Inhalt
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie (Network and Information Security) der Europäischen Union ist eine Erweiterung der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Ziel ist es, die Cybersicherheit von Unternehmen und Organisationen in der EU zu stärken, insbesondere durch einheitlichere Standards und klare Verantwortlichkeiten. NIS-2 berücksichtigt die wachsenden Bedrohungen durch Cyberangriffe und die zunehmende Abhängigkeit von digitalen Diensten. Die Richtlinie erweitert den Geltungsbereich und verschärft die Anforderungen, um die Resilienz kritischer Infrastrukturen zu erhöhen.
Welche Unternehmen sind von der NIS-2-Richtlinie betroffen?
Die Richtlinie adressiert zwei Kategorien von Organisationen:
- Wesentliche Einrichtungen: Unternehmen in Sektoren wie Energie, Wasser, Transport, Gesundheit, Finanzdienstleistungen und digitale Infrastruktur, die für das Funktionieren der Gesellschaft und Wirtschaft essenziell sind.
- Wichtige Einrichtungen: Unternehmen aus Bereichen wie Herstellung chemischer Produkte, Abfallwirtschaft, Postdienste und Nahrungsmittelproduktion, deren Ausfälle erhebliche wirtschaftliche oder gesellschaftliche Auswirkungen haben könnten.
Darüber hinaus umfasst die Richtlinie alle Unternehmen, die:
- Mehr als 50 Mitarbeiter beschäftigen,
- Einen Jahresumsatz oder eine Jahresbilanzsumme von mehr als 10 Millionen Euro aufweisen,
- Oder als “kritisch” eingestuft werden.
Welche Pflichten ergeben sich aus der NIS-2-Richtlinie?
Unternehmen müssen umfassende Maßnahmen zur Verbesserung der Cybersicherheit umsetzen:
- Informationssicherheits-Managementsystem (ISMS): Einführung oder Anpassung eines ISMS nach Standards wie ISO 27001 oder BSI-Grundschutz.
- Risikomanagement: Regelmäßige Durchführung von Risikoanalysen, um Sicherheitslücken zu identifizieren und zu beheben.
- Meldepflichten: Sicherheitsvorfälle, die erhebliche Auswirkungen haben könnten, müssen unverzüglich an die zuständigen Behörden gemeldet werden – üblicherweise innerhalb von 24 Stunden nach Kenntnisnahme.
- Schulungen: Sensibilisierung der Mitarbeiter und regelmäßige Schulungen im Bereich Cybersecurity.
- Verantwortlichkeiten: Die Geschäftsführung trägt die Verantwortung für die Einhaltung der Richtlinie.
Wann tritt die NIS-2-Richtlinie in Kraft?
Die Richtlinie ist seit dem 16. Januar 2023 in Kraft und muss von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland erfolgt dies durch das NIS2-Umsetzungsgesetz, das die genauen Anforderungen und Strafen regeln wird.
Welche Konsequenzen drohen bei Nichteinhaltung?
Die Sanktionen sind deutlich verschärft im Vergleich zur ursprünglichen NIS-Richtlinie:
- Wesentliche Einrichtungen: Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
- Wichtige Einrichtungen: Bußgelder von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.
Zusätzlich können Sanktionen wie der Ausschluss von öffentlichen Ausschreibungen oder die Veröffentlichung von Verstößen drohen.
Wie können Unternehmen feststellen, ob sie betroffen sind?
Unternehmen sollten eine Selbsteinschätzung durchführen, die auf den in der Richtlinie definierten Kriterien basiert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt hierfür Tools zur Verfügung, wie z. B. die NIS-2-Betroffenheitsprüfung. Eine Zusammenarbeit mit spezialisierten Beratern oder Rechtsanwälten kann helfen, Unsicherheiten zu klären.
Welche Maßnahmen sollten Unternehmen jetzt ergreifen?
- Analyse der aktuellen Situation: Bestandsaufnahme der bestehenden Sicherheitsmaßnahmen und Identifikation von Lücken im Hinblick auf die NIS-2-Anforderungen.
- Einrichtung eines ISMS: Falls noch nicht vorhanden, sollten Unternehmen ein ISMS einführen oder bestehende Systeme anpassen.
- Risikomanagement: Regelmäßige Bewertung von Cyberrisiken und Implementierung präventiver Maßnahmen.
- Einrichtung von Meldeprozessen: Etablierung klarer Prozesse für die Meldung von Sicherheitsvorfällen.
- Geschäftsführung einbinden: Die oberste Führungsebene sollte in die Cybersicherheitsstrategie einbezogen werden, da sie rechtlich verantwortlich ist.
- Dokumentation: Lückenlose Dokumentation aller Maßnahmen zur Einhaltung der NIS-2-Richtlinie, um im Falle einer Prüfung vorbereitet zu sein.
Die NIS-2-Richtlinie setzt neue Standards in der Cybersicherheit und erhöht den Druck auf Unternehmen, angemessene Schutzmaßnahmen umzusetzen. Durch eine frühzeitige Vorbereitung und die Anpassung bestehender Sicherheitskonzepte können Unternehmen nicht nur Compliance sicherstellen, sondern auch ihre Resilienz gegen Cyberangriffe nachhaltig verbessern.
Zurück zur Übersicht des Glossars