Startseite Blog

NIS2-Richtlinie umsetzen – sind Sie vorbereitet?

Wurden Sie schon mal Opfer einer Cyber-Attacke? "Auf jeden Fall", "Eigentlich jeden Tag". Die überarbeitete NIS-Richtlinie will dagegen angehen ... und bedeutet für Unternehmen erstmal eines: Arbeit. Aber was genau müssen Sie nun dringend tun?

Bild zur NIS2-Richtlinie mit gelben Umschlag

NIS2-Richtlinie – aktualisiert & verbessert

Mit Einführung der Richtlinie Netz- und Informationssystemsicherheit (NIS) hat die Europäische Union 2016 einen wichtigen Schritt gemacht, um die Cybersicherheit der Mitgliedstaaten zu stärken und Meldepflichten bei Sicherheitsvorfällen festzulegen. Doch die Umsetzung war nicht konsistent und offenbarte Schwachstellen. Besonders problematisch waren folgende Punkte:

  • die unterschiedlichen Interpretationen der Vorschriften durch die Mitgliedstaaten
  • eine begrenzte Reichweite bezüglich betroffener Sektoren und Unternehmen
  • Herausforderungen bei der grenzüberschreitenden Zusammenarbeit im Falle von Cybersicherheitsvorfällen

Die jetzt überarbeitete Version schließt diese Lücken, indem sie klare Vorgaben macht, den Anwendungsbereich erweitert und die Zusammenarbeit zwischen den Mitgliedstaaten verbessert. Ziel ist es, ein hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten (NIS2-Richtlinie PDF).

Bis Oktober 2024 müssen EU-Mitgliedsstaaten die NIS2-Richtlinie in lokale Gesetzgebung überführen und nationale Betreiber mit Cybersicherheit regulieren. Mit der NIS2-Richtlinie steigt nicht nur die Zahl der betroffenen Unternehmen, sondern auch die Anforderungen an diese. Ignoranz oder Unwissen werden mit hohen Sanktionen von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes bestraft.

NIS2-Richtlinie: Wer ist betroffen?

Schätzungsweise sind allein in Deutschland zukünftig etwa 30.000 Unternehmen von der NIS2-Richtlinie betroffen. Nicht berücksichtigt sind die Zulieferer solcher Unternehmen. Die NIS2-Richtlinie erweitert den Anwendungsbereich auf mehr Sektoren und Unternehmen. Es wird zwischen wichtigen und wesentlichen Einrichtungen unterschieden.

Wichtige Einrichtungen

Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die nationale Sicherheit, das wirtschaftliche oder öffentliche Wohl haben könnten. Beispiele hierfür sind Betreiber kritischer Infrastrukturen wie Energieversorger oder Finanzinstitutionen.

Wesentliche Einrichtungen

Einrichtungen, die für die Aufrechterhaltung wichtiger gesellschaftlicher oder wirtschaftlicher Aktivitäten notwendig sind. Dazu zählen beispielsweise Lebensmittelunternehmen oder digitale Infrastrukturanbieter. Das sogenannte „Size Cap“ bedeutet, dass alle mittleren und großen Unternehmen in den relevanten Sektoren automatisch unter die Richtlinie fallen, während kleine und Kleinstunternehmen ausgenommen sind. Es sei denn, sie sind Teil einer kritischen Lieferkette.

Zu beachten: Verantwortung Geschäftsführung (Art. 20)

Geschäftsführung und andere Leitungsorgane von Unternehmen sind für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haftbar.

Die Geschäftsführung

  • muss die Umsetzung der Maßnahmen überwachen und haftet für Verstöße
  • muss an Schulungen teilnehmen und diese den Beschäftigten anbieten

Anforderungen an Unternehmen

Betroffene Unternehmen müssen gemäß NIS2-Richtlinie verschiedene technische und organisatorische Maßnahmen ergreifen.

Notwendige Maßnahmen:

  • Richtlinien zur Cybersicherheit & Risiko-Management: Unternehmen müssen klare Richtlinien etablieren, um ihre Cybersicherheitsrisiken zu identifizieren, zu bewerten und zu mindern.
  • Incident- und Business Continuity Management: Es müssen Prozesse vorhanden sein, um auf Sicherheitsvorfälle reagieren zu können sowie Strategien zur Aufrechterhaltung kritischer Geschäftsprozesse (s. Thema Notfallhandbuch).
  • Überwachung der Lieferketten: Unternehmen haben sicherzustellen, dass ihre Lieferanten ebenfalls angemessene Sicherheitsmaßnahmen treffen.
  • Bewertung der Maßnahmeneffektivität: Die Wirksamkeit der implementierten Sicherheitsmaßnahmen muss regelmäßig überprüft werden.
  • Maßnahmen zur personellen Sicherheit: Mitarbeiter*innen sollten hinsichtlich potentieller Cyberbedrohungen geschult werden.
  • Umsetzung von kryptographischen Maßnahmen: Verschlüsselungstechnologien sollten zum Schutz sensibler Daten eingesetzt werden.
  • Zugangskontrollen: Der Zugriff auf Systeme sollte durch sichere Authentifizierungsverfahren streng reguliert werden.
  • Asset Management: Alle Vermögenswerte sollten genau dokumentiert sein, um eine effektive Überwachung zu ermöglichen.
  • Sichere Kommunikationsmöglichkeiten: Kommunikationssysteme müssen auch im Notfall funktionstüchtig bleiben.

Die genannten Maßnahmen sollen nach dem aktuellen Stand der Technik umgesetzt werden. Erwägungsgrund 89 (NIS2-Richtlinie PDF 89) enthält ergänzende Punkte, um die Netz- und Informationssysteme abzusichern. Zum Beispiel:

Hinzu kommen noch Melde- und Registrierungspflichten, für die im Unternehmen entsprechende Verfahren definiert werden müssen.

Zu beachten: Meldepflicht von Sicherheitsvorfällen (Art. 23)

Nach NIS2-Richtlinie müssen erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfänger*innen der eigenen Dienste gemeldet werden. So sieht die NIS2-Richtlinie folgende Fristen vor, um den Vorfall der Behörde zu melden:

  • Frühwarnungen innerhalb von 24 h ab Kenntnis
  • Qualifizierte Meldungen (ausführlicher Bericht) innerhalb von 72 h ab Kenntnis
  • Anlassbezogene Zwischenmeldungen und Abschlussbericht innerhalb eines Monats

Fazit: Sehen Sie es positiv!

Die neuen Anforderungen sind für Unternehmen ohne etabliertes Informationssicherheits-Management eine Herausforderung. Interne Prozesse im Unternehmen gilt es zu überprüfen und anzupassen. Das kann auch bedeuten, dass weitere Rollen (sogar Teams) definiert und etabliert werden müssen, etwa um Risiken bewerten und behandeln zu können. Systeme zur Angriffserkennung unterstützen ergänzend mit wertvollen Informationen.

Und was passiert, wenn man die neue Richtlinie einfach nicht beachtet? Gar keine gute Idee! Unternehmen müssen mit rechtlichen Konsequenzen einschließlich hoher Geldbußen rechnen. Und nicht nur das! Da betroffene Unternehmen auch Einkaufsstrategie und Lieferketten prüfen müssen, bedeutet das unter Umständen den Verlust langjähriger Partnerschaften und Aufträge für Zulieferer.

Zusammenfassung NIS2-Richtlinie – auf einen Blick

  • Die NIS2-Richtlinie ist eine Weiterentwicklung der NIS-Richtlinie der EU, die zum Ziel hat, die Cybersicherheit zu stärken und kritische Infrastrukturen zu schützen.
  • Unternehmen, die unter die NIS2-Richtlinie fallen, müssen Sicherheitsvorfälle melden und geeignete Sicherheitsmaßnahmen ergreifen.
  • Die NIS2-Richtlinie gilt für öffentliche & private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme. Ausnahmen bestätigen die Regel!
  • Die NIS2-Richtlinie muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Bei Verstößen gegen die NIS2-Richtlinie drohen hohe Geldstrafen.

Zum NIS2-Richtlinie PDF der EU

Wettbewerbsvorteil: Prädikat „sicher“

Und trotzdem sollten Unternehmen diese Notwendigkeit nicht nur als Belastung sehen. Sondern vielmehr auch als Chance, ihre eigene Widerstandsfähigkeit gegenüber Cyberbedrohungen zu stärken. Die Umsetzung kann auch helfen, sich am Markt als vertrauenswürdiger Partner zu positionieren, denn Kunden legen zunehmend Wert auf Datenschutz und -sicherheit.

E-Book NIS2-Richtlinie im Überblick

Was Sie jetzt wissen müssen!

Erfahren Sie in unserem kostenlosen E-Book:

  • Wen betrifft NIS2?
  • Was müssen betroffene Unternehmen tun?
  • 3 Punkte, die Sie jetzt angehen sollten

 

Andreas Rietz; Head of Infrastructure & Platform Services

Ihr Ansprechpartner : Andreas Rietz

Aktuelle Beiträge

Zur Newsübersicht

Aktuelle Veranstaltungen bei ORBIT

  • Online-Seminar | E-Rechnung – ab 2025 Pflicht | 11.09.2024

    Machen Sie sich fit für den Empfang und Versand von E-Rechnungen, der am 1. Januar 2025 verpflichtend geregelt sein muss. Gerne in unserem Online-Seminar zum Thema "E-Rechnung"!

    Online
    Zur Veranstaltung

  • Online-Seminar | KI im Vertrieb – das bringt‘s wirklich!

    Eins steht fest: Microsoft-KI Copilot macht Ihr bestehendes CRM-System schlauer!

    Online
    Zur Veranstaltung

  • Online-Seminar | Field Service: Ressourcen steuern per Plantafel | 08.10.2024

    Praxisnah, anschaulich, beeindruckend – so leicht managen Sie den Ressourcen-Einsatz mit der Plantafel und steigern die Zufriedenheit Ihrer Kunden!

    Online
    Zur Veranstaltung

  • Online-Seminar | E-Rechnung – ab 2025 Pflicht | 12.11.2024

    Machen Sie sich fit für den Empfang und Versand von E-Rechnungen, der am 1. Januar 2025 verpflichtend geregelt sein muss. Gerne in unserem Online-Seminar zum Thema "E-Rechnung"!

    Online
    Zur Veranstaltung