Netzwerk

Wie unterscheidet sich KRITIS von NIS2?

Die NIS2-Richtlinie (Netz- und Informationssicherheit) und das KRITIS (Kritische Infrastrukturen) sind beide EU-Initiativen zur Verbesserung der Cybersicherheit, aber sie unterscheiden sich in ihrem Anwendungsbereich und ihrer Ausrichtung.

Anwendungsbereich

KRITIS:
Bezieht sich auf spezifische Sektoren und Unternehmen, die als kritische Infrastrukturen klassifiziert sind, weil deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die öffentliche Sicherheit und das Gemeinwesen haben könnte. Dazu gehören z.B. Energie, Wasser, Gesundheit, Transport und Finanzen.

Unternehmen werden als KRITIS-Betreiber definiert, wenn sie bestimmte Schwellenwerte in Bezug auf Größe und Bedeutung überschreiten.

NIS2:
Deckt eine breitere Palette von Sektoren ab, einschließlich derjenigen, die nicht unter die klassische KRITIS-Definition fallen, wie z.B. Postdienste, Abfallwirtschaft, Lebensmittelwirtschaft und Forschungseinrichtungen.

Einführung der "size-cap"-Regel, die mittlere und große Unternehmen in verschiedenen Sektoren reguliert, unabhängig davon, ob sie als kritische Infrastruktur gelten oder nicht. Dies bedeutet, dass NIS2 mehr Unternehmen betrifft als die bisherige KRITIS-Regelung.

Netzwerk

Anforderungen

KRITIS:
Betreiber müssen umfassende Sicherheitsmaßnahmen umsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüft und zertifiziert werden.

Es gibt spezifische Meldepflichten für IT-Sicherheitsvorfälle und regelmäßige Sicherheitsüberprüfungen.

NIS2:
Führt erweiterte Cybersicherheitsanforderungen ein, die sowohl für "wesentliche Einrichtungen" (essential entities) als auch für "wichtige Einrichtungen" (important entities) gelten.

"Wesentliche Einrichtungen" unterliegen einer strengeren, proaktiven Aufsicht, während "wichtige Einrichtungen" einer reaktiven (anlassbezogenen) Aufsicht unterliegen.

Unternehmen müssen eine Vielzahl von Maßnahmen zur Cybersicherheit implementieren, wie Risiko-Management, Incident-Management, Business Continuity und Lieferkettensicherheit. Sie müssen auch sicherstellen, dass ihre Cybersicherheitspraktiken internationalen und europäischen Standards entsprechen.

Digitale Sicherheit

Meldepflichten und Haftung

KRITIS:
Meldepflichten bestehen für erhebliche IT-Sicherheitsvorfälle. Betreiber müssen dies dem BSI melden und regelmäßig Nachweise über ihre IT-Sicherheitsmaßnahmen erbringen.

Es besteht eine klare rechtliche Verantwortung für die Einhaltung der IT-Sicherheitsstandards.

NIS2:
Ähnliche Meldepflichten wie bei KRITIS, jedoch erweitert auf mehr Unternehmen und Sektoren.

Unternehmensleitungen werden haftbar gemacht für die Nichteinhaltung der Cybersicherheitsanforderungen. Die Richtlinie legt großen Wert auf die Verantwortlichkeit und Haftung des Managements für Cybersicherheitsmaßnahmen (OpenKRITIS) (BSI).

Insgesamt erweitert NIS2 die Reichweite der Cybersicherheitsverpflichtungen auf mehr Unternehmen und setzt strengere Standards für den Schutz vor Cyberbedrohungen. Die KRITIS-Regelungen bleiben jedoch spezifisch für besonders kritische Sektoren und Infrastrukturen.

Latop

Die NIS2 Richtlinie unterscheidet zwischen "wesentliche Einrichtungen" und "wichtige Einrichtungen". Die wesentliche Einrichtungen" unterliegen einer proaktiven Aufsicht, während "wichtige Einrichtungen" anlassbezogen beaufsichtigt werden. Die Richtlinie gilt für Unternehmen, die mehr als 50 Mitarbeiter haben oder deren Jahresumsatz 10 Millionen Euro übersteigt. Als generell betroffene Sektoren definiert NIS-2 folgende:

  • Energie
  • Transport und Verkehr
  • Finanzen und Versicherung
  • Gesundheit
  • Trinkwasser und Abwasser
  • IT und TK
  • Weltraum

Bei den betroffenen Sektoren wird dann wiederum nach der Unternehmensgrösse unterschieden. Die Kriterien sind hierbei die Anzahl der Mitarbeiter sowie der Umsatz. Insgesamt ist die Klassifizierung komplex und es empfiehlt sich ein NIS2-Betroffenheitscheck

IT-Sicherheit

Was gilt für NIS2?

Risikomanagement:
Krankenhäuser müssen ein angemessenes Risikomanagement implementieren, das physische und digitale Gefahren berücksichtigt. Dazu gehören regelmäßige Risikoanalysen, die Umsetzung von Sicherheitsmaßnahmen zur Risikominderung und die kontinuierliche Überwachung der Risiken. Maßnahmen wie Verschlüsselung, Firewall-Management, Virenschutz, Zugriffskontrollen und regelmäßige Penetrationstests sind erforderlich.

Verantwortung der Geschäftsleitung:

"Geschäftsführer haften persönlich mit Privatvermögen"

Neu ist, dass mit der NIS2 Richtlinie die Unternehmensführung direkt in die Verantwortung genommen wird. Dies erreicht man dadurch dass empfindliche Bussen bei Nichtbeachtung der Richtlinie direkt auf die Unternehmensleitung
persönlich zukommen.
Die Geschäftsführung trägt die volle Verantwortung für die Umsetzung der NIS2-Vorgaben und muss sicherstellen, dass alle notwendigen Ressourcen und Prozesse bereitgestellt werden. Nach aktueller Auslegung der Richtlinie haften die Geschäftsführer mit ihrem Privatvermögen. Führungskräfte müssen an Cyber-Security-Schulungen teilnehmen. Verstöße können zu hohen Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Vorjahresumsatzes führen.

Meldepflichten:
Sicherheitsvorfälle müssen nach einem dreistufigen Meldeverfahren an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden: unmittelbar nach Bekanntwerden des Vorfalls, innerhalb von 24 bis 72 Stunden mit Zwischenmeldungen, und abschließend, sobald der Vorfall bearbeitet wurde.

Notfallplanung und Wiederherstellung:
NIS2 relevante Unternehmen müssen Notfallpläne erstellen, die klar definierte Rollen und Verantwortlichkeiten beinhalten, und regelmäßige Notfallübungen durchführen. Es ist wichtig, dass sie auch Wiederherstellungspläne haben, um den Betrieb nach einem Sicherheitsvorfall schnell wieder aufnehmen zu können.

Sanktionen:
Bei Nichteinhaltung der Richtlinie drohen hohe Geldstrafen und potenziell auch persönliche Haftung für Mitglieder der Geschäftsführung. Daher ist es von entscheidender Bedeutung, alle vorgeschriebenen Maßnahmen termingerecht umzusetzen.

Alle Unternehmen sollten die Zeit bis zur Umsetzung der Richtlinie nutzen, um ihre IT-Sicherheitsmaßnahmen zu überprüfen und anzupassen, notwendige Schulungen durchzuführen und einen umfassenden Incident-Response-Plan
zu entwickeln. Dies wird nicht nur helfen, gesetzliche Anforderungen zu erfüllen, sondern auch die Sicherheit und Vertraulichkeit der Patientendaten zu gewährleisten.

Unser Beratungsteam von Becker Project Consulting berät Sie bei allen Fragen zur Richtlinie und unterstützt Sie auf dem Weg zur Umsetzung der NIS2 Anforderungen. Da die Anforderungen bereits zum Oktober 2024 in Kraft treten, sollten Sie jetzt handeln. Nehmen Sie mit uns Kontakt auf: