Wird ein Unternehmen Opfer eines Cyberangriffs, sind die Geschädigten dazu verpflichtet, den Vorfall behördlich zu melden. Viele Unternehmer:innen wissen jedoch nicht, welche Regelungen der Gesetzgeber unter diesen Umständen vorschreibt. Die neue NIS 2-Richtlinie soll EU-weit für mehr Klarheit, Cybersicherheit und auch Konsequenzen bei Verstößen sorgen.
Doch welche Neuerungen ergeben sich aus dem Inkrafttreten der NIS 2-Richtlinie und was müssen betroffene Unternehmen jetzt beachten?
Richtlinie zur Netzwerk- und Informationssicherheit (NIS)
Im digitalen Zeitalter sind kritische Infrastrukturen wie Energieversorgung, Verkehrssysteme und Gesundheitswesen zunehmend von Cyberangriffen bedroht. Um diesen Gefahren entgegenzuwirken, hat die Europäische Union (EU) die Richtlinie zur Netzwerk- und Informationssicherheit (NIS) entwickelt.
Die NIS 1-Richtlinie von 2016 regelte die Sicherheitsstandards für Betreiber kritischer Infrastrukturen mit wichtigen Versorgungsfunktionen in der gesamten EU. Dazu zählen zum Beispiel die Gesundheitsversorgung, Energie und Wasser, Transport und Finanzmärkte. Kritisiert wurden an der NIS 1-Richtlinie zu frei formulierten Vorgaben, sowie die mangelnde Überwachung bei der praktischen Umsetzung und fehlende Konsequenzen bei Verstößen.
Die NIS 2 -Richtlinie baut inhaltlich auf der NIS 1-Richtlinie auf, verschärft jedoch entsprechend der Kritik an diversen Stellen die Anforderungen, Maßstäbe sowie Kontroll- und Sanktionsmöglichkeiten. Außerdem zielt die Weiterentwicklung zu NIS 2 darauf ab, den sich ständig verändernden Bedrohungen im digitalen Bereich gerecht zu werden.
"Cybersecurity und die neue Rechtslage". Jetzt downloaden!
Erweiterter Anwendungsbereich durch NIS 2-Richtlinie
NIS 2-Richtlinie erweitert den Anwendungsbereich auf insgesamt achtzehn Sektoren mit Versorgungsfunktionen und entscheidender Bedeutung für Wirtschaft und öffentliches Leben. Die bisherige Differenzierung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste wird mit Inkrafttreten der NIS-2-Richtlinie aufgegeben. Stattdessen wird nun zwischen „wesentlichen“ und „wichtigen“ Einrichtungen unterschieden. Auch alle größeren Industrieunternehmen sind in den NIS 2 -Richtlinien mit eingeschlossen.
Neue Sektoren im Bereich „wesentliche“ Einrichtungen sind Abwasser, digitale Infrastruktur, ICT Service ManagementService Management bezeichnet die Gesamtheit der Prozesse und Methoden, die für die Planung, Lieferung, Betrieb und Kontrolle der IT-Services einer Organisation verwendet werden, um eine effiziente und effektive Technologieunterstützung für…, öffentliche Verwaltung und Weltraum. Im Sektor „wichtige“ Einrichtungen sind die Bereiche Post- und Kurierdienst, Abfallwirtschaft, Produktion, Herstellung und Handel von chemischen Stoffen, Waren und Lebensmittel sowie Anbieter digitaler Dienste.
Weitere Änderungen der aktualisierten NIS 2-Richtlinie
Die NIS 2-Richtlinie hält für Unternehmen durch den erweiterten Pflichtenkatalog einen ganzen Strauß neuer Regelungen bereit. Stärker als noch in der Vorgängerrichtlinie sind Unternehmen zu Risikomanagement-Maßnahmen und Meldepflicht angewiesen. Die folgenden Punkte geben einen Überblick über weitere Änderungen:
- Verfahren für die Verbesserung der Cybersicherheit sind nun verpflichtend.
- Unternehmen und Organisationen müssen für einen verbesserten Risikomanagementansatz sorgen.
- Auch Lieferketten und Abhängigkeiten von Partnerunternehmen sollen unter diesem Aspekt betrachtet werden.
- Bei Nichteinhaltung der Empfehlungen zum Risikomanagement können erhebliche Geldstrafen verhängt werden.
- Nationale Behörden haben eine Überwachungs- und Kontrollfunktion.
- Meldepflichten werden eingeführt: Organisationen müssen Cybersicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden.
Was passiert, wenn NIS 2-Vorschriften nicht eingehalten werden?
Wie bereits oben erwähnt, wird in der NIS 2-Richtlinie zwischen „wesentlichen“ Unternehmen und „wichtigen“ Unternehmen unterschieden. Dieser Unterschied wird insbesondere bei den vorgesehenen Geldstrafen bei Nichteinhaltung deutlich. Außerdem unterliegen wichtige Unternehmen einer reaktiven Aufsicht durch Behörden, im Gegensatz zu einer proaktiven Aufsicht für „wesentliche“ Unternehmen.
Handelt es sich um eine wesentliche Einrichtung, sind mit Sanktionen von mindestens zehn Millionen Euro zu rechnen oder zwei Prozent des Jahresumsatzes der jeweiligen Einrichtung. Für wichtige Einrichtungen liegen die Bußgelder bei mindestens sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes, abhängig davon welcher Betrag höher ist.
In der EU soll es nicht mehr wie bisher verschiedene Schwellenwerte geben, sondern Betroffenheit nach uniformen Kriterien ermittelt werden.
Unter diese Regulierung fallen mittlere und große Unternehmen:
- Mittlere Unternehmen: mind. 50 Beschäftigte, Jahresumsatz/Jahresbilanz 10-50 Mio. Euro
- Große Unternehmen: mind. 250 Beschäftigte, Jahresumsatz > 50 Mio. Euro, Jahresbilanz > 43 Mio.
Dadurch wird der Anwendungsbereich auch in Deutschland enorm ausgeweitet.
NIS 2-Richtlinie: Bedeutung für Unternehmen
Angesichts der steigenden Bedrohung im digitalen Raum und der Einführung der NIS 2-Richtlinie ist es für direkt betroffene Unternehmen entscheidend, proaktiv zu handeln. Hier sind einige Handlungsaufforderungen, die Unternehmen ergreifen können:
Bewertung und Anpassung der Sicherheitsmaßnahmen
Unternehmen sollten ihre bestehenden Sicherheitsmaßnahmen überprüfen und sicherstellen, dass sie den verschärften Anforderungen der NIS 2-Richtlinie entsprechen. Dies kann die Implementierung robuster Authentifizierungsverfahren, Verschlüsselungstechnologien und Zugriffskontrollen umfassen.
Investitionen in Schulungen und Fachkräfte
Die Sensibilisierung der Mitarbeiter für Cybersicherheit ist von entscheidender Bedeutung. Unternehmen sollten Schulungen und Schulungsprogramme bereitstellen, um das Bewusstsein für potenzielle Bedrohungen zu schärfen und sicherzustellen, dass Mitarbeitende wissen, wie sie angemessen reagieren und verdächtige Aktivitäten erkennen können. Zusätzlich sollten Fachkräfte mit dem nötigen Know-how eingestellt oder geschult werden, um die Sicherheitsinfrastruktur zu warten und mögliche Sicherheitsvorfälle effektiv zu bewältigen.
Zusammenarbeit und Informationsaustausch
Unternehmen sollten aktiv mit anderen Organisationen, Sicherheitsbehörden und Branchenverbänden zusammenarbeiten, um Bedrohungen gemeinsam zu bekämpfen und bewährte Verfahren auszutauschen. Der Informationsaustausch über Sicherheitsvorfälle und Bedrohungsinformationen ist von großer Bedeutung, um eine schnellere Reaktion auf neue Bedrohungen zu ermöglichen.
Regelmäßige Sicherheitsaudits und Tests
Unternehmen sollten regelmäßige Sicherheitsaudits und Penetrationstests durchführen, um die Effektivität ihrer Sicherheitsmaßnahmen zu überprüfen und Schwachstellen zu identifizieren. Durch kontinuierliche Überprüfungen und Tests können Unternehmen potenzielle Lücken in ihrer Sicherheitsinfrastruktur erkennen und entsprechende Maßnahmen ergreifen, um diese zu beheben.
NIS 2 stellt eine bedeutende Weiterentwicklung im Bereich der Cybersicherheit für kritische Infrastrukturen dar. Indem Unternehmen die oben genannten Handlungsaufforderungen umsetzen, können sie ihre Widerstandsfähigkeit gegenüber Cyberangriffen stärken und dazu beitragen, die Sicherheit unserer vernetzten Gesellschaft zu gewährleisten.
Direkt betroffene Unternehmen müssen jetzt handeln
Nach Inkrafttreten der NIS 2-Richtlinie am 16. Januar 2023 verbleiben Deutschland und den anderen EU-Mitgliedsstaaten 21 Monate, um die Regelungen in nationales Recht umzusetzen und bestehende Vorschriften an die neue Rechtslage anzupassen. Für die direkt betroffenen Unternehmen besteht allerdings schon heute Handlungsbedarf.
Folgende Themen können Unternehmen bereits jetzt angehen, um den NIS 2 -Richtlinien zu entsprechen:
- Risikoanalyse
- Krisenmanagement
- Sicherheit der Lieferkette
- Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen des Risikomanagements
- Einsatz von Kryptografie und Verschlüsselung
Fazit und Ausblick
Die NIS 2-Richtlinie beinhaltet etliche Neuerungen, um die EU für die erhöhten Anforderungen an die Cybersicherheitslage zu rüsten. Für ihre Mitgliedsstaaten wie auch für die direkt betroffenen Unternehmen ergeben sich aus der Reform vielfache Verpflichtungen. Einrichtungen, die nun erstmals von der Richtlinie erfasst sind, werden mit einer Erhöhung ihres Cybersicherheitsbudgets rechnen müssen. Unternehmen, die hingegen bereits im Rahmen der Vorgängerregelung entsprechende Maßnahmen ergreifen mussten, haben geringere zusätzliche Kosten zu erwarten.
Es bleibt abzuwarten, wie der deutsche Gesetzgeber das geltende Recht auf Grundlage der Neuerungen der NIS 2-Richtlinie anpassen wird. Bis zum 16. Oktober 2024 ist die Richtlinie in ihrer Anwendung und Überprüfung anzupassen, bevor ihre Vorgängerregelung mit Wirkung zum 18. Oktober 2024 aufgehoben wird.
Sie haben noch Fragen oder benötigen Unterstützung?
Im Assessment NIS 2.0: Anforderungen und Herausforderungen arbeiten unsere Experten gemeinsam mit Ihnen auf Grundlage der NIS2-Richtlinie heraus, inwieweit das Unternehmen bereits die neuen gesetzlichen Vorgaben erfüllt und wo ggf. noch Handlungsbedarf besteht. Vereinbaren Sie gerne einen Beratungstermin.
© 2024 Makro Factory GmbH & Co. KG