NIS2-Richtlinie umsetzen – sind Sie vorbereitet?

Wurden Sie schon mal Opfer einer Cyber-Attacke? "Auf jeden Fall", "Eigentlich jeden Tag". Die überarbeitete NIS-Richtlinie will dagegen angehen und bedeutet mit dem NIS2-Umsetzungsgesetz für einige Unternehmen: Handlungsbedarf! Doch was ist zu tun?

Bild zur NIS2-Richtlinie mit gelben Umschlag

NIS2-Richtlinie – aktualisiert & verbessert

Mit Einführung der Richtlinie Netz- und Informationssystemsicherheit (NIS) hat die Europäische Union 2016 einen wichtigen Schritt gemacht, um die Cybersicherheit der Mitgliedstaaten zu stärken und Meldepflichten bei Sicherheitsvorfällen festzulegen. Doch die Umsetzung war nicht konsistent und offenbarte Schwachstellen. Besonders problematisch waren folgende Punkte:

  • die unterschiedlichen Interpretationen der Vorschriften durch die Mitgliedstaaten
  • eine begrenzte Reichweite bezüglich betroffener Sektoren und Unternehmen
  • Herausforderungen bei der grenzüberschreitenden Zusammenarbeit im Falle von Cybersicherheitsvorfällen

Die jetzt überarbeitete Version schließt diese Lücken, indem sie klare Vorgaben macht, den Anwendungsbereich erweitert und die Zusammenarbeit zwischen den Mitgliedstaaten verbessert. Ziel dabei ist, ein hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten (NIS2-Richtlinie PDF). Oder mit anderen Worten: einen Mindeststandard setzt.

In Deutschland wird die NIS2-Richtlinie durch das NIS2-Umsetzungsgesetz (Referententwurf Mai 2024) verbindlich umgesetzt. Bis voraussichtlich Oktober 2024 müssen EU-Mitgliedsstaaten die NIS2-Richtlinie in lokale Gesetzgebung überführen und nationale Betreiber mit Cybersicherheit regulieren (dazu: NIS2-Umsetzungsgesetz verzögert sich). Doch mit der NIS2-Richtlinie steigt nicht nur die Zahl der betroffenen Unternehmen, sondern auch die Anforderungen an diese. Ignoranz oder Unwissen werden mit hohen Sanktionen von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes bestraft.

NIS2-Richtlinie: Wer ist betroffen?

Schätzungsweise sind allein in Deutschland zukünftig etwa 30.000 Unternehmen von der NIS2-Richtlinie betroffen. Nicht berücksichtigt sind dabei die Zulieferer solcher Unternehmen. Die NIS2-Richtlinie erweitert den Anwendungsbereich auf mehr Sektoren und Unternehmen. Außerdem werden im NIS2-Umsetzungsgesetz wichtige und wesentlichen Einrichtungen genauer definiert:

Wichtige Einrichtungen

Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die nationale Sicherheit, das wirtschaftliche oder öffentliche Wohl haben könnten. Beispiele hierfür sind Betreiber kritischer Infrastrukturen wie Energieversorger oder Finanzinstitutionen.

Wesentliche Einrichtungen

Einrichtungen, die für die Aufrechterhaltung wichtiger gesellschaftlicher oder wirtschaftlicher Aktivitäten notwendig sind. Dazu zählen beispielsweise Lebensmittelunternehmen oder digitale Infrastrukturanbieter. Das sogenannte „Size Cap“ bedeutet, dass alle mittleren und großen Unternehmen in den relevanten Sektoren automatisch unter die Richtlinie fallen, während kleine und Kleinstunternehmen ausgenommen sind. Es sei denn, sie sind Teil einer kritischen Lieferkette.

Mehr als bisher, weniger als gedacht

Entsprechend dem Entwurf gibt es 444.055 Unternehmen mit mindestens 10 Beschäftigten. Betroffen von dem NIS2-Umsetzungsgesetz sind davon lediglich 17.900 „wichtige Unternehmen“ und 2.950 „besonders wichtige Unternehmen“. Alle anderen Unternehmen sind bereits heute vergleichbaren Regelungen unterworfen. Sie sind schon gut hinsichtlich Cybersicherheit aufgestellt (kein Handlungsbedarf) oder fallen nicht in die Kategorien der betroffenen Unternehmen. Lesen Sie dazu mehr im Blogbeitrag unseres Experten Uwe Alkemper Kosten & Nutzen NIS2-Umsetzungsgesetz).

Zu beachten: Verantwortung Geschäftsführung (Art. 20)

Geschäftsführung und andere Leitungsorgane von Unternehmen sind für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haftbar.

Die Geschäftsführung

  • muss die Umsetzung der Maßnahmen überwachen und haftet für Verstöße und
  • muss an Schulungen teilnehmen und diese den Beschäftigten anbieten

Anforderungen an Unternehmen

Betroffene Unternehmen müssen gemäß NIS2-Richtlinie bzw. NIS2-Umsetzungsgesetz verschiedene technische und organisatorische Maßnahmen ergreifen.

Notwendige Maßnahmen:

  • Richtlinien zur Cybersicherheit & Risiko-Management: Unternehmen müssen klare Richtlinien etablieren, um so ihre Cybersicherheitsrisiken zu identifizieren, zu bewerten und zu mindern.
  • Incident- und Business Continuity Management: Es müssen Prozesse vorhanden sein, um auf Sicherheitsvorfälle reagieren zu können sowie Strategien zur Aufrechterhaltung kritischer Geschäftsprozesse (s. Thema Notfallhandbuch).
  • Überwachung der Lieferketten: Unternehmen haben sicherzustellen, dass ihre Lieferanten ebenfalls angemessene Sicherheitsmaßnahmen treffen.
  • Bewertung der Maßnahmeneffektivität: Die Wirksamkeit der implementierten Sicherheitsmaßnahmen muss regelmäßig überprüft werden.
  • Maßnahmen zur personellen Sicherheit: Mitarbeiter*innen sollten hinsichtlich potentieller Cyberbedrohungen geschult werden.
  • Umsetzung von kryptographischen Maßnahmen: Verschlüsselungstechnologien sollten zum Schutz sensibler Daten eingesetzt werden.
  • Zugangskontrollen: Der Zugriff auf Systeme sollte durch sichere Authentifizierungsverfahren streng reguliert werden.
  • Asset Management: Alle Vermögenswerte sollten genau dokumentiert sein, um eine effektive Überwachung zu ermöglichen.
  • Sichere Kommunikationsmöglichkeiten: Kommunikationssysteme müssen auch im Notfall funktionstüchtig bleiben.

Die oben genannten Maßnahmen sollen nach dem aktuellen Stand der Technik umgesetzt werden. Erwägungsgrund 89 (NIS2-Richtlinie PDF 89) enthält daher ergänzende Punkte, um die Netz- und Informationssysteme abzusichern. Zum Beispiel:

Hinzu kommen noch Melde- und Registrierungspflichten, für die im Unternehmen entsprechende Verfahren definiert werden müssen.

Zu beachten: Meldepflicht von Sicherheitsvorfällen (Art. 23)

Nach NIS2-Richtlinie müssen erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfänger*innen der eigenen Dienste gemeldet werden. So sieht die NIS2-Richtlinie folgende Fristen vor, um den Vorfall der Behörde zu melden:

  • Frühwarnungen innerhalb von 24 h ab Kenntnis
  • Qualifizierte Meldungen (ausführlicher Bericht) innerhalb von 72 h ab Kenntnis
  • Anlassbezogene Zwischenmeldungen und Abschlussbericht innerhalb eines Monats

Fazit: Sehen Sie es positiv!

Die neuen Anforderungen sind für Unternehmen ohne etabliertes Informationssicherheits-Management eine Herausforderung. Interne Prozesse im Unternehmen gilt es zu überprüfen und anzupassen. Das kann auch bedeuten, dass weitere Rollen (sogar Teams) definiert und etabliert werden müssen, etwa um Risiken bewerten und behandeln zu können. Systeme zur Angriffserkennung unterstützen dabei ergänzend mit wertvollen Informationen.

Und was passiert, wenn man die neue Richtlinie und das NIS2-Umsetzungsgesetz einfach nicht beachtet? Gar keine gute Idee! Unternehmen müssen mit rechtlichen Konsequenzen einschließlich hoher Geldbußen rechnen. Und nicht nur das! Da betroffene Unternehmen auch Einkaufsstrategie und Lieferketten prüfen müssen, bedeutet das unter Umständen den Verlust langjähriger Partnerschaften und Aufträge für Zulieferer.

Zusammenfassung NIS2-Richtlinie – auf einen Blick

  • Die NIS2-Richtlinie ist eine Weiterentwicklung der NIS-Richtlinie der EU, die zum Ziel hat, die Cybersicherheit zu stärken und dadurch kritische Infrastrukturen zu schützen.
  • Das NIS2-Umsetzungsgesetz sorgt für die verbindliche Umsetzung des Gesetzes in Deutschland.
  • Unternehmen, die unter die NIS2-Richtlinie fallen, müssen Sicherheitsvorfälle melden und geeignete Sicherheitsmaßnahmen ergreifen.
  • Die NIS2-Richtlinie gilt für öffentliche & private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme. Ausnahmen bestätigen die Regel!
  • Die NIS2-Richtlinie muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Bei Verstößen gegen die NIS2-Richtlinie drohen hohe Geldstrafen.

Zum NIS2-Richtlinie PDF der EU

Wettbewerbsvorteil: Prädikat „sicher“

Und trotzdem sollten Unternehmen diese Notwendigkeit nicht nur als Belastung sehen. Sondern vielmehr auch als Chance, ihre eigene Widerstandsfähigkeit gegenüber Cyberbedrohungen zu stärken. Die Umsetzung kann auch helfen, sich am Markt als vertrauenswürdiger Partner zu positionieren, denn Kunden legen zunehmend Wert auf Datenschutz und -sicherheit.

E-Book: NIS2-Richtlinie im Überblick

  • E-Book NIS2-Richtlinie PDF Download

    Was Sie jetzt wissen müssen

    Erfahren Sie in unserem kostenlosen E-Book:

    • Wen betrifft NIS2?
    • Was müssen Sie als betroffenes Unternehmen tun?
    • Welche 3 Punkte sollten Sie jetzt angehen?
    Vorschau anzeigen
Andreas Rietz; Head of Infrastructure & Platform Services

Ihr Ansprechpartner : Andreas Rietz

Aktuelle Beiträge

Aktuelle Veranstaltungen bei ORBIT

  • Online-Seminar | Warum ist ein Modern Intranet für Unternehmen so wichtig?

    Erweitern Sie Ihre Modern-Workplace-Strategie durch das Einführen eines Modern Intranets und steigern Sie so die Employee Experience in Ihrem Unternehmen.

  • Online-Seminar | KI im Kundenservice | 26.11.2024

    Spannungsfeld Kundenservice: Mit dem Copilot schaffen Sie den Spagat zwischen hohen Ansprüchen und knappen Ressourcen.

  • Online-Seminar | Dynamics 365 CRM – what’s new? ORBIT informiert! | 13.12.2024

    Die CRM-Lösungen von Microsoft werden immer leistungsfähiger. Welche Neuheiten sind für Unternehmen aus dem Mittelstand interessant? Was bringt die Integration von KI? Unsere CRM-Experten halten Sie auf dem Laufenden.

  • Online-Seminar | Digitalisierung im Vertrieb Maschinenbau | 04.02.2025

    Der Maschinenbau in Deutschland steht unter Druck – erfahren Sie in diesem Online-Seminar, wie Sie digitale Lösungen nutzen, um Ihre Unternehmensziele dennoch zu erreichen!