Mit der NIS-2-Richtlinie zur Stärkung der Cyber-Security und ihren entsprechenden Anforderungen sehen sich zahlreiche Unternehmen aus unterschiedlichen Branchen vor einer Herausforderung in 2024. NIS-2 dürfte vielen Organisationen bereits ein Begriff sein, denn die NIS-2-Richtlinie ist der Nachfolger der ursprünglichen Richtlinie über Netz- und Informationssicherheit aus dem Jahr 2016.
NIS wurde seinerzeit ins Leben gerufen, um ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme innerhalb der EU zu gewährleisten. Zum damaligen Zeitpunkt waren von der EU-Richtlinie insbesondere die kritischen Infrastrukturen hiervon betroffen.
Die NIS-2-Richtlinie, die ab Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht überführt werden muss, ist eine Weiterentwicklung der Richtlinie von 2016. Sie soll die Europäische Union besser gegen Cyberangriffe wappnen und die Cyber-Resilienz stärken. Erfahren Sie hier, was die NIS-2-Anforderungen für Unternehmen und Management beinhalten.
Was beinhalten die NIS-2-Anforderungen?
Die NIS-2-Anforderungen fordern für viele Unternehmen aus 18 unterschiedlichen Sektoren zahlreiche Maßnahmen hinsichtlich einer verbesserten Cyber-Security. Als Weiterentwicklung der NIS-Richtlinie sieht NIS-2 eine Ausweitung auf verschiedene Sektoren und entsprechende Maßnahmen vor.
Die NIS-2-Richtlinie soll die Sicherheit kritischer Infrastrukturen und digitaler Dienste innerhalb der Europäischen Union erhöhen. Somit beinhaltet sie einige wichtige Verpflichtungen für wesentliche Wirtschaftszweige. Die Richtlinie zielt weiterhin darauf ab, die Verantwortlichkeit und Haftung für die Sicherheit von Netz- und Informationssystemen zu stärken. Sie soll darüber hinaus sicherstellen, dass Unternehmen – und ihre Führungskräfte – angemessene Maßnahmen zum Schutz dieser Systeme implementieren.
Zum einen beinhaltet die Richtlinie die Verpflichtung zur fristgerechten Meldung schwerwiegender Sicherheitsvorfälle an nationale Behörden. Zum anderen sind die Planung und Umsetzung angemessener Sicherheitsmaßnahmen verpflichtend. Außerdem soll durch die NIS-2-Richtlinie gewährleistet werden, dass effektive Mechanismen für die Zusammenarbeit eingerichtet werden, die eine Erhöhung der Informationssicherheit ermöglichen.
Welche Unternehmen und Organisationen sind konkret von der NIS-2-Richtlinie betroffen? Welche Auswirkungen hat sie zur Folge? Wie genau soll sie die Cybersicherheit verbessern? Das erfahren Sie hier.
NIS-2: Welche Unternehmen sind betroffen?
Während die ursprüngliche NIS-Richtlinie sich primär auf kritische Infrastrukturen bezog, sind mit NIS-2 viel mehr Unternehmen in der EU betroffen. Die Richtlinie zielt auf mittlere und große Unternehmen aus 18 unterschiedlichen Sektoren ab. Sie sind angewiesen, ihre Systeme und Dienste ausreichend zu schützen. Außerdem sollen sie in der Lage sein, angemessen zu reagieren, sofern es zu einem Sicherheitsvorfall kommt.
Primär handelt es sich dabei um „besonders wichtige Einrichtungen“ bzw. Betreiber wesentlicher Dienste sowie weiterhin „wichtige Einrichtungen“, beispielsweise digitale Dienstleister.
- Zu den sogenannten besonders wichtige Einrichtungen zählen Organisationen bzw. Unternehmen mit mehr als 250 Mitarbeitenden oder einem jährlichen Umsatz von mindestens 50 Mio. EUR bzw. 43 Mio. EUR Jahresbilanz. Die betroffenen Sektoren der besonders wichtigen Einrichtungen umfassen die Energie- und Wasserwirtschaft, das Verkehrswesen (Schiene, Straße, Luft, Wasser), Banken und Finanzwesen, das Gesundheitswesen, digitale Infrastrukturen und ICT-Services, die öffentliche Verwaltung und den Weltraum. Sie besitzen eine hohe Kritikalität und sind deshalb als besonders wichtig zu erachten.
- In die Kategorie der wichtigen Einrichtungen fallen Unternehmen mit 50 oder mehr Mitarbeitenden oder einem Jahresumsatz ab 10 Mio. EUR. Die betroffenen Sektoren der wichtigen Einrichtungen sind Post- und Kurierdienstanbieter, die Abfallwirtschaft, Forschungseinrichtungen, die Chemie- und Lebensmittelindustrie, das verarbeitende Gewerbe (z. B. Maschinenbau) und Anbieter digitaler Dienste (z. B. Online-Marktplätze).
Um was geht es bei den NIS-2-Anforderungen?
Die NIS-2-Anforderungen sehen einige Maßnahmen hinsichtlich der Informationssicherheit vor: Hier ist vor allem das Einrichten von Risiko- und Notfallmanagement ein fundamentaler Bestandteil. Außerdem sollen Unternehmen angemessene Sicherheitstechnologien einsetzen. Die zeitnahe Meldepflicht von schwerwiegenden Sicherheitsvorfällen an nationale Behörden ist außerdem ein zentrales Element der Richtlinie. Die NIS-2-Richtlinie differenziert zwischen besonders wichtigen und wichtigen Einrichtungen. Die Anforderungen sollen dazu dienen, die Sicherheit kritischer Infrastrukturen und digitaler Dienste zu sichern.
Die NIS-2-Anforderungen sehen folgende Aspekte vor:
Risikomanagement und Sicherheitsvorkehrungen
Es werden Maßnahmen zur Minimierung der Auswirkungen von Sicherheitsvorfällen gefordert, z. B. durch Cyber-Risikomanagement, Business Continuity Management, Verschlüsselung und Zugriffskontrollen.
Meldung von schwerwiegenden Sicherheitsvorfällen
Schwerwiegende Sicherheitsvorfälle müssen zeitnah und umfassend den nationalen Behörden gemeldet werden. Angemessene Maßnahmen müssen ergriffen werden, um zu reagieren.
Kontinuierliche Überprüfung und Aktualisierung
Eine kontinuierliche Überprüfung der Maßnahmen muss erfolgen, um eventuell notwendige Aktualisierungen vorzunehmen. Das Sicherheitsniveau sollte stets auf dem neusten Stand der Technik sein.
Zusammenarbeit mit Behörden
Durch eine effektive Zusammenarbeit und einen produktiven Austausch zwischen den Mitgliedsstaaten soll die Cybersicherheit erhöht werden, z. B. durch Kooperations-Gruppen mit Vertretern der nationalen Behörden für Cybersicherheit der Mitgliedstaaten.
Strafverfolgung und Sanktionen
Sofern Unternehmen gegen die Anforderungen verstoßen, werden entsprechend Sanktionen von den Mitgliedsstaaten verhängt. Für "besonders wichtige" Einrichtungen sind dabei höhere Geldstrafen vorgesehen als für "wichtige Einrichtungen".
Die Haftungsfrage wurde in der NIS-2-Richtlinie im Gegensatz zur originalen NIS-Richtlinie weiter verschärft. Gemäß der NIS2-Richtlinie können Mitgliedstaaten angemessene Sanktionen gegen Unternehmen verhängen, die gegen die Bestimmungen der Richtlinie verstoßen.
Die Besonderheit daran: Dies kann auch die Haftung der Leitungsebene oder der verantwortlichen Führungskräfte einschließen. Somit können in einigen Fällen Geldstrafen oder andere administrative Sanktionen gegen Unternehmen oder bestimmte Führungskräfte verhängt werden, um sicherzustellen, dass Verstöße gegen die Cybersicherheitsbestimmungen angemessen geahndet werden. Die Obergrenze der Haftung soll sich auf bis zu 2 % des globalen jährlichen Umsatzes eines Unternehmens belaufen.
NIS-2: Kompetente Beratung ist das A und O
Die NIS-2-Richtlinie sorgt reichlich Gesprächsstoff in den verschiedenen Sektoren und teilweise auch zu Unsicherheiten. Viele Unternehmen und insbesondere die Leitungsebenen müssen zunächst prüfen, ob und inwiefern sie von der NIS-2-Richtlinie und den Anforderungen betroffen sind. Unser kostenloser NIS-2-Self-Check unterstützt Sie bei der Frage, in welche Kategorie Ihr Unternehmen fällt.
Im Anschluss an den NIS-2-Self-Check empfehlen wir Ihnen eine Initialberatung zu NIS-2, um die weiteren Schritte festzulegen.
Unser kompetentes Team aus Sicherheitsexperten der sila consulting steht Ihnen jederzeit gerne zur Seite. Kontaktieren Sie uns gerne.