NIS2-Richtlinie: Sind Sie bereit?

29.02.2024 | Bis Oktober ist es nicht mehr lange hin – die Network and Information Systems Directive 2, kurz: NIS2, wurde bereits im November 2022 vom Rat der EU und dem Europäischen Parlament angenommen.
Sie gilt seit Anfang 2023 und muss bis Oktober dieses Jahres in deutsches Recht umgesetzt werden. Der Druck auf Unternehmen, sich spätestens jetzt intensiver mit der eigenen IT-Security auseinandersetzen, steigt.

Dieser Zweck wird mit der NIS2-Richtlinie verfolgt

Die "EU Directive on Security of Network and Information Systems" steht für eine Weiterentwicklung der EU NIS-Richtlinie, soll auf EU-Ebene für ein hohes Cybersicherheitsniveau sorgen und den Binnenmarkt stärken. Für alle EU-Mitgliedsstaaten sollen dieselben Sicherheitsstandards gelten, welche einzuhalten sind, um gemeinsam für ein hohes Sicherheitsniveau zu sorgen.
Der Unterschied zur vorhergehenden EU NIS-Richtlinie: Mit der NIS2-Richtlinie werden mehr Unternehmen miteinbezogen. Ein weiterer Beitrag für mehr Sicherheit: Institutionen wie beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI) erweiterte Befugnisse erhalten. Auch in Bezug auf Sanktionen gibt es Änderungen. Für Deutschland gelten erweiterte Sanktionsvorschriften mit neuen Bußgeldtatbeständen und erhöhten Bußgeldern. Diese richten sich nach dem weltweiten Umsatz eines Unternehmens und können zwischen 100.000 Euro und 20.000.000 Euro betragen.

Wichtig zu wissen: Welche Unternehmen sind überhaupt von NIS2 betroffen?

Die NIS2-Richtlinie unterteilt Unternehmen in zwei Hauptkategorien: "wesentliche" und "wichtige" Organisationen. Für beide Gruppen gelten die gleichen Vorgaben, jedoch macht die EU einen Unterschied bei drohenden Strafen und Sanktionen.

Die "wesentlichen" Organisationen wurden teilweise bereits in der ersten NIS-Version genannt, jedoch umfasst die neue Version eine erweiterte Liste. Die Kategorie der "wichtigen" Organisationen wird von der EU-Verordnung neu definiert. Direkt betroffen sind Unternehmen mit mindestens 50 Mitarbeitenden und einem Jahresumsatz von mehr als zehn Millionen Euro. Zu den "wesentlichen" Organisationen zählen hauptsächlich kritische Infrastrukturen (KRITIS), deren Ausfall schwerwiegende Folgen für das staatliche Gemeinwesen hätte. NIS2 nennt hier elf Bereiche, darunter Energie- und Wasserversorgung, Transport, Finanz- und Bankwesen, Gesundheitswesen und öffentliche Verwaltung.

Die "wichtigen" Organisationen umfassen sieben Branchen, darunter Post- und Kurierdienste, Abfallwirtschaft, Lebensmittelindustrie, Chemikalienherstellung, digitale Dienste (wie Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke), Industrie (einschließlich Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräte) sowie Forschung.

paragraphenzeichen

NIS2 und Lieferketten

Kleine Unternehmen sind normalerweise nicht von NIS2 betroffen – es sei denn, sie erbringen Dienstleistungen wie DNS-Dienste, TLD-Namensregistrierung oder öffentliche elektronische Kommunikationsnetze oder -dienste.

Des Weiteren können mittelgroße und kleine Unternehmen betroffen sein, wenn sie als Dienstleister und Lieferanten für die direkt betroffenen Organisationen tätig sind. In diesem Fall sind sie möglicherweise verpflichtet, strenge Sicherheitsvorkehrungen einzuhalten, um die gesamte Lieferkette zu schützen, beispielsweise durch die Einführung spezifischer Cybersecurity-Technologien oder -Methoden auf Anforderung ihrer Auftraggeber.

Welche Herausforderungen kann die Umsetzung der NIS2-Richtlinie mit sich bringen?

Wohl nicht auszuschließen ist die Tatsache, dass die Umsetzung der NIS2-Richtlinie Unternehmen vor Herausforderungen stellen wird.

Unternehmen, welche bis dato nicht von den Anforderungen der NIS2-Richtlinie betroffen waren, stehen nun vor der Aufgabe, sich binnen kurzer Zeit mit strengen Cybersecurity-Standards und Meldepflichten vertraut zu machen.

Nicht zu vergessen: Die IT-Umgebungen sowie OT-Umgebungen (Operational Technology) von Unternehmen unterliegen spezifischen Merkmalen und Anforderungen. Die Cybersecurity-Lösungen müssen an diese entsprechend angepasst werden.

Außerdem kommen mit der neuen NIS2-Richtlinie neue Vorschriften zur Meldung zu. Neben einer erhöhten Präzision werden bei Verstoß gegen NIS2 höhere Strafen als bisher anfallen.


Erfolgreich durch Vorsprung mit NIS2

Eine gute Vorbereitung ist die halbe Miete und Unternehmen sollten sich bewusst sein, dass die Einführung aller nötigen organisatorischen sowie technischen Maßnahmen Zeit in Anspruch nimmt. Warten ist deshalb keine Option: Die frühzeitige Auseinandersetzung mit den Vorgaben der NIS2-Richtlinie kann Unternehmen einen entscheidenden Vorsprung verschaffen, um auch in Zukunft Cyberrisiken wirksam gegenüberzustehen und den rechtlichen Verpflichtungen nachzukommen.

Sie benötigen Unterstützung oder haben Fragen zur IT-Security in Ihrem Unternehmen? Dann stehen Ihnen die Expertinnen und Experten von LEITWERK gerne zur Verfügung. Füllen Sie dazu einfach das Kontaktformular aus und wir melden uns umgehend bei Ihnen! Sie erreichen uns auch telefonisch unter 07805918110.

Kontakt

Informationen zum Datenschutz finden Sie hier.