Artikel
Risk & Cyber Insights
NIS-2: Die neue Cybersicherheits-Richtlinie und ihre Bedeutung für Unternehmen
Was ist NIS-2?
NIS ist eine EU-Richtlinie, wobei „NIS“ für „Network and Information Systems“ steht. NIS-2 ist ein Update zur bestehenden NIS-Richtlinie, die darauf abzielt, die Sicherheit der Informations- und Kommunikationstechnologie (IKT) innerhalb der EU zu stärken. Sie legt Anforderungen für angemessene Sicherheitsvorkehrungen fest, um Cyberbedrohungen zu erkennen, ihnen entgegenzuwirken und darauf zu reagieren.
Die Richtlinie enthält Bestimmungen zur Meldung von Sicherheitsvorfällen sowie zur Zusammenarbeit und Koordination zwischen den Mitgliedstaaten der EU. Das Hauptziel der Gesetzgebung ist es, die Reaktionsfähigkeit der Unternehmen für Cyberbedrohungen und -vorfälle zu stärken und die Verfügbarkeit von Services aufrechtzuerhalten.
Die Richtlinie ist am 16.01.2023 in Kraft getreten und soll bis 17.10.2024 in nationales Recht umgesetzt werden. Im Anschluss müssen betroffene Unternehmen NIS-2-konform sein.
Wen betrifft NIS-2?
Ausschlaggebend ist in der Regel eine Kombination von Unternehmensgröße und der Branche der Unternehmenstätigkeit. Es gibt aber auch Ausnahmen, bspw. sind Vertrauensdiensteanbieter, DNS-Diensteanbieter usw. unabhängig von ihrer Größe betroffen.
Kriterium Unternehmensgröße:
Unternehmen mit 50 Mitarbeiter:innen im Vollzeitäquivalent und EUR 10 Mio. Umsatz oder EUR 10 Mio. Bilanzsumme erfüllen die Anforderung an die Unternehmensgröße.
Kriterium Unternehmenstätigkeit:
Die Richtlinie unterscheidet zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“. Für beide gelten dieselben Vorgaben. Nur bei Aufsichtspflichten und Sanktionen wird differenziert.
Zu den wesentlichen Einrichtungen gehören Unternehmen mit einer Tätigkeit in einer der folgenden Branchen:
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (b2b)
- Öffentliche Verwaltung
- Weltraum
Unternehmen mit Tätigkeiten in folgenden Branchen sind als wichtige Einrichtungen zu werten:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe / Herstellung von Waren*, z.B. Medizinprodukte, Maschinenbau, Fahrzeugbau, etc.
- Anbieter digitaler Dienste
- Forschung
* Unter dem Punkt Verarbeitendes Gewerbe / Herstellung von Waren wird auf Abschnitt C Abt. 26-30 NACE Rev. 2 verwiesen. Dort befindet sich interessanterweise auch die Herstellung von Haushaltsgeräten, Booten, Yachten, Fahrrädern usw.
Kriterium Lieferkette
Unternehmen, die nicht direkt von NIS-2 betroffen sind, müssen möglicherweise indirekt Auflagen zu Cybersicherheitsmaßnahmen erfüllen. Das ist der Fall, wenn ihre Kund:innen, Dienstleister:innen und Lieferant:innen unter die Richtlinie fallen. Daher ist es unerlässlich, dass alle Unternehmen, unabhängig von der direkten Betroffenheit, ein starkes Bewusstsein für Cybersicherheit entwickeln und entsprechende Schutzmaßnahmen implementieren.
Welche Maßnahmen müssen betroffene Unternehmen setzen?
Im Rahmen der NIS-2-Richtlinie werden Unternehmen und Organisationen angehalten umfassende Risikomanagementmaßnahmen zu implementieren, um die Sicherheit von Netz- und Informationssystemen zu gewährleisten. Dies umfasst folgende Schlüsselbereiche:
- Risikoanalyse und Sicherheitskonzepte für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen in der Entwicklung und Wartung
- Bewertung der Effektivität von Risikomanagementmaßnahmen
- Cyberhygiene und Schulungen
- Einsatz von Kryptografie
- Sicherheit des Personals und Zugriffskontrolle
- Multi-Faktor-Authentifizierung und sichere Kommunikation
Cybersicherheit als Aufgabe der Geschäftsführung
Es ist wichtig die Geschäftsführung aktiv in den Sicherheitsprozess miteinzubeziehen. Letztendlich trägt sie Verantwortung dafür, die notwendigen Ressourcen bereitzustellen, um eine robuste Cybersicherheitsstrategie zu entwickeln und umzusetzen – und haftet schadenersatzrechtlich, wenn dem Unternehmen durch Nichteinhaltung von NIS-2 ein Schaden entsteht. Durch Einbindung der Geschäftsführung wird nicht nur der Compliance-Bereich abgedeckt, sondern auch das Unternehmen nachhaltig vor den zunehmenden Bedrohungen durch Cyberangriffe geschützt.
Welche Sanktionen gibt es?
Verstöße gegen die Risikomanagementmaßnahmen oder die Berichtspflichten werden bei wesentlichen Einrichtungen mit max. EUR 10 Mio. bzw. 2% des weltweiten Jahresumsatzes sanktioniert. Bei wichtigen Einrichtungen beläuft sich das auf max. EUR 7 Mio. bzw. 1,4% des weltweiten Jahresumsatzes.
Nächste Schritte zur NIS-2 Compliance
Die Geschäftsführung und das relevante IT-Team sollten zunächst prüfen, ob das Unternehmen unter NIS-2 fällt. Ist das der Fall, müssen sie sich mit den Anforderungen der Richtlinie vertraut machen. Anschließend sollten die Lücken zwischen eigenen Cybersicherheitsmaßnahmen und den Anforderungen identifiziert und geschlossen werden.
Unterstützung durch Expert:innen
Damit Ihr Unternehmen rechtzeitig auf die NIS-2 vorbereitet ist, kann es hilfreich sein, sich externe Unterstützung durch Expert:innen zu holen. So stellen Sie sicher, dass die Cybersicherheitsmaßnahmen den Anforderungen der NIS-2-Richtlinie entsprechen und effektiv umgesetzt werden.