Management Summary: ## Einführung: NIS2 als neue Compliance-Herausforderung Die NIS2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit) ist eine EU-Richtlinie, die bis Oktober 2024 in nationales Recht umgesetzt werden musste. Sie erweitert die ursprüngliche NIS-Richtlinie und stellt strengere Anforderungen an die Cybersicherheit. Für SaaS-Unternehmen bedeutet das: Neue Compliance-Pflichten, die
Einführung: NIS2 als neue Compliance-Herausforderung
Die NIS2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit) ist eine EU-Richtlinie, die bis Oktober 2024 in nationales Recht umgesetzt werden musste. Sie erweitert die ursprüngliche NIS-Richtlinie und stellt strengere Anforderungen an die Cybersicherheit. Für SaaS-Unternehmen bedeutet das: Neue Compliance-Pflichten, die parallel zur DSGVO erfüllt werden müssen.
Dieser Artikel erklärt NIS2 verständlich für SaaS-Unternehmen: Was ist NIS2? Wer ist betroffen? Welche Pflichten entstehen? Wie unterscheidet sich NIS2 von der DSGVO? Und was müssen Unternehmen jetzt tun?
Dieser Artikel ist ein Supporting-Artikel zum PILLAR-Artikel “IT-Sicherheit für B2B-SaaS: DSGVO, NIS2 und ISO 27001”, der die grundlegenden Aspekte der IT-Sicherheit im B2B-Kontext ausführlich behandelt.
Was ist NIS2?
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist eine EU-Richtlinie zur Cybersicherheit, die die ursprüngliche NIS-Richtlinie (Richtlinie (EU) 2016/1148) erweitert und verschärft.
Ziel der NIS2-Richtlinie
Die NIS2-Richtlinie zielt darauf ab:
Resilienz kritischer Infrastrukturen: Die Resilienz kritischer Infrastrukturen zu stärken
Zusammenarbeit zwischen Mitgliedstaaten: Die Zusammenarbeit zwischen Mitgliedstaaten zu fördern
Wichtig: NIS2 ist keine Datenschutz-Richtlinie, sondern eine Cybersicherheits-Richtlinie. Sie fokussiert auf die Sicherheit von Netz- und Informationssystemen, nicht auf den Schutz personenbezogener Daten.
Umsetzung in nationales Recht
Die NIS2-Richtlinie musste bis Oktober 2024 in nationales Recht umgesetzt werden:
Österreich: Umsetzung durch das NIS-Gesetz 2.0
- Andere EU-Mitgliedstaaten: Jeder Mitgliedstaat hat eigene Umsetzungsgesetze
Wichtig: Die genauen Anforderungen können je nach Mitgliedstaat unterschiedlich sein. Unternehmen sollten sich über die spezifischen Anforderungen in ihrem Mitgliedstaat informieren.
Wer ist betroffen?
NIS2 gilt für Unternehmen in bestimmten Sektoren, die als “wesentliche” oder “wichtige” Einrichtungen eingestuft werden. Für SaaS-Unternehmen relevant sind insbesondere:
Digitale Infrastruktur
Unternehmen, die digitale Infrastruktur bereitstellen:
Datenverarbeitungsdienste: Datenverarbeitungs- und Datenspeicherungsdienste
Domain-Name-Systeme (DNS): DNS-Anbieter
- Top-Level-Domain-Registries: TLD-Registries
Beispiel: Ein SaaS-Anbieter, der Cloud-Computing-Dienste bereitstellt, kann als “wichtige Einrichtung” eingestuft werden, wenn er bestimmte Größenkriterien erfüllt.
Digitale Dienste
Unternehmen, die digitale Dienste bereitstellen:
Suchmaschinen: Suchmaschinen
- Social-Networking-Plattformen: Social-Networking-Plattformen
Beispiel: Ein SaaS-Anbieter, der einen Online-Marktplatz betreibt, kann als “wichtige Einrichtung” eingestuft werden.
IT-Dienstleistungen
Unternehmen, die IT-Dienstleistungen bereitstellen:
Managed-Security-Service-Provider: MSSPs, die Sicherheitsdienstleistungen bereitstellen
Beispiel: Ein SaaS-Anbieter, der Managed-Security-Services wie SecureLogical bereitstellt, kann als “wichtige Einrichtung” eingestuft werden.
Größenkriterien
NIS2 gilt nicht für alle Unternehmen, sondern nur für solche, die bestimmte Größenkriterien erfüllen:
Große Unternehmen: Unternehmen mit mehr als 250 Beschäftigten oder einem Jahresumsatz von mehr als 50 Mio. Euro
- Kleine Unternehmen: Kleine Unternehmen können ausgenommen sein, es sei denn, sie werden als “wesentliche Einrichtung” eingestuft
Wichtig: Die genauen Größenkriterien können je nach Mitgliedstaat und Sektor unterschiedlich sein. Unternehmen sollten sich über die spezifischen Kriterien in ihrem Mitgliedstaat informieren.
Pflichten & Fristen
Unternehmen, die unter NIS2 fallen, müssen folgende Pflichten erfüllen:
Risikomanagement
Unternehmen müssen ein Risikomanagement implementieren:
Kontinuierliches Risikomanagement: Kontinuierliches Risikomanagement und Anpassung der Maßnahmen
- Dokumentation: Dokumentation der Risikobewertung und der Maßnahmen
Cybersicherheitsmaßnahmen
Unternehmen müssen angemessene und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen umsetzen:
Cybersicherheits-Schulungen: Regelmäßige Schulungen für Mitarbeiter zur Cybersicherheit
Business-Continuity-Pläne: Pläne für die Geschäftskontinuität bei Cybersicherheitsvorfällen
Zugriffskontrolle: Strenge Zugriffskontrolle und Authentifizierung
- Monitoring und Logging: Kontinuierliches Monitoring und Logging von Sicherheitsereignissen
Meldepflichten
Unternehmen müssen erhebliche Cybersicherheitsvorfälle melden:
Nachmeldung: Detaillierte Nachmeldung innerhalb von 72 Stunden nach Erkennung
Sicherheitslücken: Meldung von Sicherheitslücken, die erhebliche Auswirkungen haben können
Wichtig: Die Meldepflichten nach NIS2 sind unabhängig von den Meldepflichten nach DSGVO. Beide müssen erfüllt werden, wenn ein Vorfall sowohl NIS2 als auch DSGVO betrifft.
Zusammenarbeit mit Behörden
Unternehmen müssen mit zuständigen Behörden zusammenarbeiten:
Audits und Inspektionen: Teilnahme an Audits und Inspektionen durch Behörden
- Zusammenarbeit bei Vorfällen: Zusammenarbeit bei der Untersuchung von Cybersicherheitsvorfällen
Fristen
Die wichtigsten Fristen nach NIS2:
Meldung von Vorfällen: 24 Stunden für frühe Warnung, 72 Stunden für detaillierte Nachmeldung
Audits: Regelmäßige Audits durch Behörden (Häufigkeit je nach Mitgliedstaat)
Unterschied zur DSGVO
NIS2 und DSGVO haben unterschiedliche Ziele und Anwendungsbereiche, überschneiden sich aber in vielen Punkten:
Ziel
DSGVO: Fokus auf Datenschutz und Schutz personenbezogener Daten
NIS2: Fokus auf Cybersicherheit und Resilienz kritischer Infrastrukturen
Überschneidung: Beide verlangen technische und organisatorische Maßnahmen, aber mit unterschiedlichen Schwerpunkten. DSGVO fokussiert auf den Schutz personenbezogener Daten, NIS2 auf die Sicherheit von Netz- und Informationssystemen.
Anwendungsbereich
DSGVO: Gilt für alle Unternehmen, die personenbezogene Daten verarbeiten
NIS2: Gilt nur für Unternehmen in bestimmten Sektoren, die bestimmte Größenkriterien erfüllen
Überschneidung: Viele SaaS-Unternehmen fallen unter beide Regelwerke, müssen also beide Anforderungen erfüllen.
Meldepflichten
DSGVO: Meldung von Datenpannen (Art. 33, 34 DSGVO):
Ziel: Schutz personenbezogener Daten
- Empfänger: Aufsichtsbehörden und betroffene Personen
NIS2: Meldung von Cybersicherheitsvorfällen:
Ziel: Cybersicherheit und Resilienz
- Empfänger: Zuständige nationale Behörden (z.B. BSI)
Überschneidung: Ein Vorfall kann sowohl eine Datenpanne (DSGVO) als auch ein Cybersicherheitsvorfall (NIS2) sein. Beide Meldepflichten müssen erfüllt werden.
Maßnahmen
DSGVO: Verlangt geeignete technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO:
Risikobasiert: Maßnahmen müssen dem Risiko angemessen sein
- Stand der Technik: Maßnahmen müssen dem Stand der Technik entsprechen
NIS2: Verlangt angemessene und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen:
Risikobasiert: Maßnahmen müssen dem Risiko angemessen sein
- Best Practices: Maßnahmen sollten Best Practices folgen
Überschneidung: Viele Maßnahmen überschneiden sich (Verschlüsselung, Zugriffskontrolle, Monitoring, etc.), müssen aber beide Regelwerke vollständig abdecken.
Handlungsempfehlungen
Die folgenden Handlungsempfehlungen können helfen, NIS2-Compliance zu gewährleisten:
1. Prüfung der Betroffenheit
Zuerst prüfen, ob NIS2 anwendbar ist:
Größenkriterien: Prüfen, ob die Größenkriterien erfüllt sind
Rechtliche Beratung: Bei Unsicherheit rechtliche Beratung einholen
2. Gap-Analyse
Gap-Analyse durchführen:
Anforderungen: NIS2-Anforderungen identifizieren
Priorisierung: Maßnahmen priorisieren basierend auf Risiko und Dringlichkeit
3. Maßnahmen umsetzen
Maßnahmen systematisch umsetzen:
Schulungen: Regelmäßige Schulungen für Mitarbeiter zur Cybersicherheit durchführen
Business-Continuity: Business-Continuity-Pläne erstellen und testen
- Technische Maßnahmen: Technische Maßnahmen umsetzen (Verschlüsselung, Zugriffskontrolle, Monitoring)
4. Meldepflichten etablieren
Prozesse für Meldepflichten etablieren:
Bewertung: Prozesse zur Bewertung, ob ein Vorfall meldepflichtig ist
Dokumentation: Dokumentation aller Vorfälle und Meldungen
5. Zusammenarbeit mit Behörden
Zusammenarbeit mit Behörden vorbereiten:
Prozesse: Prozesse für die Zusammenarbeit mit Behörden etablieren
- Dokumentation: Dokumentation für Audits und Inspektionen vorbereiten
6. Integration mit DSGVO
NIS2 und DSGVO integrieren:
Separate Maßnahmen: Maßnahmen identifizieren, die nur für ein Regelwerk erforderlich sind
Meldepflichten: Prozesse für beide Meldepflichten (DSGVO und NIS2) etablieren
Fazit: NIS2 für SaaS-Unternehmen – wer betroffen ist und was jetzt Pflicht wird
Dieser Artikel beleuchtet die Facetten von NIS2 für SaaS-Unternehmen – wer betroffen ist und was jetzt Pflicht wird. Für C‑Level‑Entscheider im DACH‑Raum stehen Return on Investment, Risikominimierung und Effizienz im Fokus. Nutzen Sie etablierte Standards wie BSI‑Grundschutz, ISO 27001 und die Google Quality Rater Guidelines als Leitplanken. Automatisierung und KI bieten Potenzial, müssen aber in jedem Fall von erfahrenen Fachkräften gesteuert und überwacht werden. Vermeiden Sie generische Lösungen – die richtige Strategie entscheidet über nachhaltigen Erfolg.
