Portfolio

Die Bedeutung der NIS2-Richtlinie

für Informationssicherheit und Cybersicherheit


Die Sicherheit unserer Netzwerke und Informationssysteme ist heute von entscheidender Bedeutung für das Funktionieren der Gesellschaft und Wirtschaft. Cyberangriffe und Sicherheitsvorfälle können schwerwiegende Folgen für das Gemeinwohl, Bürgerinnen und Bürger, Unternehmen und Behörden haben. 

Angesichts dieser Realität hat die Europäische Union die NIS2-Richtlinie eingeführt, um die Cybersicherheit in der gesamten EU zu stärken und ein höheres Maß an Schutz vor Cyberbedrohungen zu gewährleisten.

Owning Your Brand’s Social Community Drives More Shoppers and Sales

Denn: „Die Richtlinie erfasst Informations- und Kommunikationstechnologie (IKT), einschließlich Rechenzentren und anderer IKT-Infrastrukturen. Als Rechenzentrum kann die ITEBO-Unternehmensgruppe den Anforderungen der Richtlinie nur dann genügen, wenn sie ihre Kunden auf die Reise zu mehr Informationssicherheit mitnimmt“, betont André Carstens, Leiter Geschäftsbereich Betrieb bei der ITEBO.

Ableitung des KRITIS-IT-Schutzbedarfs 
aus den KRITIS-Schutzzielen 

Für einen störungsfreien Betrieb der kritischen Dienstleistung sind IT-Systeme, Komponenten und Prozesse erforderlich; für diese soll unter Berücksichtigung der KRITIS-Schutzziele der KRITIS-IT-Schutzbedarf hergeleitet werden. Dabei sollen Störungen oder Störungsklassen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität (VIVA, IT-Schutzziele) behandelt werden. 

Die NIS2-Richtlinie betrifft vor allem Betreiber kritischer Infrastrukturen (KRITIS), die nun ihre IT-Sicherheit verbessern müssen, um den Anforderungen gerecht zu werden. Diese Anforderungen werden durch die nationale Umsetzung der Richtlinie festgelegt. Unternehmen müssen sich auf Cyber-Risikomanagement, Penetrationstests, Intrusion Detection Systeme und andere Sicherheitsmaßnahmen konzentrieren, um ihre Netzwerke und Informationssysteme zu schützen.

Auch wenn der IT-Planungsrat einen Beschluss gefasst hat, nach dem die NIS2-Richtlinie nicht auf Verwaltungseinrichtungen auszudehnen ist – die Anforderungen an Informationssicherheit bleiben bestehen.


Die Umsetzung der NIS2-Richtlinie in nationales Recht wird voraussichtlich Mitte bis Ende 2024 erfolgen. KRITIS-Unternehmen sollten sich bereits jetzt darauf vorbereiten, indem sie ihre IT-Sicherheit stärken und die erforderlichen Maßnahmen ergreifen. Ein proaktiver Ansatz ist entscheidend, um den Anforderungen der Richtlinie gerecht zu werden und die Sicherheit der Gesellschaft und Wirtschaft zu gewährleisten.

Häufigere Schäden durch Phishing & Passwortdiebstahl

Welche der folgenden Arten von Cyberangriffen haben innerhalb der 
letzten 12 Monaten in Ihrem Unternehmen einen Schaden verursacht?

Quelle: Bitkom Research 2022

202 Milliarden Euro Schaden pro Jahr

Wodurch sind Ihrem Unternehmen innerhalb der letzten 12 Monate Schäden im Zusammenhang mit Diebstahl, Industriespionage oder Sabotage entstanden?



Gesetze zum Schutz der Daten und Infrastrukturen: 

  • DSGVO  
  • DSG 
  • Bundessicherheitsgesetz  
  • SGB  
  • KonTraG GmbH-Gesetz  
  • ePR-Verordnung  
  • NIS2 
  • KRITIS 

Informationssicherheitsmanagementsysteme (ISMS) in Behörden dienen der Analyse und Struktur von erforderlichen Sicherheitsmaßnahmen

Um sicherzustellen, dass Informationssicherheit ein integraler Bestandteil aller Geschäftsprozesse ist, bietet sich die Einführung eines ISMS an. Um ein höchstmögliches Sicherheitsniveau zu erreichen, ist es notwendig Regeln, Prozesse und Maßnahmen zu etablieren. 

Denn die Gesetzgeber auf europäischer und nationaler Ebene haben auf die Risiken durch den Einsatz von IT reagiert und zahlreiche Gesetze zum Schutz von Daten und Infrastrukturen erlassen. Sie alle sehen vor, dass die Daten nach dem Stand der Technik durch entsprechende organisatorische und technische Maßnahmen durch den Verantwortlichen zu schützen sind. 

Dazu gehört es auch, Aufgaben und Verantwortlichkeiten zu definieren und den entsprechenden Personen und Organisationseinheiten verbindlich zuzuweisen. Der Aufbau und Umfang eines ISMS ist international standardisiert und im ISO 27001 definiert; er ist im ersten Schritt ein primär organisatorisches Thema. Denn nur, wenn Verantwortlichkeiten bei allen Geschäftsprozessen benannt und bekannt sind, können sie zugewiesen und wahrgenommen werden.  

Die Einbindung verschiedener Organisationseinheiten ist von entscheidender Bedeutung, um eine umfassende Informationssicherheit zu gewährleisten. Das Sicherheitsteam, bestehend aus IT-Experten und Querschnittsämtern, spielt hierbei eine zentrale Rolle. Zusätzlich wird die Benennung eines Informationssicherheitsbeauftragten nach ISO-Empfehlungen sowie eines Datenschutzbeauftragten, der gesetzlich vorgeschrieben ist, empfohlen.

Technisch-organisatorische Maßnahmen (TOM) sind eine Kombination aus technischen und organisatorischen Schritten, die ein Unternehmen ergreift, um die Sicherheit seiner Informationstechnologie (IT) und seiner Daten zu gewährleisten.

Diese Maßnahmen dienen dazu, Risiken zu identifizieren, zu bewerten und zu minimieren, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Zu den technischen Maßnahmen gehören beispielsweise Firewalls, Verschlüsselungstechnologien, Zugriffskontrollen und Sicherheitssoftware. Organisatorische Maßnahmen umfassen Richtlinien, Verfahren, Schulungen und Kontrollen, die sicherstellen, dass Mitarbeitende angemessen mit den IT-Ressourcen umgehen und Sicherheitsrichtlinien einhalten. Der Zweck technisch-organisatorischer Maßnahmen besteht darin, eine umfassende Sicherheitsstrategie zu implementieren, um vor verschiedenen Bedrohungen wie Cyberangriffen, Datenlecks und anderen Sicherheitsvorfällen zu schützen. 


Auch die Dienststellen als Informationseigentümer, Informationstreuhänder (in der Regel IT-Dienstleister) und alle Nutzerinnen und Nutzer, die den gesetzlichen Vorgaben und internen Richtlinien der Behörde unterliegen, sind in den Prozess einzubeziehen.

Es ist wichtig zu betonen, dass der Aufbau eines ISMS kein einmaliges Projekt ist, sondern ein kontinuierlicher Prozess, der fortlaufend umgesetzt, überwacht und verbessert werden muss, um die Sicherheit sensibler Informationen und die Integrität der Behördenarbeit zu gewährleisten.

Die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) scheint momentan optional. Die Entscheidung und Verantwortung liegt letztlich bei den Behördenleitungen, da die Nichtbeachtung schwerwiegende juristische Konsequenzen haben kann. Die NIS2-Richtlinie der EU ist ein bedeutender Schritt zur Stärkung der Cybersicherheit in Europa. Ihre Umsetzung wird die Resilienz gegenüber Cyberbedrohungen erhöhen und die Sicherheit digitaler Infrastrukturen gewährleisten. Durch eine frühzeitige Vorbereitung und die Einführung eines ISMS können Behörden sicherstellen, dass sie den Anforderungen der Richtlinie gerecht werden und die Sicherheit aller Bürgerinnen und Bürger effektiv gewährleisten.

Nachfolgende Einzelverantwortliche sollten nach den Empfehlungen des BSI benannt werden

  • Sicherheitsteam – IT-Experten gemeinsam mit Querschnittsämtern
  • Informationssicherheitsbeauftragter – nach ISO empfohlen  
  • Datenschutzbeauftragter – gesetzlich vorgeschrieben
  • Dienststellen – als Informationseigentümer  
  • Informationstreuhänder – in der Regel die informationsverarbeitende Stelle (IT-Dienstleister)  
  • Nutzerinnen und Nutzer – alle sind den gesetzlichen Vorgaben und den internen Richtlinien  der Behörde verpflichtet


Basis für IT-Sicherheit
Nächster Artikel

Container for the dynamic page

(Will be hidden in the published article)