Suche

Verstehen Sie manchmal nur IT?

Im IT-Lexikon erklären wir die wichtigsten Begriffe aus den Bereichen IT, Digitalisierung und Technik.

» Zum IT-Lexikon

Startseite / Blog

Blog der Makro Factory

NIS 2-Richtlinie: Das müssen Unternehmen beachten

NIS 2-Richtlinie: Das müssen Unternehmen jetzt beachten

Wird ein Unternehmen Opfer eines Cyberangriffs, sind die Geschädigten dazu verpflichtet, den Vorfall behördlich zu melden. Viele Unternehmer:innen wissen jedoch nicht, welche Regelungen der Gesetzgeber unter diesen Umständen vorschreibt. Die neue NIS 2-Richtlinie soll EU-weit für mehr Klarheit, Cybersicherheit und auch Konsequenzen bei Verstößen sorgen.

Doch welche Neuerungen ergeben sich aus dem Inkrafttreten der NIS 2-Richtlinie und was müssen betroffene Unternehmen jetzt beachten?

Richtlinie zur Netzwerk- und Informationssicherheit (NIS)

Im digitalen Zeitalter sind kritische Infrastrukturen wie Energieversorgung, Verkehrssysteme und Gesundheitswesen zunehmend von Cyberangriffen bedroht. Um diesen Gefahren entgegenzuwirken, hat die Europäische Union (EU) die Richtlinie zur Netzwerk- und Informationssicherheit (NIS) entwickelt.

Die NIS 1-Richtlinie von 2016 regelte die Sicherheitsstandards für Betreiber kritischer Infrastrukturen mit wichtigen Versorgungsfunktionen in der gesamten EU. Dazu zählen zum Beispiel die Gesundheitsversorgung, Energie und Wasser, Transport und Finanzmärkte. Kritisiert wurden an der NIS 1-Richtlinie zu frei formulierten Vorgaben, sowie die mangelnde Überwachung bei der praktischen Umsetzung und fehlende Konsequenzen bei Verstößen.

Die NIS 2 -Richtlinie baut inhaltlich auf der NIS 1-Richtlinie auf, verschärft jedoch entsprechend der Kritik an diversen Stellen die Anforderungen, Maßstäbe sowie Kontroll- und Sanktionsmöglichkeiten. Außerdem zielt die Weiterentwicklung zu NIS 2 darauf ab, den sich ständig verändernden Bedrohungen im digitalen Bereich gerecht zu werden.

Erweiterter Anwendungsbereich durch NIS 2-Richtlinie

NIS 2-Richtlinie erweitert den Anwendungsbereich auf insgesamt achtzehn Sektoren mit Versorgungsfunktionen und entscheidender Bedeutung für Wirtschaft und öffentliches Leben. Die bisherige Differenzierung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste wird mit Inkrafttreten der NIS-2-Richtlinie aufgegeben. Stattdessen wird nun zwischen „wesentlichen“ und „wichtigen“ Einrichtungen unterschieden. Auch alle größeren Industrieunternehmen sind in den NIS 2 -Richtlinien mit eingeschlossen.

Neue Sektoren im Bereich „wesentliche“ Einrichtungen sind Abwasser, digitale Infrastruktur, ICT Service Management, öffentliche Verwaltung und Weltraum. Im Sektor „wichtige“ Einrichtungen sind die Bereiche Post- und Kurierdienst, Abfallwirtschaft, Produktion, Herstellung und Handel von chemischen Stoffen, Waren und Lebensmittel sowie Anbieter digitaler Dienste.

Weitere Änderungen der aktualisierten NIS 2-Richtlinie

Die NIS 2-Richtlinie hält für Unternehmen durch den erweiterten Pflichtenkatalog einen ganzen Strauß neuer Regelungen bereit. Stärker als noch in der Vorgängerrichtlinie sind Unternehmen zu Risikomanagement-Maßnahmen und Meldepflicht angewiesen. Die folgenden Punkte geben einen Überblick über weitere Änderungen:

  • Verfahren für die Verbesserung der Cybersicherheit sind nun verpflichtend.
  • Unternehmen und Organisationen müssen für einen verbesserten Risikomanagementansatz sorgen.
  • Auch Lieferketten und Abhängigkeiten von Partnerunternehmen sollen unter diesem Aspekt betrachtet werden.
  • Bei Nichteinhaltung der Empfehlungen zum Risikomanagement können erhebliche Geldstrafen verhängt werden.
  • Nationale Behörden haben eine Überwachungs- und Kontrollfunktion.
  • Meldepflichten werden eingeführt: Organisationen müssen Cybersicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden.

Was passiert, wenn NIS 2-Vorschriften nicht eingehalten werden?

Wie bereits oben erwähnt, wird in der NIS 2-Richtlinie zwischen „wesentlichen“ Unternehmen und „wichtigen“ Unternehmen unterschieden. Dieser Unterschied wird insbesondere bei den vorgesehenen Geldstrafen bei Nichteinhaltung deutlich. Außerdem unterliegen wichtige Unternehmen einer reaktiven Aufsicht durch Behörden, im Gegensatz zu einer proaktiven Aufsicht für „wesentliche“ Unternehmen.

Handelt es sich um eine wesentliche Einrichtung, sind mit Sanktionen von mindestens zehn Millionen Euro zu rechnen oder zwei Prozent des Jahresumsatzes der jeweiligen Einrichtung. Für wichtige Einrichtungen liegen die Bußgelder bei mindestens sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes, abhängig davon welcher Betrag höher ist.

In der EU soll es nicht mehr wie bisher verschiedene Schwellenwerte geben, sondern Betroffenheit nach uniformen Kriterien ermittelt werden.

Unter diese Regulierung fallen mittlere und große Unternehmen:

  • Mittlere Unternehmen: mind. 50 Beschäftigte, Jahresumsatz/Jahresbilanz 10-50 Mio. Euro
  • Große Unternehmen: mind. 250 Beschäftigte, Jahresumsatz > 50 Mio. Euro, Jahresbilanz > 43 Mio.

Dadurch wird der Anwendungsbereich auch in Deutschland enorm ausgeweitet.

NIS 2-Richtlinie: Bedeutung für Unternehmen

Angesichts der steigenden Bedrohung im digitalen Raum und der Einführung der NIS 2-Richtlinie ist es für direkt betroffene Unternehmen entscheidend, proaktiv zu handeln. Hier sind einige Handlungsaufforderungen, die Unternehmen ergreifen können:

Bewertung und Anpassung der Sicherheitsmaßnahmen
Unternehmen sollten ihre bestehenden Sicherheitsmaßnahmen überprüfen und sicherstellen, dass sie den verschärften Anforderungen der NIS 2-Richtlinie entsprechen. Dies kann die Implementierung robuster Authentifizierungsverfahren, Verschlüsselungstechnologien und Zugriffskontrollen umfassen.

Investitionen in Schulungen und Fachkräfte
Die Sensibilisierung der Mitarbeiter für Cybersicherheit ist von entscheidender Bedeutung. Unternehmen sollten Schulungen und Schulungsprogramme bereitstellen, um das Bewusstsein für potenzielle Bedrohungen zu schärfen und sicherzustellen, dass Mitarbeitende wissen, wie sie angemessen reagieren und verdächtige Aktivitäten erkennen können. Zusätzlich sollten Fachkräfte mit dem nötigen Know-how eingestellt oder geschult werden, um die Sicherheitsinfrastruktur zu warten und mögliche Sicherheitsvorfälle effektiv zu bewältigen.

Zusammenarbeit und Informationsaustausch 
Unternehmen sollten aktiv mit anderen Organisationen, Sicherheitsbehörden und Branchenverbänden zusammenarbeiten, um Bedrohungen gemeinsam zu bekämpfen und bewährte Verfahren auszutauschen. Der Informationsaustausch über Sicherheitsvorfälle und Bedrohungsinformationen ist von großer Bedeutung, um eine schnellere Reaktion auf neue Bedrohungen zu ermöglichen.

Regelmäßige Sicherheitsaudits und Tests
Unternehmen sollten regelmäßige Sicherheitsaudits und Penetrationstests durchführen, um die Effektivität ihrer Sicherheitsmaßnahmen zu überprüfen und Schwachstellen zu identifizieren. Durch kontinuierliche Überprüfungen und Tests können Unternehmen potenzielle Lücken in ihrer Sicherheitsinfrastruktur erkennen und entsprechende Maßnahmen ergreifen, um diese zu beheben.

NIS 2 stellt eine bedeutende Weiterentwicklung im Bereich der Cybersicherheit für kritische Infrastrukturen dar. Indem Unternehmen die oben genannten Handlungsaufforderungen umsetzen, können sie ihre Widerstandsfähigkeit gegenüber Cyberangriffen stärken und dazu beitragen, die Sicherheit unserer vernetzten Gesellschaft zu gewährleisten.

Direkt betroffene Unternehmen müssen jetzt handeln

Nach Inkrafttreten der NIS 2-Richtlinie am 16. Januar 2023 verbleiben Deutschland und den anderen EU-Mitgliedsstaaten 21 Monate, um die Regelungen in nationales Recht umzusetzen und bestehende Vorschriften an die neue Rechtslage anzupassen. Für die direkt betroffenen Unternehmen besteht allerdings schon heute Handlungsbedarf.

Folgende Themen können Unternehmen bereits jetzt angehen, um den NIS 2 -Richtlinien zu entsprechen:

  • Risikoanalyse
  • Krisenmanagement
  • Sicherheit der Lieferkette
  • Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen des Risikomanagements
  • Einsatz von Kryptografie und Verschlüsselung

Fazit und Ausblick

Die NIS 2-Richtlinie beinhaltet etliche Neuerungen, um die EU für die erhöhten Anforderungen an die Cybersicherheitslage zu rüsten. Für ihre Mitgliedsstaaten wie auch für die direkt betroffenen Unternehmen ergeben sich aus der Reform vielfache Verpflichtungen. Einrichtungen, die nun erstmals von der Richtlinie erfasst sind, werden mit einer Erhöhung ihres Cybersicherheitsbudgets rechnen müssen. Unternehmen, die hingegen bereits im Rahmen der Vorgängerregelung entsprechende Maßnahmen ergreifen mussten, haben geringere zusätzliche Kosten zu erwarten.

Es bleibt abzuwarten, wie der deutsche Gesetzgeber das geltende Recht auf Grundlage der Neuerungen der NIS 2-Richtlinie anpassen wird. Bis zum 16. Oktober 2027 ist die Richtlinie in ihrer Anwendung und Überprüfung anzupassen, bevor ihre Vorgängerregelung mit Wirkung zum 18. Oktober 2027 aufgehoben wird.

Sie haben noch Fragen oder benötigen Unterstützung?

Dann kommen Sie gerne auf uns zu. Wir helfen Ihnen bei der Umsetzung und unterstützen Sie dabei, sich vor Cyberangriffen zu schützen!

Nach oben scrollen