systeme und Daten zugreifen? Multi-Faktor-Authentifizierung fuer kritische Systeme einfuehren.
3. Verschluesselung: Daten muessen verschluesselt gespeichert und uebertragen werden. Ein SSL-Zertifikat fuer Websites und Webanwendungen ist eine Grundanforderung.
4. Monitoring: Systeme zur Erkennung von Sicherheitsvorfaellen einrichten. Protokollierung und Auswertung von Zugriffen und Anomalien.
5. Incident-Response-Plan: Dokumentierter Ablaufplan fuer den Fall eines Sicherheitsvorfalls. Wer meldet an wen? Welche Sofortmassnahmen greifen?
6. Lieferantenbewertung: Alle IT-Dienstleister und Zulieferer auf ihre Sicherheitsstandards pruefen. Vertragliche Sicherheitsanforderungen festlegen.
7. Schulungen: Regelmaessige Cybersicherheitsschulungen fuer alle Mitarbeiter, einschliesslich der Geschaeftsleitung.
8. Backup und Recovery: Regelmaessige Datensicherung und getestete Wiederherstellungsplaene fuer den Notfall.

Was hat NIS2 mit Hosting und Webpraesenz zu tun?

Die Verbindung ist direkt und mehrfach:

• Hosting-Anbieter als Lieferant: Wenn ein betroffenes Unternehmen Webhosting oder einen Server bei einem Provider betreibt, ist dieser Teil der Lieferkette. Das Unternehmen muss die Sicherheitsstandards des Hosters bewerten.
• SSL-Zertifikate: Die verschluesselte Uebertragung von Daten ist eine Grundanforderung der NIS2-Richtlinie. Jede Website und jeder Webservice braucht ein gueltiges SSL-Zertifikat.
• E-Mail-Sicherheit: E-Mail-Authentifizierung mit SPF, DKIM und DMARC schuetzt vor Phishing und Spoofing — zwei haeufige Angriffsvektoren. NIS2 verlangt angemessene Schutzmassnahmen fuer die Kommunikation.
• Serverstandort und DSGVO: NIS2 und DSGVO ergaenzen sich. Ein Server in Deutschland stellt sicher, dass sowohl Datenschutz- als auch Cybersicherheitsanforderungen unter einheitlichem Recht erfuellt werden.
• VPS und Dedicated Server: Unternehmen mit eigenem Server oder VPS muessen die Serversicherheit selbst gewaehrleisten — Betriebssystem-Updates, Firewall-Konfiguration, Zugriffsmanagement. Bei Managed Hosting uebernimmt der Anbieter einen Teil dieser Aufgaben.

Fazit

Die NIS2-Richtlinie bringt verbindliche Cybersicherheitspflichten fuer eine grosse Zahl von Unternehmen in der EU. Die Anforderungen reichen von Risikomanagement ueber Incident Reporting bis zur Lieferkettensicherheit. Hosting, SSL-Zertifikate und E-Mail-Sicherheit sind konkrete Bausteine der NIS2-Compliance. Unternehmen sollten pruefen, ob sie unter die Richtlinie fallen, und ihre IT-Sicherheitsmassnahmen entsprechend ausrichten.