NIS2-Richtlinie umsetzen – sind Sie vorbereitet?

Wurden Sie schon mal Opfer einer Cyber-Attacke? "Auf jeden Fall", "Eigentlich jeden Tag". Die überarbeitete NIS-Richtlinie will dagegen angehen ... und bedeutet für Unternehmen erstmal eines: Arbeit. Aber was genau müssen Sie nun dringend tun?

Bild zur NIS2-Richtlinie mit gelben Umschlag

NIS2-Richtlinie – aktualisiert & verbessert

Mit Einführung der Richtlinie Netz- und Informationssystemsicherheit (NIS) hat die Europäische Union 2016 einen wichtigen Schritt gemacht, um die Cybersicherheit der Mitgliedstaaten zu stärken und Meldepflichten bei Sicherheitsvorfällen festzulegen. Doch die Umsetzung war nicht konsistent und offenbarte Schwachstellen. Besonders problematisch waren folgende Punkte:

  • die unterschiedlichen Interpretationen der Vorschriften durch die Mitgliedstaaten
  • eine begrenzte Reichweite bezüglich betroffener Sektoren und Unternehmen
  • Herausforderungen bei der grenzüberschreitenden Zusammenarbeit im Falle von Cybersicherheitsvorfällen

Die jetzt überarbeitete Version schließt diese Lücken, indem sie klare Vorgaben macht, den Anwendungsbereich erweitert und die Zusammenarbeit zwischen den Mitgliedstaaten verbessert. Ziel ist es, ein hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten (NIS2-Richtlinie PDF).

Bis Oktober 2024 müssen EU-Mitgliedsstaaten die NIS2-Richtlinie in lokale Gesetzgebung überführen und nationale Betreiber mit Cybersicherheit regulieren. Mit der NIS2-Richtlinie steigt nicht nur die Zahl der betroffenen Unternehmen, sondern auch die Anforderungen an diese. Ignoranz oder Unwissen werden mit hohen Sanktionen von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes bestraft.

NIS2-Richtlinie: Wer ist betroffen?

Schätzungsweise sind allein in Deutschland zukünftig etwa 30.000 Unternehmen von der NIS2-Richtlinie betroffen. Nicht berücksichtigt sind die Zulieferer solcher Unternehmen. Die NIS2-Richtlinie erweitert den Anwendungsbereich auf mehr Sektoren und Unternehmen. Es wird zwischen wichtigen und wesentlichen Einrichtungen unterschieden.

Wichtige Einrichtungen

Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die nationale Sicherheit, das wirtschaftliche oder öffentliche Wohl haben könnten. Beispiele hierfür sind Betreiber kritischer Infrastrukturen wie Energieversorger oder Finanzinstitutionen.

Wesentliche Einrichtungen

Einrichtungen, die für die Aufrechterhaltung wichtiger gesellschaftlicher oder wirtschaftlicher Aktivitäten notwendig sind. Dazu zählen beispielsweise Lebensmittelunternehmen oder digitale Infrastrukturanbieter. Das sogenannte „Size Cap“ bedeutet, dass alle mittleren und großen Unternehmen in den relevanten Sektoren automatisch unter die Richtlinie fallen, während kleine und Kleinstunternehmen ausgenommen sind. Es sei denn, sie sind Teil einer kritischen Lieferkette.

Zu beachten: Verantwortung Geschäftsführung (Art. 20)

Geschäftsführung und andere Leitungsorgane von Unternehmen sind für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haftbar.

Die Geschäftsführung

  • muss die Umsetzung der Maßnahmen überwachen und haftet für Verstöße
  • muss an Schulungen teilnehmen und diese den Beschäftigten anbieten

Anforderungen an Unternehmen

Betroffene Unternehmen müssen gemäß NIS2-Richtlinie verschiedene technische und organisatorische Maßnahmen ergreifen.

Notwendige Maßnahmen:

  • Richtlinien zur Cybersicherheit & Risiko-Management: Unternehmen müssen klare Richtlinien etablieren, um ihre Cybersicherheitsrisiken zu identifizieren, zu bewerten und zu mindern.
  • Incident- und Business Continuity Management: Es müssen Prozesse vorhanden sein, um auf Sicherheitsvorfälle reagieren zu können sowie Strategien zur Aufrechterhaltung kritischer Geschäftsprozesse (s. Thema Notfallhandbuch).
  • Überwachung der Lieferketten: Unternehmen haben sicherzustellen, dass ihre Lieferanten ebenfalls angemessene Sicherheitsmaßnahmen treffen.
  • Bewertung der Maßnahmeneffektivität: Die Wirksamkeit der implementierten Sicherheitsmaßnahmen muss regelmäßig überprüft werden.
  • Maßnahmen zur personellen Sicherheit: Mitarbeiter*innen sollten hinsichtlich potentieller Cyberbedrohungen geschult werden.
  • Umsetzung von kryptographischen Maßnahmen: Verschlüsselungstechnologien sollten zum Schutz sensibler Daten eingesetzt werden.
  • Zugangskontrollen: Der Zugriff auf Systeme sollte durch sichere Authentifizierungsverfahren streng reguliert werden.
  • Asset Management: Alle Vermögenswerte sollten genau dokumentiert sein, um eine effektive Überwachung zu ermöglichen.
  • Sichere Kommunikationsmöglichkeiten: Kommunikationssysteme müssen auch im Notfall funktionstüchtig bleiben.

Die genannten Maßnahmen sollen nach dem aktuellen Stand der Technik umgesetzt werden. Erwägungsgrund 89 (NIS2-Richtlinie PDF 89) enthält ergänzende Punkte, um die Netz- und Informationssysteme abzusichern. Zum Beispiel:

Hinzu kommen noch Melde- und Registrierungspflichten, für die im Unternehmen entsprechende Verfahren definiert werden müssen.

Zu beachten: Meldepflicht von Sicherheitsvorfällen (Art. 23)

Nach NIS2-Richtlinie müssen erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfänger*innen der eigenen Dienste gemeldet werden. So sieht die NIS2-Richtlinie folgende Fristen vor, um den Vorfall der Behörde zu melden:

  • Frühwarnungen innerhalb von 24 h ab Kenntnis
  • Qualifizierte Meldungen (ausführlicher Bericht) innerhalb von 72 h ab Kenntnis
  • Anlassbezogene Zwischenmeldungen und Abschlussbericht innerhalb eines Monats

Fazit: Sehen Sie es positiv!

Die neuen Anforderungen sind für Unternehmen ohne etabliertes Informationssicherheits-Management eine Herausforderung. Interne Prozesse im Unternehmen gilt es zu überprüfen und anzupassen. Das kann auch bedeuten, dass weitere Rollen (sogar Teams) definiert und etabliert werden müssen, etwa um Risiken bewerten und behandeln zu können. Systeme zur Angriffserkennung unterstützen ergänzend mit wertvollen Informationen.

Und was passiert, wenn man die neue Richtlinie einfach nicht beachtet? Gar keine gute Idee! Unternehmen müssen mit rechtlichen Konsequenzen einschließlich hoher Geldbußen rechnen. Und nicht nur das! Da betroffene Unternehmen auch Einkaufsstrategie und Lieferketten prüfen müssen, bedeutet das unter Umständen den Verlust langjähriger Partnerschaften und Aufträge für Zulieferer.

Zusammenfassung NIS2-Richtlinie – auf einen Blick

  • Die NIS2-Richtlinie ist eine Weiterentwicklung der NIS-Richtlinie der EU, die zum Ziel hat, die Cybersicherheit zu stärken und kritische Infrastrukturen zu schützen.
  • Unternehmen, die unter die NIS2-Richtlinie fallen, müssen Sicherheitsvorfälle melden und geeignete Sicherheitsmaßnahmen ergreifen.
  • Die NIS2-Richtlinie gilt für öffentliche & private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme. Ausnahmen bestätigen die Regel!
  • Die NIS2-Richtlinie muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Bei Verstößen gegen die NIS2-Richtlinie drohen hohe Geldstrafen.

Zum NIS2-Richtlinie PDF der EU

Wettbewerbsvorteil: Prädikat „sicher“

Und trotzdem sollten Unternehmen diese Notwendigkeit nicht nur als Belastung sehen. Sondern vielmehr auch als Chance, ihre eigene Widerstandsfähigkeit gegenüber Cyberbedrohungen zu stärken. Die Umsetzung kann auch helfen, sich am Markt als vertrauenswürdiger Partner zu positionieren, denn Kunden legen zunehmend Wert auf Datenschutz und -sicherheit.

Speed-Dating NIS-2: Nutzen Sie unser kostenloses Erstgespräch

15 Minuten | erste Fragen | erste Antworten | kostenlos & unverbindlich

  • Was ist neu bei NIS2?
  • Wie bereiten Sie sich vor?

Ihr Ansprechpartner : Andreas Rietz

Aktuelle Veranstaltungen bei ORBIT

  • Sales Summit 2024

    Treffen Sie ORBIT beim Sales Summit in Hamburg – der neuen Messe und Konferenz für Digitalisierung und Innovation im Vertrieb

  • Online-Seminar | KI im Kundenservice

    KI verbessert den Kundenservice durch effiziente Problemlösungen und schnelle Bearbeitung von Anfragen, was zu motivierten Mitarbeitenden und zufriedenen Kunden führt.

  • Online-Seminar | Im Fokus: ERP-Migration

    Informieren Sie sich über die Chancen eines modernen ERP-Systems und über die erfolgskritischen Faktoren im ERP-Projekt!

Aktuelle Projekte & Referenzen

  • PM Pfennings Mobility: Digitaler Lieferprozess

    Digitaler Lieferprozess, weniger Kosten: PM Pfennings Mobility plant die Auslieferung seiner Schmierstoffe jetzt digital und visuell.

  • Lehrer vor interaktivem Monitor, Schueler mit Tablets in Klasse lernen aufmerksam

    IT-Dienstleister: Migration und Konsolidierung von EPMM/Cores

    Die Migration und Konsolidierung von zwei EPMM/ Cores auf eine gemeinsame Plattform wurde durchgeführt, um eine individuelle, kostengünstigere und effizientere Lösung zu schaffen.

  • Automobilarbeiter mit Tablet in Hand, steht vor PKW und prueft Ergebnisse auf Bildschirm

    Migration und sichere Endpunktverwaltung für internationalen Automobilzulieferer

    Sämtliche Endgeräte wurden in die zentrale Intune Verwaltung integriert, um einen Automobilzulieferer gegen Risiken von innen und außen langfristig abzusichern.

  • Symbolbild: IT-Change-Management im CRM-Projekt: Hände von Mitarbeitenden vor einem Bildschirm mit Charts

    Consulting-Firma nutzt Change-Management im CRM-Projekt

    Von der Strategie über das Konzept bis hin zur Realisation – Change-Management sichert den IT-Projekterfolg.

Aktuelle Beiträge