Ziele von NIS-2
- Das erklärte Ziel der ersten NIS-Richtlinie fokussierte sich auf einen EU-weiten Aufbau sogenannter Cybersicherheitskapazitäten.
- Gleichzeitig sollten potenzielle Bedrohungen für wichtige Systeme in Schlüsselsektoren auf ein Minimum reduziert werden.
- Darüber hinaus zielte NIS darauf ab, die Kommunikation von Cybersicherheitsvorfällen zu regulieren, um daraus resultierende Instabilitäten für Wirtschaft und Gesellschaft zu vermeiden.
Diese Ziele haben sich mit der neuen Richtlinie der EU nicht verändert. Die neue NIS-2 wird jedoch sehr viel konkreter und inkludiert mehr Unternehmen. Das ist vor allem darauf zurückzuführen, dass die Umsetzung der ersten Richtlinie in den EU-Mitgliedsstaaten sehr uneinheitlich erfolgte.
Bedeutung NIS-2-Richtlinie
Wenn Unternehmen und Institutionen, die für das Funktionieren von wirtschaftlichen und gesellschaftlichen Systemen relevant sind, Opfer von Cyberkriminalität werden, kann das schnell weitreichend Folgen haben – auf nationaler wie internationaler Ebene. Deshalb ist die NIS-2 wichtig, da sie dabei unterstützt, relevante Unternehmen zu identifizieren, und zum Aufbau entsprechender Cyberkapazitäten verpflichtet. Darüber hinaus wird die Kommunikation im Ernstfall geregelt, sodass potenzielle Schäden auch nach einem Zwischenfall schnell eingedämmt werden können.
Was sind die Herausforderungen der NIS-2?
Für Unternehmen bestehen die Herausforderungen der NIS-2 vor allem darin, dass der Kreis der betroffenen Unternehmen deutlich ausgeweitet wurde. Nicht nur Einrichtungen aus den sogenannten kritischen Sektoren gehören hierzu – auch viele mittlere Unternehmen werden mit der ab Oktober 2024 in deutsches Recht umgesetzten Richtlinie zum Handeln aufgefordert. Für viele Unternehmen, die sich bislang nicht zur kritischen Infrastruktur gezählt haben, bedeutet das oftmals große Investitionen und Umstellungen.
Welche Unternehmen sind von der NIS-2-Richtlinie betroffen?
Nach Umsetzung der ersten NIS-Richtlinie wurde eine Reihe von Unternehmen aus dem Bereich kritischer Sektoren bzw. kritischer Infrastrukturen identifiziert, für welche die neue Richtlinie gelten sollte. Die EU geht jetzt einen Schritt weiter und vergrößert den Kreis der betroffenen Unternehmen. Diese können nun aus verschiedenen Branchen stammen und werden in die Kategorien „wesentlich“ und „wichtig“ bzw. „große Unternehmen“ und „mittlere Unternehmen“ eingeteilt. Schätzungsweise werden allein in Deutschland rund 30.000 Unternehmen unter die neue Richtlinie der EU fallen.
Betroffene Unternehmen
Nicht allein die Branche, sondern auch die Größe entscheidet darüber,
wer sich an die von der EU entwickelte Richtlinie halten muss.
Betroffen sind mittlere wie auch große Unternehmen, welche die
genannten Kriterien erfüllen.
Wesentliche Einrichtungen
- Energie, Wasser
- Straßen-, Schienen-, Luft- und Schiffsverkehr
- Digitale Infrastruktur und IT-Dienste
- Bank- und Finanzwesen
- Gesundheit
- Öffentliche Verwaltung
- Raumfahrt
Große Unternehmen
- Mehr als 250 Mitarbeiter
- Mehr als 50 Millionen Euro Umsatz
- Bilanzsumme größer als 43 Millionen Euro
Wichtige Einrichtungen
- Abfallwirtschaft
- Post- und Kurierdienste
- Chemische Erzeugnisse
- Lebensmittel
- Hersteller
- Betreiber digitaler Dienste
- Forschungseinrichtungen
Mittlere Unternehmen
- 50 bis 250 Mitarbeiter
- 10 bis 50 Millionen Euro Umsatz
- Bilanzsumme kleiner als 43 Millionen Euro
Wie können Unternehmen die NIS-2 umsetzen?
Betroffenheit prüfen – Ob Anbieter digitaler Dienste, Unternehmen aus der Lebensmittelherstellung oder dem Bereich digitale Infrastruktur – jedes Unternehmen muss selbst ermitteln, ob es von der neuen Richtlinie
Bestehende Sicherheitsmaßnahmen prüfen – NIS bzw. deren Umsetzung in nationales Recht macht klar, wie Cyber Security in Unternehmen realisiert werden sollte. Fällt ein Unternehmen unter die Richtlinie, gilt es, bestehende Sicherheitssysteme dahingehend zu prüfen, ob die Anforderungen der NIS-2-Richtlinie erfüllt werden. Das gelingt beispielsweise mithilfe einer Risikobewertung.
Sicherheitsmanagementsystem einrichten – Um sicherzustellen, dass die Vorgaben der Europäischen Union dauerhaft eingehalten werden, ist die Einrichtung eines Sicherheitsmanagementsystems sinnvoll. Dieses prüft die IT-Sicherheit in regelmäßigen Abständen, identifiziert potenzielle Schwachstellen in der Cyber Security und entwickelt Maßnahmen, um diese Lücken zu schließen.
Kommunikationsstrategien entwickeln – Ob öffentliche Verwaltung oder Pharma-Unternehmen – die interne und externe Kommunikation zum Thema Cyber Security muss passen, um die Vorgaben der Richtlinie zu erfüllen. Mitarbeitende im Unternehmen müssen die neuen Regeln bezüglich der IT-Security kennen und anwenden können. Zudem muss die Kommunikationsprozedur im Zusammenhang mit der regelmäßigen Sicherheitsüberprüfung, aber auch bei einem erheblichen Sicherheitsvorfall, geplant und umgesetzt werden.
Fachliche Expertise + individuelle Beratung
Die Digitalisierung von Unternehmen bringt viele Vorteile, macht Unternehmen aber auch angreifbar. Um zukunftsorientiert EU-weite Kapazitäten für mehr Cybersicherheit zu schaffen, wurde 2023 die NIS-2-Richtlinie entworfen. Diese betrifft vor allem große und mittlere Unternehmen und verlangt nach einer schnellen, konsequenten Umsetzung. Wir unterstützen Sie bei der Implementierung eines NIS-2-konformen Sicherheitssystems – wirkungsvoll, passgenau und kosteneffizient.
Welche Konsequenzen drohen bei Verstößen gegen NIS-2?
- Die EU macht konkrete Vorgaben wie bei Verstößen gegen NIS-2 sanktioniert werden soll:
- Für wesentliche Einrichtungen drohen Bußgelder in Höhe von 2 Prozent des weltweiten Jahresumsatzes oder 10 Millionen Euro.
- Geschäftsführer bzw. ähnlich leitende Organe sollen mit ihrem Privatvermögen (maximal 2 Prozent des weltweitem Jahresumsatzes) haftbar gemacht werden können.
- Für wichtige Einrichtungen drohen Bußgelder in Höhe von 1,4 Prozent des weltweiten Jahresumsatzes oder 7 Millionen Euro.
Sind Sie von NIS-2 betroffen? Wir helfen Ihnen weiter!
KontaktIhr Ansprechpartner
Ulrich AltRisk & Compliance Manager