NIS-2-Richtlinie: Das bedeuten die Vorgaben für Unternehmen
Die Gefahr von Cyberangriffen wächst Jahr für Jahr. Um dieser Entwicklung etwas entgegenzusetzen und wichtige Infrastrukturen zu stärken, hat die Europäische Union die NIS-2-Richtlinie auf den Weg gebracht. Ob Ihr Unternehmen betroffen ist und welche Vorgaben Sie einhalten müssen, lesen Sie im Artikel.
Neue Vorgaben für mehr Cybersicherheit
Die NIS-2-Richtlinie (NIS = Network and Information Security) soll die Cybersicherheit in der Europäischen Union verbessern – zum Beispiel durch erhöhte Anforderungen an den Umgang mit Risiken. Wichtige Neuerungen sind:
Erweiterter Anwendungsbereich: Die Richtlinie deckt noch mehr Branchen und Unternehmen ab.
Erhöhte Sicherheitsanforderungen: Betroffene Unternehmen sind verpflichtet, Maßnahmen zur Cybersicherheit zu implementieren.
Berichtspflichten: Kommt es zu Sicherheitsvorfällen, sind Sie verpflichtet, diese Vorkommnisse zu melden.
Zusammenarbeit: Die EU-Staaten sollen stärker zusammenarbeiten und gezielt Informationen austauschen.
Sanktionen: Halten Sie sich nicht an die gesetzlichen Vorgaben, müssen Sie mit hohen Strafen rechnen.
Auf diese Weise will die Richtlinie betroffenen Unternehmen mit adäquaten Maßnahmen zu mehr Cyber-Resilienz verhelfen. Langfristig soll so das Bewusstsein für die Risiken innerhalb des eigenen Unternehmens wachsen – zum Beispiel indem Sie Bedrohungen und deren Konsequenzen regemäßig einer Analyse unterziehen. Im besten Fall können Betroffene die Abhängigkeit zwischen verschiedenen Systemen sowie deren Folgen nachvollziehen und Sicherheitsmaßnahmen stetig an die aktuelle Bedrohungslage anpassen.
NIS-2-Richtlinie: Diese Unternehmen sind betroffen
Besondere Relevanz hat die NIS-2-Richtlinie für folgende Unternehmen:
- Unternehmen in Wirtschaftssektoren oder mit Aufgaben innerhalb der kritischen Infrastruktur wie Energie, Trinkwasser oder Bankwesen
- Unternehmen in sonstigen kritischen Sektoren wie Forschung, öffentliche Verwaltung oder Produktion und Verarbeitung
Die NIS-2-Richtlinie unterscheidet hierbei zwischen wesentlichen und wichtigen Einrichtungen.
| Große Unternehmen | Mittlere Unternehmen |
|---|---|
|
|
|
-> Wesentliche Einrichtung |
-> Wichtige Einrichtung |
|
|
| -> Wichtige Einrichtung |
Kleinere Unternehmen können von der Gesetzgebung betroffen sein, wenn sie eine kritische Dienstleistung anbieten.
Auch der Cyber Resilience Act zielt auf eine Verbesserung der Cybersicherheit in Europa ab. In unserem Artikel lesen Sie, welche Sicherheitsstandards auf betroffene Unternehmen zukommen.
NIS-2: Umsetzung in Deutschland
In Deutschland sollen Unternehmen künftig durch das NIS-2-Umsetzungs- und Stärkungsgesetz zur Einhaltung der Vorschriften verpflichtet werden. Zentrale Überwachungsstelle ist das Bundesamt für Sicherheit in der Informationstechnik. Das erhöht die Zahl der betroffenen Unternehmen erheblich auf circa 30.000. 2.000 davon sind sogenannte KRITIS-Unternehmen – Firmen, die Teil der kritischen Infrastruktur sind. Aufgrund der vorgezogenen Wahlen im Februar 2025 ist das parlamentarische Verfahren zum Gesetz allerdings noch nicht abgeschlossen.
Sie müssen selbst überprüfen, ob Ihr Unternehmen betroffen ist. Zu diesem Zweck stellt das BSI eine „Betroffenheitsprüfung“ zur Verfügung.
Von NIS-2 betroffen: Das müssen Sie tun!
Ist Ihr Unternehmen betroffen? Dann kommen verschiedene Pflichten auf Sie zu:
- Maßnahmen zu Risikomanagement und Businesskontinuität
- Meldepflichten
- Registrierungspflicht
- Unterrichtungspflichten
- Billigungs-, Überwachungs- und Schulungspflichten für die Geschäftsleitung
In einigen Mitgliedsstaaten sollen geplante Rechtsverordnung weitere Punkte regeln:
- Erteilung von Sicherheitszertifikaten
- IT-Sicherheitskennzeichnung
- Zertifizierungspflichten für Produkte, Dienste und Prozesse
- Kritische Dienstleistungen und Anlagen
Diese Risiko- und Meldemaßnahmen sind sowohl für wesentliche als auch für wichtige Einrichtungen Pflicht. Der einzige Unterschied besteht darin, dass die Einhaltung der Maßnahmen in wesentlichen Einrichtungen in regelmäßigen Abständen geprüft wird – in wichtigen Einrichtungen geschieht das nur auf Verdacht. Zusätzlich müssen sich sämtliche Einrichtungen bei der national zuständigen Behörde registrieren.
Cyberattacke: So reagieren Sie richtig
Eine erste Meldung über einen Vorfall müssen Sie in den nächsten 24 Stunden erbringen. Die Meldung erfolgt an die zuständige Aufsichtsbehörde. Nach drei und nach 30 Tagen geben Sie ein Update zu Ihrem Umgang mit der Situation. Auf diese Weise soll ein möglichst genauer Überblick über die aktuelle Bedrohungslage entstehen. Zusätzlich möchten die Behörden so auf lange Sicht die Effektivität getroffener Maßnahmen bewerten.
Verstöße gegen NIS-2: Diese Sanktionen drohen
Halten Sie die gesetzlichen Vorgaben nicht ein, müssen Sie mit Bußgeldern rechnen. Die Höhe richtet sich hierbei nach der Wichtigkeit der Einrichtung. Bei wesentlichen Einrichtungen beträgt das Bußgeld bis zu zwei Prozent des Jahresumsatzes beziehungsweise maximal zehn Millionen Euro. Sind Sie Teil der Geschäftsleitung können Sie außerdem persönlich haftbar gemacht werden. Aufsichtsbehörden sind hierbei kontroll- und weisungsbefugt.
Mit ihrem risikobasierten Ansatz strebt die NIS-2-Richtlinie eine systematische Verbesserung der Cybersicherheit an. Betroffene Unternehmen sollten frühzeitig mit der Umsetzung beginnen, um sich gegen die zunehmenden Bedrohungen durch Cyberrisiken zu wappnen.
Vivien Gebhardt ist Onlineredakteurin bei exali. Hier erstellt sie Content zu Themen, die Selbständigen, Freiberuflern und Unternehmern unter den Nägeln brennen. Ihre Spezialgebiete sind Risiken im E-Commerce, Rechtsthemen und Schadenfälle, die bei exali versicherten Freelancern passiert sind.
