NIS 2 kommt: Das müssen britische Organisationen wissen

Von Phil Muncaster • 4 Juli 2023

Die britische Vorschriften für Netzwerk- und Informationssysteme (NIS). trat im Mai 2018 in Kraft und folgte der NIS-Richtlinie der EU aus dem Jahr 2016. Aufgrund des Zeitpunkts ihrer Einführung konzentrierten sich die meisten Medien auf die größere Geschichte des Tages: die Einführung der neuen DSGVO. Aber bei dem Versuch, die Grundsicherheit unter „Betreibern wesentlicher Dienste“ (OES) in kritischen Infrastruktursektoren zu verbessern, waren die NIS-Verordnungen nicht weniger wichtig.

Das britische NIS wollte die Entwicklung eines nationalen Geräts für das Vorfallmanagement vorschreiben, den Informationsaustausch zwischen den Mitgliedstaaten verbessern und das Risikomanagement in der OES-Gemeinschaft verbessern. Aber die Zeit ist der Feind der Cybersicherheitsplaner, und die EU hat kürzlich eine neue Version genehmigt: der NIS2-Richtlinie. Es gilt für alle im Vereinigten Königreich ansässigen OES-Organisationen, die in der EU tätig sind.

Doch nun hat das Vereinigte Königreich den Block verlassen; es ist Das Regulierungssystem wird von NIS 2 abweichen. Es ist noch nicht alles vollständig ausgearbeitet, aber sehen wir uns an, welche Auswirkungen dies für die betroffenen Organisationen in ihrer jetzigen Form hat.

Die Messlatte für EU-weite Cybersicherheit höher legen

As Deloitte erklärtNIS 2 wurde mit drei Zielen entwickelt:

Verbessern Sie die Cyber-Resilienz in einer wachsenden Zahl von OES-Sektoren in der gesamten EU
Reduzieren Sie Inkonsistenzen im Grad der Widerstandsfähigkeit in Sektoren, die bereits von NIS abgedeckt sind
Den Informationsaustausch weiter verbessern und neue Regeln für die Reaktion auf Vorfälle festlegen, um so das Vertrauen zwischen den zuständigen Behörden (Regulierungsbehörden) zu stärken.

Genauer gesagt enthält es mehrere neue Elemente:

Ein breiterer Anwendungsbereich: NIS 2 deckt Organisationen in neuen Sektoren wie Telekommunikation, soziale Medien, Abwasser und Lebensmittel ab und gilt für alle mittleren und großen Organisationen in den Sektoren, die als Anbieter „wesentlicher“ oder „wichtiger“ Dienstleistungen gelten. Einige Organisationen des öffentlichen Sektors werden ebenfalls abgedeckt.

Höhere Bußgelder: Die Aufsichtsbehörden können bei schwerwiegender Nichteinhaltung Strafen in Höhe von bis zu 2 % des Jahresumsatzes oder 10 Mio. € (8.6 Mio. £) verhängen, je nachdem, welcher Betrag höher ist.

Grundlegende Sicherheitsanforderungen: NIS 2 führt einen Mindestsatz an Maßnahmen ein, die alle Organisationen einhalten müssen. Diese beinhalten:

Risikomanagement- und Informationssicherheitsrichtlinien
Incident Management zur Prävention, Erkennung und Reaktion auf Cybervorfälle
Geschäftskontinuität und Krisenmanagement
Sicherheit der Lieferkette
Prüfung und Auditierung von Sicherheitsmaßnahmen
Starke Verschlüsselung

Sicherheit der Lieferkette: Unternehmen werden für das Management von Cybersicherheitsrisiken in ihren Lieferketten und die Überwachung der Sicherheitslage ihrer Lieferanten verantwortlich sein.

Verantwortlichkeit des Direktors: Führungskräfte des oberen Managements werden für die Reife ihrer Sicherheitsfunktion verantwortlich gemacht. Sie müssen eine Cybersicherheitsschulung absolvieren und dementsprechend regelmäßige Risikobewertungen durchführen.

Schadensbericht: Jeder Vorfall mit potenziell schwerwiegenden Auswirkungen sollte der Aufsichtsbehörde innerhalb von 24 Stunden nach Entdeckung gemeldet werden. Nach 72 Stunden muss ein vollständiger Benachrichtigungsbericht gesendet werden, vor einem Monat nach dem ersten Vorfall ein Abschlussbericht.

Was gibt es Neues für Großbritannien?

In ihrer Antwort auf einen Aufruf zur Stellungnahme zu Vorschlägen zur Verbesserung der Cyber-Resilienz des Vereinigten Königreichs äußerte sich die Regierung ziemlich eindeutig zu NIS 2 und sagte: „Angesichts der Tatsache, dass das Vereinigte Königreich nicht mehr an die EU-Gesetzgebung gebunden ist und NIS 2 nicht umsetzen wird, wird es Unterschiede geben.“ zwischen der EU und dem Vereinigten Königreich. Die Gesetzgebung des Vereinigten Königreichs ist für die britische Wirtschaft konzipiert und soll den Nutzen für das Vereinigte Königreich maximieren.“

Was bedeutet das also in der Praxis? Hier sind die Hauptbereiche der Divergenz:

Managed Service Provider (MSPs): Das Vereinigte Königreich wird die Art der in den Geltungsbereich fallenden Anbieter digitaler Dienste (derzeit beschränkt auf Suchmaschinen, Online-Marktplätze und Cloud-Anbieter) auf MSPs ausweiten. Dazu gehören Anbieter, die:

B2B
Fokussiert auf IT-Dienstleistungen
Auf Netzwerk- und Informationssysteme angewiesen
Bereitstellung regelmäßiger Verwaltung und Unterstützung, aktiver Verwaltung und/oder Überwachung von IT-Systemen, Infrastruktur, Netzwerk und/oder Sicherheit

Dies steht im Gegensatz zu NIS 2, das der von der Verordnung abgedeckten Liste mehrere neue Sektoren hinzufügt, darunter Telekommunikation, soziale Medien und öffentliche Verwaltung. Außerdem wird die Größe der Organisation stärker präzisiert, um sicherzustellen, dass nur mittelgroße und große Organisationen abgedeckt sind.

Vorfallmeldung: Das Vereinigte Königreich schlägt vor, der Regulierungsbehörde eine breitere Palette von Vorfällen zu melden, darunter auch solche, die ein hohes Risiko für einen Dienst darstellen oder ihn erheblich beeinträchtigen, auch wenn sie ihn nicht beeinträchtigen.

NIS 2 enthält außerdem strengere Anforderungen für die Meldung „erheblicher Vorfälle“, also solcher, die erhebliche Betriebsstörungen oder finanzielle Verluste für das betroffene Unternehmen oder andere verursacht haben oder verursachen können. Es schreibt außerdem vor, dass die Erstmeldung innerhalb von 24 Stunden erfolgen muss.

Ausgenommene Organisationen: Rechenzentren, die nicht als Cloud-Anbieter reguliert sind, sowie Softwareentwickler und Klein-/Kleinstunternehmen sind davon ausgenommen. Allerdings kann die Regulierungsbehörde ICO bestimmte kleine/kleinste Anbieter digitaler Dienste in den Geltungsbereich einbeziehen, wenn sie als wesentlich für kritische Dienste im Vereinigten Königreich oder die nationale Sicherheit erachtet werden.

Digitale Dienstleister: Das ICO wird bei der Regulierung digitaler Dienste einen stärker risikobasierten Ansatz verfolgen, der darauf basiert, wie wichtig Anbieter für die Bereitstellung wesentlicher Dienste sind.

NIS 2 verfolgt eine strengere Linie und sieht möglicherweise hohe Bußgelder für die Nichteinhaltung durch OES-Anbieter vor.

Zukunftssicheres NIS: Die britische Regierung behält sich das Recht vor, die Vorschriften in Zukunft nach Konsultation der Öffentlichkeit zu ändern, möglicherweise durch die Aufnahme neuer Sektoren, die als kritisch für die Wirtschaft gelten.

Was musst du machen

Britische Organisationen müssen zunächst entscheiden, was für sie gilt: NIS 2, die geänderten NIS-Vorschriften des Vereinigten Königreichs oder beides, so Marija Nonkovic, Rechtsanwältin bei Burges-Lachs.

„Obwohl es Ähnlichkeiten zwischen den beiden Systemen gibt, werden die Unterschiede zu einem gewissen Maß an Divergenz führen, was von den in der EU und im Vereinigten Königreich tätigen Organisationen eine sorgfältige Prüfung ihrer Compliance-Verpflichtungen im Bereich der Cybersicherheit erfordern wird“, erklärt sie.

„Unternehmen sollten sich die Zeit nehmen, frühzeitig geeignete Ressourcen bereitzustellen, um sicherzustellen, dass geeignete Sicherheitsmaßnahmen zum Schutz vor Cyber-Bedrohungen vorhanden sind, und um die Widerstandsfähigkeit gegenüber einem Cyber-Angriff aufrechtzuerhalten, um die Kosten und Reputationsschäden, die daraus entstehen können, zu vermeiden.“ Cybersicherheitsvorfälle.“

Die Herausforderung wird das Timing sein. NIS 2 trat am 16. Januar 2023 in Kraft und muss von den Mitgliedstaaten bis zum 17. Oktober 2024 umgesetzt werden. Eine neue NIS-Verordnung dürfte jedoch laut Rechtsexperten nicht vor 2024 in Kraft treten.

„Ein unterschiedlicher Zeitpunkt der Umsetzung dürfte die Kosten in gewissem Maße erhöhen, da Unternehmen, die sowohl im Vereinigten Königreich als auch in der EU tätig sind, nicht nur einmal, sondern zweimal Zeit und Ressourcen für Compliance-Übungen aufwenden müssen“, argumentiert die Anwaltskanzlei Travers Smith. Es bleibt abzuwarten, ob die britische Divergenz tatsächlich zu einer Minimierung der Regulierungslast für inländische Unternehmen führt, wie die Regierung hofft.

Also was passiert als nächstes?

Wie EY empfiehlt, Unternehmen, die unter NIS 2 fallen, müssen ihre Informationssicherheitsrisiken verwalten. Die Implementierung eines Informationssicherheits-Managementsystems (ISMS) ist der beste Weg, dies zu erreichen. Dies wird dazu beitragen, den Prozess zur Einhaltung von Standards wie ISO 27001 und ISO 22301 zu rationalisieren, was wiederum einen guten Rahmen für die Einhaltung von NIS 2 bieten kann.

Für diejenigen, die sich auf die NIS-Vorschriften konzentrieren, würde ein ähnlicher Ansatz auch den Grundstein für die Einhaltung legen. Für weitere Informationen hat das National Cyber Security Center (NCSC), das als Computer Security Incident Response Team (CSIRT) und Single Point of Contact (SPOC) für NIS-Vorfälle fungiert, auch eine veröffentlicht praktische Anleitung. Es ist Sammlung des Cyber Assessment Framework (CAF). ist eine weitere hilfreiche Ressource.

Richten Sie Ihre Organisation auf Erfolg ein

Wenn Sie die Einhaltung von NIS 2 erreichen und Ihre Reise zu besserer Informations- und Cybersicherheit beginnen möchten, können wir Ihnen helfen.

Laden Sie unseren wichtigen Leitfaden zu NIS 2 herunter, lesen Sie mehr und rüsten Sie sich mit den Erkenntnissen aus, die Sie benötigen, um immer einen Schritt voraus zu sein und sicherzustellen, dass Ihr Unternehmen auf Erfolgskurs ist.

Laden Sie den WHS jetzt kostenlos herunter

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster