NIS2-Konformität mit der VdS 10100 Richtline erreichen

NIS2 – Mehr Cybersicherheit für Europas Wirtschaft

Die Bedrohungslandschaft im Bereich der Cybersicherheit entwickelt sich rasant. Angesichts der zunehmenden Komplexität und Häufigkeit von Cyberangriffen, die nicht nur Unternehmen, sondern auch kritische Infrastrukturen betreffen, hat die Europäische Union ihre Gesetzgebung zur Netz- und Informationssicherheit überarbeitet. Das Ergebnis ist die NIS2-Richtlinie, die am 16. Januar 2023 in Kraft getreten ist und bis zum 17. Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden sollte.

Was ist NIS2?

NIS2 (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) ist der Nachfolger der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Sie zielt darauf ab, das allgemeine Cybersicherheitsniveau innerhalb der EU zu erhöhen und eine gemeinsame, robuste Antwort auf Cyberbedrohungen zu gewährleisten. Die Richtlinie reagiert auf die wachsende Vernetzung und Digitalisierung sowie auf die Erfahrungen aus der ersten NIS-Richtlinie, die in Bezug auf den Anwendungsbereich und die Sanktionen als zu lasch empfunden wurde.

Wer ist von NIS2 betroffen?

Der Anwendungsbereich von NIS2 wurde erheblich erweitert und ist nicht mehr auf „Betreiber wesentlicher Dienste“ und „Anbieter digitaler Dienste“ beschränkt. Stattdessen unterscheidet NIS2 zwischen „wesentlichen Einrichtungen“ (Essential Entities – EE) und „wichtigen Einrichtungen“ (Important Entities – IE). Die Kriterien hierfür basieren hauptsächlich auf der Sektor- und Größenklassifizierung (Mitarbeiterzahl und Jahresumsatz).

Zu den betroffenen Sektoren gehören u. a.:

  • Energie: Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff
  • Verkehr: Luftfahrt, Schifffahrt, Eisenbahn, Straßenverkehr
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen: Gesundheitsdienstleister, pharmazeutische Industrie, Arzneimittelforschung
  • Trinkwasser und Abwasser
  • Digitale Infrastrukturen: Internet-Knoten, DNS, TLD-Register, Cloud- und Hostingdienste
  • Verwaltung öffentlicher Dienste, Raumfahrt, Abfallwirtschaft
  • Herstellung kritischer Güter: Medizinprodukte, Chemikalien, Lebensmittel
  • Digitale Dienste: Online-Marktplätze, Suchmaschinen, soziale Netzwerke

Um die Frage nach den Pflichten aus NIS2 noch einmal präzise und übersichtlich zu beantworten, basierend auf den Informationen, die wir gerade im Artikel besprochen haben:

Die NIS2-Richtlinie legt eine Reihe von verbindlichen Pflichten für alle betroffenen Einrichtungen (sowohl „wesentliche“ als auch „wichtige“ Einrichtungen) fest, die darauf abzielen, das Cybersicherheitsniveau in der gesamten EU zu erhöhen.

Hier sind die Kernpflichten, die sich aus NIS2 ergeben:

  1. Umfassendes Risikomanagement:
    • Pflicht: Unternehmen müssen ein wirksames Risikomanagement implementieren, um die Risiken für ihre Netz- und Informationssysteme systematisch zu identifizieren, zu bewerten und zu behandeln.
    • Maßnahmen: Dies beinhaltet die Durchführung von Risikoanalysen und die Implementierung geeigneter technischer, operativer und organisatorischer Sicherheitsmaßnahmen.
  2. Meldepflichten bei Sicherheitsvorfällen:
    • Pflicht: Schwere Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Erbringung von Diensten haben oder haben könnten, müssen den zuständigen nationalen Behörden gemeldet werden.
    • Fristen:
      • Erstmeldung („Early Warning“): Innerhalb von 24 Stunden nach Kenntniserlangung des Vorfalls.
      • Zwischenmeldung: Innerhalb von 72 Stunden nach Kenntniserlangung, mit aktualisierten Informationen über den Vorfall und erste Einschätzungen.
      • Abschlussbericht: Spätestens einen Monat nach der Erstmeldung, mit detaillierten Informationen über die Ursache, die Auswirkungen und die ergriffenen Abhilfemaßnahmen.
  3. Implementierung von Mindeststandards für Cybersicherheitsmaßnahmen:
    • Pflicht: Unternehmen müssen eine Reihe von konkreten Sicherheitsmaßnahmen umsetzen, die im Anhang der Richtlinie aufgeführt sind.
    • Beispiele für Mindestmaßnahmen:
      • Richtlinien für Risikoanalyse und Informationssicherheit.
      • Effektives Management von Sicherheitsvorfällen (Incident Handling).
      • Kontinuitätsmanagement (Business Continuity) und Krisenmanagement.
      • Sicherheit in der Lieferkette, einschließlich der Beziehungen zu Anbietern und Dienstleistern.
      • Sicherheitsmaßnahmen für die Entwicklung und den Erwerb von Netz- und Informationssystemen (Security by Design).
      • Strategien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen.
      • Grundlagen der Cyberhygiene und Schulungen zur Cybersicherheit.
      • Regelmäßige Überprüfung und Auditierung der Sicherheitsmaßnahmen.
      • Maßnahmen für sichere Netzwerke und Systeme (z.B. Zugriffskontrolle, Einsatz von Kryptografie und Verschlüsselung, Multi-Faktor-Authentifizierung (MFA)).
      • Umfassende Dokumentation aller umgesetzten Maßnahmen und Prozesse.
  4. Verantwortung und Haftung der Geschäftsleitung:
    • Pflicht: Die Geschäftsleitung (Leitungsebene) trägt die explizite Verantwortung für die Einhaltung der Cybersicherheitsvorschriften.
    • Anforderungen: Die Geschäftsführung muss nicht nur die Einhaltung überwachen, sondern sich auch regelmäßig in Cybersicherheitsfragen schulen lassen und die Umsetzung der Maßnahmen aktiv billigen. Bei Verstößen drohen Bußgelder.
  5. Schulung und Bewusstseinsbildung:
    • Pflicht: Unternehmen müssen sicherstellen, dass alle relevanten Mitarbeiter regelmäßig in Cybersicherheit sensibilisiert und geschult werden, um ein durchgängiges Sicherheitsbewusstsein zu schaffen und aufrechtzuerhalten.

Wichtiger Hinweis: Die detaillierte Ausgestaltung dieser Pflichten erfolgt im nationalen Umsetzungsgesetz der jeweiligen EU-Länder (in Deutschland voraussichtlich das NIS2UmsuCG). Daher ist es entscheidend, nicht nur die Richtlinie selbst, sondern auch die nationalen Bestimmungen zu konsultieren, sobald diese in Kraft getreten sind.Grundsätzlich sind alle mittleren und großen Unternehmen in diesen Sektoren betroffen, d. h. Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz von über 10 Millionen Euro.

Aktueller Stand in Deutschland (Mai 2025)

Obwohl die NIS2-Richtlinie seit Januar 2023 in Kraft ist, verzögert sich die nationale Umsetzung in Deutschland. Das entsprechende NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde aufgrund politischer Entwicklungen – insbesondere der Bundestagsneuwahl im Februar 2025 – noch nicht verabschiedet.

Ein erster Entwurf lag bereits Mitte 2024 vor. Die Verabschiedung wird nun frühestens im zweiten Halbjahr 2025 erwartet. Unternehmen sollten jedoch nicht auf das endgültige Gesetz warten, sondern proaktiv mit der Umsetzung beginnen.

Durch VdS 10100 heute schon NIS-2 umsetzen

Durch die VdS 10100 können betroffene Unternehmen bereits heute Maßnahmen ergreifen, um die Anforderungen der NIS-2 umzusetzen und sich proaktiv auf die neuen regulatorischen Vorgaben vorzubereiten.

Die Richtlinie bietet eine praxisnahe und skalierbare Grundlage für die Umsetzung der NIS-2-Anforderungen. Besonders für mittelständische Unternehmen konzipiert, eignet sich die VdS 10100 jedoch auch für Unternehmen jeder Größe. Ebenso wie bei der VdS 10000 besteht auch hier die Möglichkeit, eine Zertifizierung durch die VdS Schadenverhütung GmbH zu erlangen.

Die Veröffentlichung der VdS 10100 erfolgt in zeitlicher Abstimmung mit dem erwarteten Inkrafttreten des NIS2UmsuCG. Aktuell gehen Expertinnen und Experten davon aus, dass das Gesetz frühestens im 2. Quartal 2025 final verabschiedet wird.

Wesentliche Merkmale der VdS 10100:

  • Praxisorientierte Umsetzung: Die Richtlinie ermöglicht eine effiziente und klare Umsetzung der NIS-2-Vorgaben.
  • Flexibles Konzept: Basierend auf dem Prinzip „So wenig wie möglich, so viel wie nötig!“ lässt sich die VdS 10100 an die jeweiligen Unternehmensbedürfnisse anpassen.
  • Ergänzung zur VdS 10000: Die Richtlinie baut auf der etablierten VdS 10000 auf. Unternehmen, die diese bereits umgesetzt haben, profitieren von einer soliden Basis für NIS-2.
  • Kerninhalte:
    • Netzwerkmanagement
    • Datensicherung
    • Umgang mit Sicherheitsvorfällen
    • Einsatz von Cloud-Lösungen

Fazit:
Durch die Kombination von VdS 10000 und VdS 10100 können Unternehmen ihre Informationssicherheit gezielt stärken, die Anforderungen der NIS-2-Richtlinie erfüllen und sich frühzeitig auf künftige regulatorische Entwicklungen vorbereiten.

Für eine kostenlose Erstberatung nehmen Sie gerne Kontakt mit uns auf.

Anfrage
+49 177 5961 256
+49 177 5961 256
Nach oben scrollen