NIS2 - eine EU-weite Gesetzgebung zur Cybersicherheit

Die sogenannte "National Network and Information Security Directive 2" (NIS2) ist der Nachfolger für die im Jahr 2016 eingeführten Cybersicherheitsvorschriften, die für alle EU-Länder gilt.
Sie umfasst rechtliche Maßnahmen zur Erhöhung des Gesamtniveaus der Cybersicherheit in der Europäischen Union.

Die NIS2 verpflichtet Unternehmen zu umfangreichen Risikomanagementmaßnahmen, verschärft die Meldepflicht von Vorfällen und zieht das Management stärker in die Verantwortung.

Umsetzung der NIS2-Richtlinie in Deutschland

Seit Mitte 2023 existiert ein Referentenentwurf des Bundesministeriums des Innern und für Heimat, um die CER-Richtlinie gemäß ihrem Artikel 26 Absatz 1 bis zum 17. Oktober 2024 in nationales Recht umzusetzen.

Die komplette NIS2-Richtlinie können Sie hier nachlesen.

untersuchung

Motivation von NIS2

Die erste NIS-Richtlinie 2016/1148 hatte das Ziel, die Cyberresilienz der EU zu stärken, Bedrohungen für Netz- und Informationssysteme zu kontrollieren und die Kontinuität wesentlicher Dienste sicherzustellen.

Seit der Umsetzung der NIS-Richtlinie wurden erhebliche Fortschritte erzielt, jedoch wurden bei der Überprüfung Mängel festgestellt, die wirksame Maßnahmen gegen aktuelle und neue Herausforderungen im Bereich Cybersicherheit verhindern.

Aufgrund des raschen digitalen Wandels und der zunehmenden Vernetzung sind Netz- und Informationssysteme entscheidend für den Alltag und den grenzüberschreitenden Austausch geworden. Die steigende Anzahl, Tragweite, Komplexität, Häufigkeit und Auswirkungen von Vorfällen stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netz- und Informationssystemen dar. Die Cybersicherheit ist wichtiger denn je für das reibungslose Funktionieren des Binnenmarkts, kann wirtschaftliche Tätigkeiten beeinträchtigen, finanzielle Verluste verursachen und das Vertrauen der Nutzer untergraben.

Daher ist es für viele kritische Sektoren entscheidend durch entsprechende Maßnahmen, den digitalen Wandel sicherer zu bewältigen, um die Vorteile der Digitalisierung voll zu nutzen.

datenanalyse

Anwendungsbereich von NIS2

Die Richtlinie bezieht sich auf öffentliche oder private Einrichtungen, die als mittlere Unternehmen gelten oder die Schwellenwerte für mittlere Unternehmen überschreiten und ihre Dienste in der EU erbringen.

Sie umfasst auch Einrichtungen, die unabhängig von ihrer Größe als kritisch eingestuft werden, z.B. wenn sie Dienste in den Bereichen elektronische Kommunikation, Vertrauensdienste, Domänennamenregistrierung oder öffentliche Verwaltung anbieten.

Sektoren mit hoher Kritikalität
KRITIS-Betriebe sind eine besonders wesentliche Kategorie von Organisationen. Sie vor negativen Auswirkungen zu schützen ist Pflicht und Verantwortung der Behörden. Ihr Ausfall würde gravierende Folgen für das staatliche Gemeinwesen haben. Deshalb definiert NIS2 elf Bereiche, zu denen die KRITIS-Unternehmen gehören: Energie- und Wasserversorgung, Transport, Finanz- und Bankwesen, Gesundheit und öffentliche Verwaltung.
Sonstige kritische Sektoren
Weitere Organisationen nachfolgender sieben Branchen werden als besonders wichtig angesehen: Post- und Kurierdienste, Abfall, Lebensmittel, Chemikalien, digitale Dienste (beispielsweise Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke), Industrie (etwa Herstellung von Maschinen, Fahrzeugen und Datenverarbeitungsgeräten) und Forschung.

Haftung des Managements

NIS2 verschärft nicht nur die Meldepflicht für Vorfälle, sondern erhöht auch die Strafen für die Missachtung der Vorschriften. Bei wesentlichen Einrichtungen können Geldbußen bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden, abhängig davon, welcher Betrag höher ist. Bei wichtigen Einrichtungen ist das Höchstmaß der Geldbuße auf 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes begrenzt.

Gemäß dem Referentenentwurf des Bundesinnenministeriums sollen Geschäftsführer und andere Leitungsorgane von Unternehmen auch mit ihrem Privatvermögen für die Einhaltung der Risikomanagementmaßnahmen haften. Das Bußgeld kann dabei maximal 2 Prozent des weltweiten Jahresumsatzes betragen.

management

Branchen

Automotive
Finance
Healthcare
KMU
Startup
Technology

Sind Sie betroffen?

Von der überarbeiteten Richtlinie sind alle oben genannten Branchen.
Weiterhin ist die Organisationsgröße gemessen an der Mitarbeiteranzahl und dem Umsatz maßgebend:

  • Mittlere Unternehmen: 50-250 Mitarbeiter, 10-50 Mio. EUR Umsatz, Bilanzsumme <43 Mio. EUR
  • Große Unternehmen: >250 Mitarbeiter, >50 Millionen EUR Umsatz, Bilanzsumme >43 Mio. EUR

Darüber hinaus können auch weitere Organisationen unabhängig von ihrer Größe betroffen sein. Dies ist beispielsweise der Fall, wenn durch einen Ausfall einer solchen Organisation Systemrisiken entstehen können.

architektur

Was ist für Sie zu tun?

Bis zum 17. Oktober 2024 muss NIS2 in Ihrem Unternehmen umgesetzt sein, sofern Sie betroffen ist. Nachfolgende Schritte sind demnach umzusetzen:

    Prüfung der Betroffenheit

    Sie werden von den Behörden nicht darüber informiert, ob NIS2 auf Ihr Unternehmen oder Ihre Institution zutrifft. Die Einschätzung, ob die Kriterien, die sowohl Branchenmerkmale als auch Größenüberlegungen umfassen, erfüllt sind, obliegt Ihren selbst. Eine Organisation mit einem bedeutenden Marktanteil in einem spezifischen Sektor könnte aufgrund ihrer Größe als "wesentlich" eingestuft werden.

    Klärung von Verantwortlichkeiten

    Die Führungskräfte in Ihrer Organisation sollten mit den Anforderungen der Richtlinie sowie den Maßnahmen zum Risikomanagement vertraut sein. Es liegt in ihrer direkten Verantwortung sicherzustellen, dass Cyberrisiken erkannt und proaktiv angegangen werden und dass sämtliche Anforderungen gemäß der Richtlinie erfüllt werden.

    Feststellung des IST-Zustands

    Wie ist der aktuelle Stand Ihrer Netzwerk- und Informationssicherheit? Wir erörtern, inwiefern Sie die Themen bereits abdecken und was Sie weiterhin benötigen, um "NIS2-ready" zu werden.

    Etablierung eines Risikomanagementprozesses

    Gemäß der NIS2-Richtlinie muss ein Risikomanagement etabliert werden. Sie verpflichtet das Unternehmen demnach, mögliche Risiken für die Cybersicherheit zu identifizieren und zu bewerten. Dabei können wir Sie unterstützen, indem wir auf bereits etablierte Standards zurückgreifen.

    Berücksichtigung von Meldepflichten

    Organisationen müssen über Mechanismen verfügen, die eine ordnungsgemäße Benachrichtigung von Sicherheitsvorfällen an die Behörden sicherstellen.

    Planung & Durchführung weiterer Schritte

    Mit den zuvor fünf genannten Schritte ist die Grundlage für die Erfüllung von NIS2 gelegt. Es eignet sich die gleichzeitige Einführung eines ISMS, um die Prozesse rundum NIS2 abzudecken. Sehen Sie sich dazu gern weitere infrage kommende Leistungen an.

Leistungsspektrum für Cyber Security

Weitere sinnvolle Leistungen im Rahmen der NIS2-Richtlinie

ISMS
Ein Informationssicherheitsmanagementsystem soll dabei helfen, Informationen für das Management, Kunden und Angestellten verfügbar zu machen. Aus diesem Grund gehören zu einem umfangreichen ISMS-Konzept unterschiedliche Richtlinien, Prozesse, Maßnahmen sowie Tools. Sie alle sollen dabei helfen, Sicherheitslücken zu identifizieren und sie im Ernstfall unter Kontrolle zu bringen.
Externer CISO/ISB
Ein externer Chief Information Security Officer ist eine Person, die die Informationssicherheit eines Unternehmens überwacht und überprüft. Sie trägt die Verantwortung für die Entwicklung, Umsetzung und Überwachung von Richtlinien und Verfahren, die die Sicherheit des Unternehmens und seiner Daten gewährleisten. Zu den Aufgaben eines externen Sicherheitsbeauftragten gehören die Implementierung von Sicherheitslösungen, die Durchführung von Sicherheitsüberprüfungen, u.s.w.
Penetration Test
Penetration Tests sind simulierte Angriffe aus externen oder internen Quellen, um die Sicherheit von Webanwendungen, Apps, Netzwerken und Infrastrukturen zu ermitteln und etwaige Schwachstellen aufzudecken.
Schulungen
Die Informationssicherheit wird immer wichtiger - nicht nur in Unternehmen. Trotzdem reicht es nicht aus, einzig auf die neuste Technik zu vertrauen und Cyber-Security-Maßnahmen einzuleiten. Um die Sicherheit in sämtlichen Geschäftsbereichen zu erhöhen, müssen alle Angestellten dazu lernen.

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen:

Termin vereinbaren