NIS-2

Bei der NIS-2-Richtlinie (Network and Information Security Directive) handelt es sich um eine EU-weite Gesetzgebung, die im Jahr 2023 in Kraft getreten ist und eine Aktualisierung der NIS-1-Richtlinie aus dem Jahr 2016 darstellt. Sie muss bis 2024 in nationales Recht umgesetzt werden, ein entsprechender Referentenentwurf des Bundesministeriums des Innern und für Heimat liegt bereits vor.

Inhalt

Ziele von NIS-2

  • Das erklärte Ziel der ersten NIS-Richtlinie fokussierte sich auf einen EU-weiten Aufbau sogenannter Cybersicherheitskapazitäten.
  • Gleichzeitig sollten potenzielle Bedrohungen für wichtige Systeme in Schlüsselsektoren auf ein Minimum reduziert werden.
  • Darüber hinaus zielte NIS darauf ab, die Kommunikation von Cybersicherheitsvorfällen zu regulieren, um daraus resultierende Instabilitäten für Wirtschaft und Gesellschaft zu vermeiden.

 

Diese Ziele haben sich mit der neuen Richtlinie der EU nicht verändert. Die neue NIS-2 wird jedoch sehr viel konkreter und inkludiert mehr Unternehmen. Das ist vor allem darauf zurückzuführen, dass die Umsetzung der ersten Richtlinie in den EU-Mitgliedsstaaten sehr uneinheitlich erfolgte.

Bedeutung NIS-2-Richtlinie

Wenn Unternehmen und Institutionen, die für das Funktionieren von wirtschaftlichen und gesellschaftlichen Systemen relevant sind, Opfer von Cyberkriminalität werden, kann das schnell weitreichend Folgen haben – auf nationaler wie internationaler Ebene. Deshalb ist die NIS-2 wichtig, da sie dabei unterstützt, relevante Unternehmen zu identifizieren, und zum Aufbau entsprechender Cyberkapazitäten verpflichtet. Darüber hinaus wird die Kommunikation im Ernstfall geregelt, sodass potenzielle Schäden auch nach einem Zwischenfall schnell eingedämmt werden können.

Was sind die Herausforderungen der NIS-2?

Für Unternehmen bestehen die Herausforderungen der NIS-2 vor allem darin, dass der Kreis der betroffenen Unternehmen deutlich ausgeweitet wurde. Nicht nur Einrichtungen aus den sogenannten kritischen Sektoren gehören hierzu – auch viele mittlere Unternehmen werden mit der ab Oktober 2024 in deutsches Recht umgesetzten Richtlinie zum Handeln aufgefordert. Für viele Unternehmen, die sich bislang nicht zur kritischen Infrastruktur gezählt haben, bedeutet das oftmals große Investitionen und Umstellungen.

 

 

Welche Unternehmen sind von der NIS-2-Richtlinie betroffen?

Nach Umsetzung der ersten NIS-Richtlinie wurde eine Reihe von Unternehmen aus dem Bereich kritischer Sektoren bzw. kritischer Infrastrukturen identifiziert, für welche die neue Richtlinie gelten sollte. Die EU geht jetzt einen Schritt weiter und vergrößert den Kreis der betroffenen Unternehmen. Diese können nun aus verschiedenen Branchen stammen und werden in die Kategorien „wesentlich“ und „wichtig“ bzw. „große Unternehmen“ und „mittlere Unternehmen“ eingeteilt. Schätzungsweise werden allein in Deutschland rund 30.000 Unternehmen unter die neue Richtlinie der EU fallen.

Betroffene Unternehmen

Nicht allein die Branche, sondern auch die Größe entscheidet darüber,
wer sich an die von der EU entwickelte Richtlinie halten muss.
Betroffen sind mittlere wie auch große Unternehmen, welche die
genannten Kriterien erfüllen.

Wesentliche
Einrichtungen

  • Energie, Wasser
  • Straßen-, Schienen-, Luft- und Schiffsverkehr
  • Digitale Infrastruktur und IT-Dienste
  • Bank- und Finanzwesen
  • Gesundheit
  • Öffentliche Verwaltung
  • Raumfahrt

Große
Unternehmen

  • Mehr als 250 Mitarbeiter
  • Mehr als 50 Millionen Euro Umsatz
  • Bilanzsumme größer als 43 Millionen Euro

 

Wichtige
Einrichtungen

  • Abfallwirtschaft
  • Post- und Kurierdienste
  • Chemische Erzeugnisse
  • Lebensmittel
  • Hersteller
  • Betreiber digitaler Dienste
  • Forschungseinrichtungen

Mittlere
Unternehmen

  • 50 bis 250 Mitarbeiter
  • 10 bis 50 Millionen Euro Umsatz
  • Bilanzsumme kleiner als 43 Millionen Euro

Wie können Unternehmen die NIS-2 umsetzen?

Schritt

Betroffenheit prüfen – Ob Anbieter digitaler Dienste, Unter­nehmen aus der Lebens­mittel­­herstel­lung oder dem Bereich digi­tale Infra­struktur – jedes Unter­­nehmen muss selbst ermitteln, ob es von der neuen Richt­linie

Schritt

Bestehende Sicher­heitsmaß­nahmen prüfen – NIS bzw. deren Um­­setzung in natio­­nales Recht macht klar, wie Cyber Se­curity in Unter­nehmen realisiert werden sollte. Fällt ein Unter­­nehmen unter die Richt­­linie, gilt es, bestehende Sicher­heits­systeme dahin­­gehend zu prüfen, ob die Anfor­­derungen der NIS-2-Richt­linie erfüllt werden. Das ge­lingt bei­spiels­weise mithilfe einer Risikobewertung.

Schritt

Sicherheitsmanagementsystem einrichten – Um sicher­zustellen, dass die Vor­gaben der Euro­päischen Union dauerhaft ein­gehalten werden, ist die Ein­richtung eines Sicherheitsmanagementsystems sinnvoll. Dieses prüft die IT-Sicherheit in regelmäßigen Ab­ständen, identi­fiziert potenzielle Schwach­stellen in der Cyber Security und entwickelt Maß­nahmen, um diese Lücken zu schließen.

Schritt

Kommunikationsstrategien entwickeln – Ob öffentliche Verwaltung oder Pharma-Unternehmen – die interne und externe Kommunikation zum Thema Cyber Security muss passen, um die Vorgaben der Richtlinie zu erfüllen. Mitarbeitende im Unter­nehmen müssen die neuen Regeln bezüglich der IT-Security kennen und an­wenden können. Zudem muss die Kommuni­kationsprozedur im Zusammen­hang mit der regel­mäßigen Sicherheitsüberprüfung, aber auch bei einem erheblichen Sicherheitsvorfall, geplant und umgesetzt werden.

Fachliche Expertise + individuelle Beratung

Die Digitalisierung von Unternehmen bringt viele Vorteile, macht Unternehmen aber auch angreifbar. Um zukunftsorientiert EU-weite Kapazitäten für mehr Cybersicherheit zu schaffen, wurde 2023 die NIS-2-Richtlinie entworfen. Diese betrifft vor allem große und mittlere Unternehmen und verlangt nach einer schnellen, konsequenten Umsetzung. Wir unterstützen Sie bei der Implementierung eines NIS-2-konformen Sicherheitssystems – wirkungsvoll, passgenau und kosteneffizient.

 

Welche Konsequenzen drohen bei
Verstößen gegen NIS-2?

  • Die EU macht konkrete Vorgaben wie bei Verstößen gegen NIS-2 sanktioniert werden soll:
  • Für wesentliche Einrichtungen drohen Bußgelder in Höhe von 2 Prozent des weltweiten Jahresumsatzes oder 10 Millionen Euro.
  • Geschäftsführer bzw. ähnlich leitende Organe sollen mit ihrem Privatvermögen (maximal 2 Prozent des weltweitem Jahresumsatzes) haftbar gemacht werden können.
  • Für wichtige Einrichtungen drohen Bußgelder in Höhe von 1,4 Prozent des weltweiten Jahresumsatzes oder 7 Millionen Euro.

Sind Sie von NIS-2 betroffen? Wir helfen Ihnen weiter!

Kontakt
Ihr Ansprechpartner
Ulrich Alt

Risk & Compliance Manager

ulrich.alt@viridicon.de

FAQ

Bestehen Unterschiede bei den Anforderungen der NIS-2 zwischen den verschiedenen EU-Mitgliedstaaten?
Wie können KMU die NIS-2-Richtlinie umsetzen?
Welche Arten von Sicherheitsvorfällen sind meldepflichtig?