Umsetzung der NIS2-Richtlinie
Sind wir nicht alle ein bisschen KRITIS?
10.09.2024 | Es sind nur noch wenige Wochen bis zum Stichtag: Bis zum 17. Oktober muss die EU-Richtlinie NIS2 (Network and Information Security) in nationales Recht umgesetzt werden. Ziel ist eine grundsätzliche Stärkung der Mitgliedsstaaten gegenüber Cyberrisiken.
In Deutschland wird die Umsetzung der Richtlinie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) geregelt, das für viele Unternehmen und öffentlichen Einrichtungen neue Verpflichtungen sowie eine erhöhte Verantwortung im Bereich der IT-Sicherheit mit sich bringt. Die Bundesregierung rechnet damit, dass rund 29.500 Stellen in Deutschland künftig den neuen Regelungen unterworfen sein werden – eine erhebliche Ausweitung im Vergleich zu vorher.
Insbesondere mittelständische Unternehmen, die bisher nicht betroffen waren, sollten sich intensiv mit den neuen Anforderungen auseinandersetzen, um den gesetzlichen Vorgaben gerecht zu werden und ihre IT-Sicherheit zu stärken.
Was genau ist jetzt zu tun? Wie können Unternehmen feststellen, ob sie betroffen sind und falls ja – welche konkreten Maßnahmen müssen sie ergreifen?
NIS2: Wer ist betroffen?
Ob Unternehmen von der NIS2-Richtlinie betroffen sind, hängt von drei maßgeblichen Faktoren ab:
- Anzahl der Mitarbeitenden (Messung in Vollzeitäquivalenten, FTE)
- Umsatz innerhalb der EU
- Zugehöriger Sektor
NIS2 richtet sich an Unternehmen, die für die europäische Gesellschaft und Wirtschaft von kritischer Bedeutung sind. Diese Unternehmen müssen angemessene Cybersicherheitsmaßnahmen ergreifen, um den wachsenden und komplexeren Bedrohungen zu begegnen.
Dazu erweitert die Richtlinie die Bandbreite der relevanten Sektoren und unterteilt diese in "Sektoren mit hoher Kritikalität" und "Sonstige kritische Sektoren", die sich wiederum jeweils in verschiedene Teilsektoren untergliedern.
Neu dabei sind u.a. die öffentliche Verwaltung, Abwasser- und Abfallwirtschaft, Lebensmittelhersteller, Post- und Kurierdienste, Raumfahrt sowie die digitale Infrastruktur.
Dabei unterscheiden die NIS2-Vorgaben zwischen "wichtigen Einrichtungen" und "besonders wichtigen Einrichtungen".
Wichtige Einrichtungen:
- Unternehmen der relevanten Sektoren mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz von über 10 Millionen Euro
- Vertrauensdienste (Trust Service Provider), unabhängig von Größe und Umsatz
Besonders wichtige Einrichtungen:
- Unternehmen mit mindestens 250 Mitarbeitenden oder einem Jahresumsatz von 50 Millionen Euro sowie einer Bilanzsumme von über 43 Millionen Euro
- Mittlere Unternehmen im Telekommunikationssektor
- Unabhängig von Umsatz und Größe: Betreiber Kritischer Infrastrukturen, qualifizierte Vertrauensdienste, DNS-Dienste und TLD-Registries
Darüber hinaus spielen auch Unternehmensstrukturen eine Rolle: Ist ein Unternehmen, das unter NIS2 fällt, von einem anderen abhängig, kann auch das abhängige Unternehmen in den Anwendungsbereich der Richtlinie fallen. In solchen Fällen ist die Unabhängigkeit der verbundenen Unternehmen zu prüfen.
Sind Sie betroffen? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet auf seiner Webseite zur besseren Einordnung eine NIS2-Betroffenheitsprüfung an.
Welche Vorgaben beinhaltet das NIS2UmsuCG?
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) dient der Umsetzung der NIS2-Richtlinie hierzulande und markiert einen wichtigen Meilenstein in der deutschen Cybersicherheitslandschaft.
Das Gesetz bringt für betroffene Unternehmen eine Reihe von Verpflichtungen mit sich, die darauf abzielen, das allgemeine Sicherheitsniveau zu erhöhen:
- Mindestanforderungen an die Cybersicherheit: Unternehmen müssen sicherstellen, dass ihre sämtlichen IT-Systeme einem bestimmten Sicherheitsstandard entsprechen. Dies umfasst den Schutz vor Cyberangriffen, die Sicherstellung der Betriebsfähigkeit und die regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen.
- Meldepflichten bei Cybervorfällen: Unternehmen sind verpflichtet, schwerwiegende Cybervorfälle innerhalb von 24 Stunden an eine zentrale Meldestelle zu berichten und nach spätestens 72 Stunden zu aktualisieren. Diese Pflicht dient der Schadensbegrenzung sowie der schnellen Information von weiteren potenziell Betroffenen.
- Erweiterter Adressatenkreis: Neben den bisherigen, "klassischen" KRITIS-Betreibern sind nun auch eine Vielzahl mittelständischer Unternehmen und öffentlicher Einrichtungen zur Einhaltung der Vorgaben verpflichtet.
- Sanktionen bei Nichteinhaltung: Bei Verstößen gegen das NIS2UmsuCG drohen hohe Bußgelder, vergleichbar mit denen der DSGVO. Zukünftig haftet die Geschäftsführung für Cybersicherheit gemäß den geltenden gesellschaftsrechtlichen Vorschriften. Zudem sind regelmäßige Sicherheitsaudits und Prüfungen vorgeschrieben.
In 8 Schritten zur NIS2-Compliance
Kaum eine EU-Richtlinie hat bereits im Vorfeld für so viel Aufsehen gesorgt, wie die Network-and-Information-Security-Richtlinie 2.0. Zugegeben – auf den ersten Blick erscheint die Umsetzung des EU-weit geltenden Sicherheitsrahmens, den NIS2 vorgibt, als gewaltige Aufgabe.
Doch sollten betroffene Unternehmen das NIS2-Umsetzungsgesetz als Chance sehen, die eigenen Sicherheitsstandards zu verbessern und die Widerstandskraft gegenüber Cyberbedrohungen nachhaltig zu stärken.
Die folgenden Maßnahmen bieten einen Leitfaden, wie Unternehmen ihre Compliance effizient gestalten und ihre Sicherheitsmaßnahmen zukunftssicher ausrichten können:
- Projektgruppe: Setzen Sie ein Projekt zur NIS2-Umsetzung auf und stellen Sie ein interdisziplinäres Team zusammen, das die erforderlichen Maßnahmen koordiniert. Dies sollte Vertreter der Geschäftsführung, IT-Leitung, IT-Sicherheitsbeauftragte und gegebenenfalls den Rechtsbeistand umfassen.
- Schulungen: Sensibilisieren Sie die Geschäftsleitung für die Bedeutung von Cybersecurity und NIS2. Schulungen und Awareness-Trainings sind essenziell, um die Risiken zu verstehen und die Einhaltung der Richtlinie zu gewährleisten.
- ISMS: Implementieren Sie ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001 oder BSI IT-Grundschutz. Dies umfasst die Festlegung von Sicherheitsrichtlinien, Prozessen und technischen Maßnahmen zur Sicherung Ihrer IT-Infrastruktur.
- Lieferketten: Bewerten Sie die Sicherheitsrisiken Ihrer Lieferketten. Stellen Sie sicher, dass Ihre Lieferanten und Dienstleister ebenfalls NIS2-konform sind und entsprechende Sicherheitsmaßnahmen treffen. Führen Sie regelmäßige Audits durch.
- Security-Strategie: Entwickeln Sie eine umfassende Sicherheitsstrategie und kommunizieren Sie diese innerhalb des Unternehmens. Alle Mitarbeiter sollten über die neuen Richtlinien und deren Bedeutung informiert sein.
- Risikoanalyse: Führen Sie eine detaillierte Risikoanalyse Ihrer Geschäftsprozesse und IT-Systeme durch. Identifizieren Sie Schwachstellen und bewerten Sie die Eintrittswahrscheinlichkeit und mögliche Schadenshöhe, um geeignete Maßnahmen zu ergreifen.
- Krisenmanagement: Definieren Sie klare Prozesse für das Krisenmanagement. Dies beinhaltet Notfallpläne und regelmäßige Übungen, um im Ernstfall schnell und effektiv reagieren zu können.
- Registrierung: Registrieren Sie Ihr Unternehmen bei den zuständigen Behörden als NIS2-relevant. Dies ist notwendig, um Ihre Konformität offiziell zu bestätigen und mögliche Strafen zu vermeiden.
Handeln Sie proaktiv!
Das Inkrafttreten des NIS2UmsuCG bringt für viele Einrichtungen neue Pflichten und eine erhöhte Verantwortung mit sich. Insbesondere kleine und mittelständische Unternehmen, die möglicherweise keine spezialisierten IT-Sicherheitsabteilungen haben, stehen vor der Herausforderung, ihre Sicherheitsstandards kurzfristig zu erhöhen und Prozesse zur Meldung von Vorfällen zu etablieren.
Um das Ziel von NIS2, die EU-weite Erhöhung der Cybersicherheit, zu erreichen, ist es von entscheidender Bedeutung, dass sich alle potenziell betroffenen Unternehmen intensiv mit den neuen Anforderungen auseinandersetzen und ihre internen Strukturen daraufhin überprüfen, ob sie den Anforderungen gerecht werden.
Sie interessieren sich für unsere Security-Leistungen? Dann freuen wir uns über Ihre Nachricht! Alternativ erreichen Sie uns telefonisch unter
+49 7805 918 0
.