Was genau ist die NI2S 2 ?

EU-NIS2 Richtlinie und das EU NIS2 Umsetzungsgesetz

Anforderungen an Cybersicherheit

Die Bedrohung der Cybersicherheit nimmt weltweit stetig zu, und die Europäische Union (EU) reagiert darauf mit verschärften Vorschriften.

 

Eine der jüngsten Entwicklungen in diesem Bereich ist die EU-NIS2-Direktive, die am 16. Januar 2023 in Kraft getreten ist.

NIS (Network and Information Security Directive) ist eine bedeutende EU-Richtlinie für die Sicherheit kritischer Infrastrukturen und legt seit 2016 die Cyber-Security-Mindeststandards fest.

Diese neue Direktive ersetzt die bereits 2016 etablierten Mindestanforderungen zur Netz- und Informationssicherheit (NIS).


NIS2 ist die überarbeitete Version, die in Deutschland bis 17. Oktober 2024 in nationales Recht umgesetzt werden muss. Die erweiterte Anzahl an betroffenen Sektoren stellt nun 30 Tausend Unternehmen Geschäftsführungen vor eine Reihe kritischer Herausforderungen.
 
 

1. NIS2 und ihre Betroffenen

Eine der bedeutendsten Veränderungen in der NIS2-Direktive ist die erweiterte Reichweite ihrer Anwendbarkeit. Während die vorherige NIS-Richtlinie nur große Organisationen direkt im KRITIS-Umfeld betraf, werden nunmehr sieben neue KRITIS-Sektoren hinzugefügt, was die Gesamtzahl auf achtzehn erhöht. Doch hier hört die Erweiterung nicht auf. NIS2 gilt nun auch für privatwirtschaftliche Unternehmen, und zwar schon ab einer vergleichsweise geringen Größe von 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz.

Es ist wichtig zu beachten, dass NIS2 auch Unternehmen betrifft, die zu den sogenannten “Essential Entities” gehören – Organisationen, die für das Allgemeinwohl von besonderer Bedeutung sind.

Des Weiteren schreibt NIS2 vor, dass betroffene Unternehmen die Cybersicherheit ihrer Zulieferer überprüfen und sicherstellen müssen. Dies ist angesichts der zunehmend komplexen Lieferketten von entscheidender Bedeutung, da der Ausfall eines einzigen Bausteins heute zu schwerwiegenden Engpässen führen kann.

 

Die Sektoren sind wesentlich betroffen:

  • Energie
  • Transport
  • Bankwesen
  • Finanzmarkt 
  • Gesundheits-
    wesen
  • Trinkwasser/Abwasser
  • Digitale
    Infrastruktur
  • IKT*-Service-
    management
  • Öffentliche
    Verwaltung
  • Weltraum

 

Diese Sektoren sind die wichtigsten: 

  • Post & Kurier
  • Abfall
  • Chemikalien
  • Lebensmittel Produzierendes Gewerbe
  • Digitale Dienste
  • Forschung

 

2. Neuerungen durch NIS2

NIS2 setzt nicht nur strengere Mindestanforderungen an die Cybersicherheit, sondern zieht auch Geschäftsführer persönlich zur Verantwortung. Sie sind nun dafür haftbar, sicherzustellen, dass die vorgeschriebenen Sicherheitsstandards eingehalten werden. Im Falle eines Cyberangriffs sind Unternehmen dazu verpflichtet, den Vorfall innerhalb einer bestimmten Frist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Diese Maßnahmen sollen sicherstellen, dass Unternehmen Cyberangriffe nicht vertuschen, um ihren Ruf zu schützen.

Zusätzlich stärkt NIS2 die europäische Rechtsprechung und fördert die Zusammenarbeit in der EU zwischen Behörden und Betreibern. Dies beinhaltet die Einrichtung nationaler Computer Emergency Response Teams (CERTs), die grenzübergreifend zusammenarbeiten und Informationen austauschen sollen. Parallel dazu soll eine EU-weite Schwachstellendatenbank aufgebaut werden.

3. Handlungsbedarf für betroffene Unternehmen

NIS2 legt technische und organisatorische Sicherheitsmaßnahmen auf dem neuesten Stand der Technik fest. Dazu gehört die Implementierung von Methoden zur Bewertung von Cyberrisiken sowie Strategien zur Sicherung der Service- und Geschäftskontinuität. Unternehmen müssen Maßnahmen zur Prävention, Detektion und Bewältigung von Cybervorfällen umsetzen. Im Kern geht es darum, ein Informationssicherheits-Managementsystem (ISMS) zu etablieren, das Regeln, Prozesse, Methoden, Tools und Verantwortlichkeiten zur Steuerung und Überwachung der Cybersicherheit im Unternehmen definiert. Hilfreiche Orientierungshilfen bieten der BSI Grundschutz und die ISO/IEC 27001. Viele Unternehmen haben bislang jedoch nur fragmentarische ISMS-Lösungen implementiert. Daher ist es erforderlich, Lücken zu identifizieren und schrittweise zu schließen. Dies ist häufig zeitaufwändiger als erwartet und erfordert Ressourcen.

Daher ist es ratsam, das Thema möglichst frühzeitig anzugehen. Die Zusammenarbeit mit einem erfahrenen externen Dienstleister, der Erfahrung in der Implementierung und Weiterentwicklung von ISMS hat, kann hierbei von großem Nutzen sein.

4. Konsequenzen bei Ignorieren der NIS2-Anforderungen

Ähnlich wie bei der DSGVO sind hohe Bußgelder die Konsequenz bei Verstößen gegen NIS2. Die Strafen und Durchsetzungsmaßnahmen werden erheblich ausgeweitet und können bis zu sieben oder zehn Millionen Euro betragen, je nach Sektor. Das BSI kann Audits durchführen oder Dritte beauftragen, um die Einhaltung der NIS2-Anforderungen zu überprüfen. Unternehmen, bei denen Defizite festgestellt werden, erhalten eine Frist zur Nachbesserung. Geschäftsführer haften persönlich, wenn bei der forensischen Untersuchung eines Cyberangriffs festgestellt wird, dass das Unternehmen Sicherheitsvorgaben nicht erfüllt hat.

5. NIS2 als Chance

Obwohl NIS2 zweifellos zusätzliche Arbeit und Ressourcen erfordert, kann es auch als Chance betrachtet werden. Organisationen, die bereits im KRITIS-Bereichtätig waren, haben vermutlich bereits viele der geforderten Maßnahmen umgesetzt. Für Unternehmen, die neu in den Geltungsbereich von NIS2 fallen, mag der Aufwand höher sein. Dennoch ist die Investition in die Cybersicherheit angesichts der steigenden Bedrohungslage unverzichtbar.

Die neuen Vorschriften rücken das Thema Cybersicherheit in den Fokus der Geschäftsleitung und erleichtern es Security-Verantwortlichen, die Unternehmensführung von der Bedeutung von Investitionen in Cybersicherheit zu überzeugen. Um möglichst schnell und effizient NIS2-konform zu werden, ist die Zusammenarbeit mit einem erfahrenen Managed Security Services Provider empfehlenswert. Dieser kann bei der Überprüfung der Sicherheitsstrategie, dem Aufbau eines robusten ISMS und der Auswahl sowie Implementierung geeigneter Sicherheitstechnologienwertvolle Unterstützung bieten.

Die Einführung der EU-NIS2-Direktive hat erhebliche Auswirkungen auf Unternehmen, insbesondere im Bereich der Cybersicherheit. Diese neue Richtlinie erweitert den Geltungsbereich erheblich und bringt strengere Anforderungen mit sich. Betroffene Unternehmen sollten die Ernsthaftigkeit dieser Vorschriften erkennen, da die Einhaltung nicht nur gesetzlich vorgeschrieben ist, sondern auch entscheidend für den Schutz ihrer Organisation vor Cyberangriffen ist.

Es ist ratsam, frühzeitig Maßnahmen zu ergreifen, um die Compliance mit NIS2 sicherzustellen. Dazu gehört die Einführung eines umfassenden Informationssicherheits-Managementsystems (ISMS) nach den neuesten technischen Standards. Die Zusammenarbeit mit erfahrenen Experten und externen Dienstleistern kann den Prozess beschleunigen und erleichtern.

Letztendlich bietet NIS2 die Gelegenheit, die Cybersicherheit auf Unternehmensebene zu stärken und CEOs von der Notwendigkeit zusätzlicher Investitionen in die Sicherheit zu überzeugen. Angesichts der wachsenden Bedrohungen im Cyberraum ist die Umsetzung von NIS2-Maßnahmen nicht nur eine gesetzliche Pflicht, sondern auch eine kluge unternehmerische Entscheidung, um die Integrität und Kontinuität des Unternehmens zu gewährleisten.

6. Die Bedeutung von NIS2 für Unternehmen

Die Einführung der EU-NIS2-Direktive markiert einen wichtigen Schritt in Richtung erhöhter Cybersicherheit für Unternehmen und kritische Infrastrukturen. Es ist entscheidend, die Auswirkungen und Anforderungen dieser neuen Vorschriften vollständig zu verstehen und sich aktiv darauf vorzubereiten. Im Folgenden werden einige wesentliche Aspekte zusammengefasst, die Unternehmen berücksichtigen sollten:

a) Frühzeitige Bewertung der Betroffenheit

Unternehmen müssen zunächst feststellen, ob sie von NIS2 betroffen sind. Dies erfordert eine sorgfältige Analyse ihrer Größe, Branche und Funktion innerhalb der kritischen Infrastrukturen. Auch die Beziehung zu Zulieferern und deren Cybersicherheitspraktiken muss bewertet werden.

b) Aufbau eines robusten ISMS 

Um die Anforderungen von NIS2 zu erfüllen, ist die Implementierung eines umfassenden Informationssicherheits-Managementsystems (ISMS) unerlässlich. Dieses System sollte alle Aspekte der Cybersicherheit abdecken und sicherstellen, dass die festgelegten Standards kontinuierlich eingehalten werden.

c) Schulung und Sensibilisierung

Mitarbeiterinnen und Mitarbeiter spielen eine entscheidende Rolle in der Cybersicherheit. Schulungen und Sensibilisierungsmaßnahmen sind notwendig, um sicherzustellen, dass alle im Unternehmen die Bedeutung von NIS2 verstehen und aktiv zur Umsetzung beitragen.

d) Zusammenarbeit mit Experten

Unternehmen sollten erwägen, externe Experten und Dienstleister hinzuzuziehen, die Erfahrung in der Umsetzung von ISMS und Cybersicherheitslösungen haben. Diese Partner können wertvolle Unterstützung bieten, um den Prozess zu beschleunigen und sicherzustellen, dass alle Anforderungen erfüllt werden.

e) Überwachung und Anpassung

Die Cybersicherheitslandschaft ändert sich ständig. Unternehmen müssen ihre Sicherheitsmaßnahmen kontinuierlich überwachen, Schwachstellen erkennen und Anpassungen vornehmen, um mit neuen Bedrohungen Schritt zu halten.

7. Schlussgedanken

Die EU-NIS2-Direktive stellt eine bedeutende Entwicklung in der Cybersicherheitsregulierung dar, die Unternehmen und kritische Infrastrukturen betrifft. Es ist von entscheidender Bedeutung, die neuen Anforderungen zu verstehen und umzusetzen, da die Nichtbeachtung hohe finanzielle Strafen und Reputationsverluste nach sich ziehen kann.

Dennoch bietet NIS2 auch die Möglichkeit, die Cybersicherheit auf ein höheres Niveau zu heben und die Sensibilisierung für dieses wichtige Thema zu fördern. Die Zusammenarbeit zwischen Geschäftsführung, Sicherheitsverantwortlichen und externen Datenschutzexperten kann den Übergang zur NIS2-Compliance reibungsloser gestalten und Unternehmen besser vor den wachsenden schützen.

In einer Zeit, in der Cyberangriffe immer ausgefeilter werden, ist die Umsetzung von NIS2 nicht nur eine gesetzliche Verpflichtung, sondern eine notwendige Investition in die Zukunft der Sicherheit von Unternehmen und kritischen Infrastrukturen.

Bitte aktiviere JavaScript in deinem Browser, um dieses Formular fertigzustellen.
Ansprechpartner
Zu welchem Thema möchten Sie beraten werden?
Datenschutzhinweis
Die vorstehend erhobenen personenbezogenen Daten werden nur für diese Korrespondenz mit Ihnen und zu dem Zweck verarbeitet, zu dem Sie uns die Daten jeweils im Rahmen dieser Kommunikation überlassen haben – zum Beispiel zur Bearbeitung Ihrer Anfragen einschließlich etwaiger Anschlussfragen oder um auf Ihren Wunsch mit Ihnen Kontakt aufzunehmen. Grundlage dieser Verarbeitung Ihrer personenbezogenen Daten ist Art. 6 Abs. 1 S. 1 lit. b) DSGVO, soweit Sie diese personenbezogenen Daten zwecks Anbahnung eines Vertragsverhältnisses mit uns eingeben oder ein Vertragsverhältnis mit uns bereits besteht. Nur in diesem Fall ist die Eingabe von personenbezogenen Daten erforderlich im Sinne von Art. 13 Abs. 2 e) DSGVO. Andernfalls erfolgt diese Speicherung und Verwendung aufgrund von Art. 6 Abs. 1 S. 1 lit. f) DSGVO, wobei unser berechtigtes Interesse die sorgfältige Bearbeitung Ihres Anliegens ist. Wir löschen Ihre diesbezüglichen Daten, wenn der Zweck, zu dem Sie uns Ihre Daten mitgeteilt haben, erfüllt oder erledigt ist und wir nicht aus gesetzlichen Gründen zur weiteren Speicherung berechtigt oder verpflichtet sind. Bitte beachten Sie auch unsere Datenschutzbestimmungen.