Edit: Dieser Blog Post wurde am 08. August 2024 leicht überarbeitet.
Wesentliche Punkte
- Die NIS-2-Richtlinie tritt (voraussichtlich!) Anfang 2025 in Kraft
- Wie lang die Übergangsfrist ist, ist noch nicht bekannt
- Ihr Ziel ist ein europaweites Cybersicherheits-Niveau
- Betroffen sind Unternehmen aus wichtigen gesellschaftlichen Sektoren (Stichwort: KRITIS)
- Auch kleine und mittlere Unternehmen können zur Verantwortung gezogen werden
- Bei Nichtbeachtung bzw. -umsetzung drohen Strafen und persönliche Haftung der Geschäftsleiter
Keine Zeit für den gesamten Blog Post?
In wenigen Monaten tritt die NIS-2-Richtlinie der Europäischen Union in Kraft und wird dann auch in Deutschland als entsprechendes Gesetz gültig sein. Unternehmen, die davon betroffen sind, müssen bis dahin notwendige Maßnahmen rund um Cybersecurity umgesetzt haben. Sollten sie ihrer Pflicht nicht nachkommen, drohen nicht nur bis zu 10 Millionen Euro Bußgeld, sondern sogar die Geschäftsführer können persönlich dafür haftbar gemacht werden.
Kurz: Die NIS-2-Richtlinie betrifft nicht nur IT- und Compliance-Abteilungen, sondern das gesamte Unternehmen und kann immense Auswirkungen auf die Geschäftstätigkeit haben.
Wie steht es um Ihr Unternehmen? Sind Sie von der NIS-2-Vorgabe betroffen und müssen noch Maßnahmen umsetzen? Oder Sie wissen nicht genau, ob Sie handeln müssen? In diesem Blog Post bieten wir einen umfassenden Überblick und beantworten die wichtigsten Fragen, damit Sie für die kommenden Monate (und im besten Fall auch darüber hinaus) gewappnet sind.
Zusammengefasst: Die NIS-2-Richtlinie soll, gewissenhaft umgesetzt, Unternehmen dazu verpflichten und dabei unterstützen, ihre Daten noch besser zu schützen, Angriffe frühzeitig zu erkennen, um dann schnell und ganzheitlich reagieren zu können.
Was ist die NIS-2 Richtlinie?
In der heutigen digitalen Ära sind Cybersicherheit und Datenschutz von entscheidender Bedeutung. Die Bedrohung durch Cybercrime, beispielsweise durch Ransomware, Malware, Phishing, aber auch Schwachstellen in Softwareprodukten, ist dabei aber so hoch wie nie zuvor.
Angesichts der wachsenden Bedrohungen durch Cyberangriffe hat die Europäische Union (EU) daher Maßnahmen ergriffen, um die Sicherheit von Netz- und Informationssystemen zu stärken. Das erklärte Ziel dieser Richtlinie ist ein europaweites Cybersicherheits-Niveau, das vor allem gesellschaftlich wichtige Sektoren absichert.
Eine dieser Maßnahmen ist die NIS2-Richtlinie, die für Unternehmen und Organisationen in Deutschland von großer Bedeutung ist. Die NIS2-Richtlinie baut auf der ersten NIS-Richtlinie von 2016 auf. Sie erweitert den Anwendungsbereich sowie die Anforderungen an die Mitgliedstaaten. Ihr Ziel ist es, die Resilienz kritischer Infrastrukturen zu stärken und die Auswirkungen von Cyberangriffen zu minimieren.
Welche Unternehmen müssen die NIS-2 Richtlinie umsetzen?
Gemäß der NIS2-Richtlinie müssen bestimmte Unternehmen und Organisationen Maßnahmen ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten.
Die Einordnung erfolgt hierbei nach den zwei Hauptkriterien “Unternehmenssektor” und “Unternehmensgröße“. Sie ermöglichen eine grobe Einschätzung, ob Unternehmen in Punkto IT-Sicherheit handeln sollten. Zu beachten ist zudem, ob ein Unternehmen als Sonderfall eingeordnet werden muss:
Wesentliche Sektoren sind solche mit “hoher Kritikalität”. Unternehmen beispielsweise aus den Bereichen “Energie”, “Bankenwesen”, “Transport”, “öffentliche Verwaltung” oder auch digitale Infrastrukturen, wie Cloud-Provider oder Rechenzentren zählen hierzu.
Wichtige Sektoren umfassen Bereiche wie beispielsweise “Post- und Kurierdienste”, “Lebensmittel” oder “digitale Dienste”, wie Suchmaschinen oder soziale Netzwerke. Einen Sonderfall stellt ein Betreiber dann dar, wenn er einen signifikanten Einfluss auf die öffentliche Sicherheit oder die Gesellschaft hat.
In unserem Spickzettel finden Sie alle Sektoren, die betroffen sind. Plus: Eine praktische Checkliste, mit der Sie herausfinden, ob Sie betroffen sind.
Betrifft NIS-2 auch kleine oder mittlere Unternehmen?
Die Antwort hier lautet “leider”: Jein. Kleine und mittelständische Unternehmen sind grundsätzlich ausgeschlossen, sofern sie weniger als 50 Mitarbeiter beschäftigen und einen maximalen Jahresumsatz von 10 Millionen Euro nicht übersteigen. Als „Sonderfall“ können sie dennoch eingestuft werden, sofern die Unternehmen regional oder gar national wichtig sind und ihr Ausfall demnach einen signifikanten Effekt auf die öffentliche Sicherheit oder Gesundheit, oder auch ein Risiko für wichtige Sektoren darstellen würde.
Das heißt: Wenn kleine oder mittlere Unternehmen beispielsweise als Dienstleister oder Lieferant für direkt betroffene Organisationen tätig sind, können sie unter Umständen auch gezwungen werden, strenge Sicherheitsvorkehrungen umzusetzen, um die Abhängigkeiten und Lieferketten zu schützen.
Deshalb ist es auch für diese Unternehmen wichtig, sie sich frühzeitig mit den Anforderungen der Richtlinie vertraut machen und entsprechende Maßnahmen ergreifen, um sicherzustellen, dass sie den Anforderungen entsprechen.
Welche Bereiche deckt die NIS-2 Richtlinie ab?
Die NIS 2-Richtlinie, auch bekannt als Network Information Service 2-Richtlinie, umfasst in der Regel ähnliche Bereiche wie die NIS 1-Richtlinie, jedoch mit zusätzlichen Aspekten, die die verbesserten Funktionen und Sicherheitsmaßnahmen von NIS 2 berücksichtigen. Einige dieser Bereiche sind:
- Präventive Maßnahmen, Zugriffskontrolle und Sicherheit, wie erweiterte Authentifizierungsmethoden, regelmäßige Sicherheitsupdates sowie Penetration Tests
- Erkennung von Sicherheitsvorfällen
- Reaktion auf Sicherheitsvorfälle
- Wiederherstellung nach einem Angriff
- Meldepflicht für Sicherheitsvorfälle
- Compliance und Richtlinien
- Integration mit anderen Systemen
Wer prüft NIS2?
Die Einhaltung der NIS2-Richtlinie wird von den nationalen Behörden überwacht, die für Cybersicherheit zuständig sind. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik (BSI), das für die Überwachung und Durchsetzung der NIS2-Anforderungen verantwortlich ist. Insbesondere Betreiber kritischer Anlagen müssen alle drei Jahre (ähnlich zu den KRITIS-Prüfungen) Nachweise erbringen, dass sie den NIS2-Anforderungen nachkommen.
Was ändert sich durch die NIS2?
Durch die NIS2-Richtlinie werden die Anforderungen an die Cybersicherheit erhöht und der Anwendungsbereich erweitert, um neue Bedrohungen und Technologien zu berücksichtigen.
In Weiterführung der NIS-1-Richtlinie geht es nun also nicht mehr nur darum, einen aktiven Ansatz zur Cybersecurity zu verfolgen, sondern diesen ganz konkret im Unternehmen umzusetzen. Unternehmen und Organisationen müssen nun umfassende Sicherheitsmaßnahmen implementieren und Sicherheitsvorfälle innerhalb bestimmter Fristen melden.
Da NIS-2 modernere Sicherheitsstandards bietet, kann der Einsatz von NIS 2 dazu beitragen, die Compliance mit branchenspezifischen Standards und gesetzlichen Vorschriften zu verbessern. Unternehmen können so besser auf rechtliche Anforderungen reagieren und das Risiko von Verstößen verringern.
Insgesamt kann der Übergang zu NIS 2 für Unternehmen eine Reihe von Vorteilen mit sich bringen, darunter verbesserte Sicherheit, effizientere Verwaltung und bessere Skalierbarkeit durch moderne Technologien.
Die erhöhten Anforderungen an die Cybersecurity können jedoch auch mit einem gewissen Komplexitäts- und Umstellungsaufwand verbunden sein.
Unternehmen müssen ihre aktuelle IT-Landschaft gründlich analysieren, eventuelle Maßnahmen sorgfältig evaluieren und planen, möglicherweise neue Technologien einführen, Schulungen für Mitarbeiter durchführen und bestehende Systeme anpassen, um die neuen Funktionen und Sicherheitsmaßnahmen von NIS 2 optimal nutzen zu können.
Bis wann muss die NIS2 umgesetzt werden?
Die europäische NIS2-Richtlinie trat am 16.01.2023 in Kraft. Bis voraussichtlich Mitte Oktober haben die Mitgliedstaaten Zeit, diese in nationales Recht zu übertragen.
Was passiert bei Verstößen gegen NIS2?
Bei Verstößen gegen die NIS2-Richtlinie können Geldbußen und andere Sanktionen verhängt werden. Je nach Schwere des Verstoßes und der spezifischen Umstände des Falles können bis zu 10 Millionen Euro Bußgeld fällig werden. Und damit nicht genug: Die Geschäftsführer von betroffenen Unternehmen können sogar persönlich für Mängel haftbar gemacht werden.
Unsere Empfehlung lautet daher: Beschäftigen Sie sich rechtzeitig mit der Cybersicherheit in Ihrem Unternehmen. Denn Sicherheits-Vorfälle betreffen nicht nur die IT-Abteilung oder die Compliance-Abteilung, sondern können im schlimmsten Fall immense finanzielle Folgen mit sich ziehen und gar die Geschäftsfähigkeit des gesamten Unternehmens bedrohen.
Quelle: www.bmi.bund.de
Julia Mayer
Sie wünschen sich Hilfe bei der Umsetzung? Wir unterstützen Sie dabei, NIS-2-konform zu werden.
Julia Mayer
Sie wünschen sich Hilfe bei der Umsetzung? Wir unterstützen Sie dabei, NIS-2-konform zu werden.