Auf Entdeckungstour mit NIS 2:
Rechtliche Sicherheit
in der digitalen Welt

Dann war Sicherheit ein Nice-to-have. Jetzt ist Sicherheit Pflicht!
Mit der NIS2-Richtlinie verpflichtet die EU betroffene Unternehmen und Organisationen, ihre kritischen Infrastrukturen effektiver zu schützen und eine starke Sicherheitskultur zu etablieren. Ab Oktober 2024 müssen sich mehr Unternehmen als je zuvor gesetzlich gegen Cyberangriffe wappnen und sich gemeinsam für rechtliche Sicherheit in der digitalen Welt einsetzen. Die NIS2-Richtlinie verlangt nicht nur Maßnahmen zum Schutz, sondern auch Schulungen für Führungskräfte und Mitarbeitende. Wer ist betroffen, was sind die Inhalte des Gesetzes und welche Fristen sind einzuhalten?
Wir führen Sie durch den NIS2-Dschungel!

Die Network-and-Information-Security-Directive (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, kurz NIS2, wurde am 14. Dezember 2022 veröffentlicht. Sie verpflichtet betroffene Unternehmen und Organisationen dazu, stärkere Sicherheitsmaßnahmen zu etablieren und zieht Führungskräfte für die Auswirkungen eines Angriffs in die Verantwortung.

Mit der NIS2-Richtlinie reagiert die EU auf die zunehmenden, fortschrittlichen Gefahren durch Cyberangriffe. Sie erweitert die bisher geltende NIS-Richtlinie von 2016 und rückt Informationssicherheit verstärkt in den Fokus. Alle EU-Staaten müssen die NIS2-Richtlinie bis Oktober 2024 in nationales Recht umsetzen.

Die NIS2-Richtlinie zielt darauf ab, einheitlich hohe Sicherheitsstandards in der gesamten EU durchzusetzen. Sie sieht vor, Unternehmen und Einrichtungen in der gesamten EU im Kampf gegen Cyberbedrohungen zu stärken und die Zusammenarbeit zwischen den Mitgliedsstaaten und Unternehmen zu fördern.

Auf dem Weg zu gesetzlich festgelegten Sicherheitsanforderungen setzt die EU-Richtlinie höhere Sicherheitsstandards und erleichtert die Zusammenarbeit, den Informationsaustausch und die Meldung von Sicherheitsverletzungen unter den Mitgliedsstaaten.

Durch die Erweiterung der betroffenen Sektoren und Einrichtungen stärkt NIS2 die Widerstandsfähigkeit und Reaktionsfähigkeit sowohl öffentlicher als auch privater Organisationen sowie der EU insgesamt.

Klar, die Anforderungen an die Cybersicherheit steigen für KMU, Zulieferer und Dienstleister von Wirtschaftsunternehmen enorm. Doch mit NIS-2 steht uns die Chance bevor, einen neuen globalen Standard für Cybersicherheit zu setzen – vergleichbar mit der EU-DSGVO für den Datenschutz. Diese Richtlinie könnte sich weltweit als bewährte Praxis etablieren und von anderen Ländern übernommen werden.

Ganz im Sinne unserer Vision, die Komplexität der Cybersecurity-Welt als Chance zu begreifen, um so die digitale Transformation auch gesellschaftlich voranzutreiben und das Recht auf Sicherheit zu verteidigen!

Ob Betriebe oder Einrichtungen in den Anwendungsbereich der NIS2-Richtlinie fallen, hängt maßgeblich von zwei Kriterien ab:

• Sie gehören einer von 18 in der Richtlinie festgelegten Branchen an.
• Sie übersteigen eine bestimmte Unternehmensgröße.

Konkret wird bei NIS 2 zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen unterschieden. Auch die Unternehmensgröße spielt eine Rolle dabei.

Wesentliche Einrichtungen umfassen Unternehmen mit hoher Kritikalität aus Bereichen wie Energieversorgung, Verkehr, Wasserversorgung, digitale Infrastruktur und IT, Bank- und Finanzwesen, Gesundheitswesen, öffentliche Verwaltung sowie Rüstung und Raumfahrt.

Wichtige Einrichtungen sind Betriebe aus Branchen wie Abfallwirtschaft, Post- und Kurierdienste, Chemische Erzeugnisse, Produktion und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe (inkl. Medizinprodukte), Digitale Dienstleistungen und Forschungseinrichtungen.

Indirekt betroffen: Unternehmen sind indirekt von der NIS2-Richtlinie betroffen, wenn sie Dienstleister oder Lieferanten von betroffenen Einrichtungen sind. So reagiert die EU auf die akute Bedrohung durch Supply-Chain-Angriffe. Diese Angriffe stellen eine besondere Gefahr dar, da böswillige Akteure durch die Kompromittierung eines Zulieferers Zugang zum Netzwerk von Kunden und Partnern erlangen können.

Unterschieden werden mittlere und große Unternehmen:

• Mittlere Unternehmen: 50-250 Mitarbeitende oder 10-50 Mio. Euro Umsatz, Bilanzsumme kleiner als 43 Mio. Euro.
• Große Unternehmen: mehr als 250 Mitarbeitende oder mehr als 50 Mio. Euro Umsatz, Bilanzsumme größer als 43 Mio. Euro.

Unternehmen, welche die genannten Kriterien erfüllen, müssen im Rahmen von NIS2 verschiedene Verpflichtungen erfüllen. Dazu gehören die Registrierung bei der entsprechenden Behörde im eigenen Mitgliedsstaat sowie die Meldung erheblicher Sicherheitsvorfälle, die beispielsweise schwerwiegende Betriebsstörungen verursachen können. Die NIS2-Richtlinie fordert außerdem technische und organisatorische Maßnahmen (TOM) gemäß dem aktuellen Stand der Technik.

Dabei müssen Unternehmen natürlich die neuesten technologischen Entwicklungen berücksichtigen und entsprechend der individuellen Gefährdungslage angemessene Sicherheitsvorkehrungen treffen. Die Data Center bzw. Rechenzentren sind wichtige Akteure bei der Umsetzung der neuen Richtlinie, da sie die Integrität, Verfügbarkeit und Vertraulichkeit von Daten gewährleisten. Darüber hinaus sind regelmäßige Compliance-Nachweise erforderlich.

Das Gesetz verpflichtet u.a. zu folgenden Punkten:

• Der Aufbau von Cybersicherheit nach einschlägigen internationalen Normen
• Die Durchführung regelmäßiger Risikobewertungen und Audits
• Die Meldung von Sicherheitsvorfällen an die zuständigen Behörden
• Incident Management und Business Continuity Management
• Regelmäßige Trainings zur Sensibilisierung der Mitarbeitenden
• Die Sicherstellung der Informationssicherheit in der Lieferkette (Dienstleister, Hersteller etc.)
• u.v.m.

Ab dem 18. Oktober 2024 müssen betroffene Unternehmen sich bei der nationalen Behörde registrieren, Vorfälle melden und die Einhaltung der Sicherheitsanforderungen gewährleisten. Die Einhaltung der Compliance muss regelmäßig nachgewiesen werden, andernfalls drohen Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes.

Wichtige Einrichtungen werden nur anlassbezogen beaufsichtigt, bei wesentlichen Einrichtungen erfolgt die Aufsicht proaktiv, also ohne Anlass.

Die Pflichten aus NIS2 gelten für alle Sektoren gleichermaßen. Bei Sanktionen wird nicht zwischen besonders wichtigen Einrichtungen und kritischen Anlagen unterschieden, sondern zwischen fahrlässigem und vorsätzlichem Verschulden.

Wenn Ihr Unternehmen oder Ihre Organisation betroffen ist, sollten Sie sich gut auf die Umsetzung vorbereiten und die erforderlichen Sicherheitsmaßnahmen rechtzeitig (!) ergreifen, denn ansonsten vergrößert sich nicht nur das Risiko eines Sicherheitsvorfalls – auch die Sanktionen sind sehr ernst zu nehmen.

Gegen Verstöße der Mindestsicherheitsanforderungen und bei Nichtmeldung von Sicherheitsvorfällen an die zuständigen nationalen Behörden können hohe Bußgelder verhängt werden, deren Höhe von verschiedenen Faktoren abhängt, wie z.B. der Schwere des Verstoßes, der Anzahl der betroffenen Nutzer und der Art der Dienstleistung.

Zu beachten ist hierbei, dass die Mitgliedstaaten dazu verpflichtet sind, Sanktionen wie Geldbußen, Verwarnungen oder andere Maßnahmen bei Verstößen und Nichtmeldungen festzulegen, während die genauen Strafen je nach nationalen Gesetzen variieren können.

Es ist wichtig, dass Betreiber und Einrichtungen Maßnahmen ergreifen, die auf einem ganzheitlichen Ansatz beruhen. Dieser sollte nicht nur Cyberangriffe, sondern auch andere Arten von Sicherheitsvorfällen berücksichtigen. Dabei gilt es, sowohl die IT-Systeme als auch die Prozesse zu schützen, Störungen zu vermeiden und die Auswirkungen von Sicherheitsvorfällen zu minimieren.

Bei überraschend vielen Führungskräften und Verantwortlichen herrscht eine erschreckende Sorglosigkeit und grundlegende Nachlässigkeit hinsichtlich der eigenen Gefährdung durch Cyberkriminelle. Viele Unternehmensverantwortliche haben zwar von der NIS-2-Richtlinie gehört, bislang allerdings nur wenig unternommen, um ihre IT- und Informationssicherheitsstrategien daran anzupassen.
Ein erfolgreiches Security-Awareness-Trainingsprogramm erfordert, dass Geschäftsführende das Problem der Bedrohungen verstehen und anerkennen – und auch die neuen Gesetze bzw. Sanktionen ernst nehmen.

Mit dieser neuen EU-Richtlinie wird die Informationssicherheit verbessert, die Einbindung der Geschäftsleitung in Sicherheitsfragen gestärkt und die Bedeutung von Schulungen hervorgehoben, um den menschlichen Faktor zu berücksichtigen. Regelmäßige Schulungen mit vielfältigen Inhalten sind entscheidend, um das Vergessen zu vermeiden.

Das verstehen wir gut. Aber keine Sorge.

Um Ihre IT-Sicherheit optimal an die bevorstehenden Änderungen anzupassen, beraten wir Sie gerne und unterstützen Sie dabei, Ihre Cybersecurity-Strategie zu bewerten, Schwachstellen zu identifizieren, Ihre Mitarbeitenden zu sensibilisieren und die Gefahr von Bußgeldzahlungen zu reduzieren.

Melden Sie sich gerne bei uns.

Hier geht’s direkt zum passenden Fachbereich Strategic Cybersecurity Consulting

Und hier geht’s zum passenden (Gratis) Webinar!