NIS-2

Die NIS2-Richtlinie, die Nachfolgeregelung der ersten EU-Richtlinie zu Netz- und Informationssicherheit (NIS), soll den hohen Anforderungen begegnen, die durch die zunehmende Digitalisierung und die wachsende Bedrohung durch Cyberangriffe an die Sicherheit kritischer Infrastrukturen in Europa gestellt werden. Lesen Sie hier alles über die zentralen Aspekte der NIS2, ihre Anforderungen und die Umsetzung in Deutschland von der Table.Briefings-Redaktion.

Was ist die NIS2-Richtlinie?

Die

NIS2

-Richtlinie ist ein Rechtsrahmen der Europäischen Union, der die Cybersicherheit von Unternehmen und Organisationen in den Mitgliedstaaten verbessern soll. Sie trat am 27. Dezember 2022 in Kraft und musste bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden. Ziel der Richtlinie ist es, die Widerstandsfähigkeit kritischer Infrastrukturen zu stärken und europaweit einheitliche Sicherheitsstandards zu schaffen.Im Vergleich zur Vorgängerregelung erweitert die

NIS2-Richtlinie

den Anwendungsbereich deutlich. So fallen nun mehr Unternehmen und Branchen unter die Regelungen, und die Anforderungen an Cybersicherheitsmaßnahmen wurden verschärft.

NIS2-Richtlinie: Wer ist betroffen?

Zu den zentralen Fragen im Zusammenhang mit der

NIS2

-Richtlinie gehört die Bestimmung der betroffenen Einrichtungen. Die Richtlinie differenziert dabei zwischen wesentlichen und wichtigen Einrichtungen.

Wesentliche Einrichtungen: Dazu zählen beispielsweise Betreiber kritischer Infrastrukturen wie Energieversorger, Gesundheitsdienstleister, Finanzinstitutionen und Verkehrsbetriebe.
Wichtige Einrichtungen: Hierunter fallen u. a. Anbieter digitaler Dienstleistungen, Chemieunternehmen, Lebensmittelproduzenten und Unternehmen im Bereich des Abfallmanagements.

Ein entscheidender Punkt ist, dass die Größe eines Unternehmens ausschlaggebend sein kann. Unternehmen, die mehr als 50 Mitarbeiter oder einen Jahresumsatz von über 10 Millionen Euro haben, müssen die

NIS2

und ihre

Anforderungen

umsetzen. Kleinere Unternehmen sind nur dann betroffen, wenn sie in einer kritischen Branche tätig sind. Darüber hinaus rücken Lieferketten und Drittanbieter ebenfalls in den Fokus. Unternehmen müssen sicherstellen, dass auch ihre Dienstleister angemessene Sicherheitsmaßnahmen implementiert haben. Die Bedeutung einer durchgängigen Sicherheitsstrategie entlang der gesamten Wertschöpfungskette wird damit unterstrichen.

Welche Anforderungen stellt die NIS2-Richtlinie?

Die Anforderungen der

NIS2

-Richtlinie sind umfassend und betreffen verschiedene Bereiche der Cybersicherheit. Zu den zentralen Vorgaben gehören:

Risikomanagement: Unternehmen müssen ein effektives Risikomanagement für IT- und OT-Systeme implementieren. Dazu gehört die Identifizierung potenzieller Schwachstellen sowie die Entwicklung von Strategien zur Risikominderung.
Vorfallmeldung: Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Bereitstellung wesentlicher Dienste haben, müssen innerhalb von 24 Stunden gemeldet werden. Ein detaillierter Bericht ist innerhalb von 72 Stunden nachzureichen.
Audits und Überprüfungen: Unternehmen sind verpflichtet, regelmäßige Audits durchzuführen, um die Wirksamkeit ihrer Sicherheitsmaßnahmen zu überprüfen.
Sanktionen: Bei Verstoß gegen die Vorgaben drohen erhebliche Strafen. Die Höhe der Geldbußen kann bis zu 2 % des weltweiten Jahresumsatzes betragen.
Sensibilisierung und Schulung: Unternehmen müssen ihre Mitarbeitenden regelmäßig zu Cybersicherheitsrisiken schulen, um ein hohes Bewusstsein für Sicherheitsfragen zu schaffen.
Berichtspflichten: Neben der Vorfallmeldung müssen Unternehmen jährliche Berichte zu ihren Sicherheitsmaßnahmen und potenziellen Risiken erstellen. Diese Berichte dienen als Grundlage für die Überprüfungen durch die zuständigen Behörden.

Was ist das NIS2-Umsetzungsgesetz?

Das

NIS2-Umsetzungsgesetz

ist die nationale Umsetzung der EU-Richtlinie in deutsches Recht, ein entsprechender

Referentenentwurf

wurde bereits vorgelegt. Ziel ist es, die Anforderungen der

NIS2

in das deutsche IT-Sicherheitsgesetz zu integrieren und dabei die Besonderheiten des deutschen Marktes zu berücksichtigen. Der Entwurf sieht vor, dass die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Aufsichtsbehörden fungieren. Sie übernehmen die Aufgabe, die Einhaltung der Vorschriften zu überwachen und Unternehmen bei der Umsetzung zu unterstützen. Darüber hinaus soll das Umsetzungsgesetz klare Vorgaben für die Verantwortlichkeiten innerhalb der Unternehmen definieren. So wird beispielsweise erwartet, dass ein Chief Information Security Officer (CISO) benannt wird, der direkt an die Geschäftsleitung berichtet.

Wann tritt NIS2 in Deutschland in Kraft?

Die EU-Mitgliedstaaten waren verpflichtet, die

NIS2-Richtlinie

bis zum 18. Oktober 2024 in nationales Recht umzusetzen. Das Inkrafttreten des

NIS2

-Umsetzungsgesetzes war in

Deutschland

für denselben Zeitraum erwartet worden. Vor diesem Hintergrund sollten sich Unternehmen auf die zu erwartenden Änderungen einstellen und gegebenenfalls zeitnah die nötigen Anpassungen vornehmen. Ein früher Start in die Vorbereitung bietet Vorteile: Unternehmen können frühzeitig Lücken in ihrer Sicherheitsarchitektur identifizieren und gezielt schließen. Dadurch lassen sich nicht nur Compliance-Risiken minimieren, sondern auch die Resilienz gegenüber Cyberbedrohungen steigern.

Herausforderungen bei der Umsetzung der NIS2-Richtlinie

Die Umsetzung der

NIS2-Anforderungen

stellt viele Unternehmen vor erhebliche Herausforderungen. Dazu gehören:

Komplexität der Anforderungen: Die Vielzahl der Vorgaben erfordert ein umfassendes Verständnis von Cybersicherheit und Risikomanagement.
Ressourcenbedarf: Die Umsetzung der Richtlinie kann erhebliche personelle und finanzielle Ressourcen binden.
Koordination innerhalb der Lieferkette: Unternehmen müssen sicherstellen, dass auch ihre Partner und Zulieferer die Sicherheitsstandards einhalten.
Technologischer Wandel: Die schnelle Entwicklung von Technologien kann es erschweren, Sicherheitsmaßnahmen auf dem neuesten Stand zu halten.

Die

NIS2-Richtlinie

ist von entscheidender Bedeutung für die Stärkung der Cybersicherheit in Europa. Sie erweitert den Anwendungsbereich, verschärft die Anforderungen und legt hohen Wert auf die Zusammenarbeit zwischen Unternehmen und Behörden. Zudem werden verstärkte Maßnahmen zur Risikobewertung und Vorfallserkennung gefordert, um Angriffe frühzeitig zu erkennen und abzuwehren. Für Unternehmen in Deutschland ist es von entscheidender Bedeutung, sich eingehend mit dem

NIS2-Umsetzungsgesetz

auseinanderzusetzen. Dadurch können sie regulatorische Risiken verringern und ihre Resilienz gegenüber Cyberbedrohungen langfristig stärken. Ein vorausschauender Ansatz bei der Umsetzung von Sicherheitsmaßnahmen kann sich langfristig positiv auf den Wettbewerb auswirken und das Vertrauen von Kunden und Partnern stärken.

Europäische Resilienz braucht eigene Technologie

NIS-2 Einigung: BMI kann Einbau kritischer Komponenten untersagen

Schutz kritischer Infrastruktur: Warum Energiebetreiber die NIS2-Regelung für kritische Komponenten ablehnen

NIS-2: Bundesrechnungshof kritisiert Ausnahme von Bundesverwaltung scharf

Schutz kritischer Infrastruktur: Weshalb staatliche Stellen von Vorgaben befreit sind

Cyber defense: Criticism of German government plans

Cyberabwehr: Kritik an Plänen der Bundesregierung

NIS-2: CDU Economic Council criticizes exemptions from subordinate authorities

NIS-2: CDU-Wirtschaftsrat kritisiert Ausnahmen von nachgeordneten Behörden

NIS-2-Umsetzungsgesetz: Weshalb Grüne und CDU Ausnahmeregelungen für Bundesbehörden kritisieren

Was ist die NIS2-Richtlinie?

NIS2-Richtlinie: Wer ist betroffen?

Welche Anforderungen stellt die NIS2-Richtlinie?

Was ist das NIS2-Umsetzungsgesetz?

Wann tritt NIS2 in Deutschland in Kraft?

Herausforderungen bei der Umsetzung der NIS2-Richtlinie