Beitrag teilen
HOME
/
blog
/
NIS2 Deutschland: Wie beeinflusst die NIS2 Richtlinie deutsche Unternehmen?

NIS2 Deutschland: Wie beeinflusst die NIS2 Richtlinie deutsche Unternehmen?

Tobias Forbes

Information Security Expert

October 11, 2023

7 min

Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.

Key Takeaways

Die NIS2 Umsetzung in Deutschland erhöht die Cybersicherheitsanforderungen für Unternehmen.

NIS2 wird das bestehende deutsche IT-Sicherheitsgesetz auf EU-Ebene harmonisieren und stärken.

Die deutschen Unternehmen akzeptieren weitgehend die Vorgaben des IT-Sicherheitsgesetzes (die nationale Umsetzung der NIS-Richtlinie).

Die NIS2 Umsetzung in Deutschland bietet eine verbesserte Cybersicherheit und fördert die EU-weite Zusammenarbeit.

Die Cybersicherheit hat in der EU und insbesondere in Deutschland in den letzten Jahren erheblich an Bedeutung gewonnen, zuletzt durch die NIS2 Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in Europa. Mit der bevorstehenden NIS2 Umsetzung in Deutschland und den anderen EU-Mitgliedsstaaten im Oktober 2024 wird die Sicherheitszone weiter ausgedehnt und bringt neue Herausforderungen für deutsche Unternehmen mit sich.

Laut einer aktuellen Studie des Digital-Branchenverbandes Bitkom hat die deutsche Wirtschaft bereits einen Schaden von 206 Milliarden Euro durch Cyberkriminalität erlitten.

Besorgniserregend ist vor allem der Anstieg der Angriffe aus dem Umfeld der organisierten Kriminalität.  

Es wird deutlich, dass diese Angriffe keineswegs nur auf Großunternehmen beschränkt sind: Drei Viertel der Unternehmen mit mehr als 10 Mitarbeitern geben an, im vergangenen Jahr angegriffen worden zu sein. Somit geraten auch kleine und mittelständische Unternehmen vermehrt ins Visier der Angreifer.

NIS2 in Deutschland: Herausforderungen für Unternehmen im Kampf gegen Cyberkriminalität

Der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland, veröffentlicht vom Bundesamt für Sicherheit in der Informationstechnik (BSI), gewährt einen besorgniserregenden Einblick in die gegenwärtige Bedrohungslage im Bereich der Cybersicherheit.  

Als die zentrale Cyber-Sicherheitsbehörde des Bundes stellt das BSI jährlich einen umfassenden Überblick über die Gefahren im Cyber-Raum zusammen.

In diesem Jahr erfolgt die Bewertung der IT-Sicherheitslage unter dem Einfluss des russischen Angriffskrieges auf die Ukraine. Während die Spannungen bereits zuvor erheblich waren, hat sich die Situation im Berichtszeitraum weiter verschärft. Die Bedrohung im Cyber-Raum erreicht somit einen Höchststand und ist so akut wie nie zuvor.  

NIS2 Deutschland: Ransomware und „Big Game Hunting“ als Gefahr für Unternehmen

Cyberkriminalität bleibt die größte Gefahr, wobei Ransomware nach wie vor die Hauptbedrohung für Unternehmen darstellt. Im Vergleich zum Vorjahr hat sich die Ausweitung von Erpressungsmethoden im Cyber-Raum weiter fortgesetzt, was die dringende Notwendigkeit unterstreicht, die Cybersicherheit auf nationaler Ebene zu verstärken.

Laut dem BSI-Bericht steigt die Anzahl der Schadprogramme stetig, allein im Untersuchungszeitraum des letzten Berichts ist die Zahl der Schadsoftware-Varianten um 116 Millionen gestiegen. Zudem stellen Cyber-Angriffe wie Phishingmails und Mail-Erpressungen 69 % aller Spam-Mails im Berichtzeitraum dar.

Besorgniserregend ist die Praxis des sogenannten „Big Game Hunting“, bei der umsatzstarke Unternehmen mit verschlüsselten und exfiltrierten Daten erpresst werden. Diese Taktik hat im aktuellen Berichtszeitraum weiter zugenommen und stellt eine ernsthafte Bedrohung für die Cybersicherheit dar. Dabei werden nicht nur sensible Informationen entwendet, sie werden auch verschlüsselt, um das betroffene Unternehmen unter Druck zu setzen.  

Diese Entwicklungen verdeutlichen die Notwendigkeit, nicht nur die Abwehr von Cyberangriffen zu verstärken, sondern auch die Fähigkeit zur schnellen Reaktion und Wiederherstellung nach einem solchen Vorfall zu verbessern, um die Schäden für die Wirtschaft und die Gesellschaft insgesamt zu minimieren.

Ein Informationssicherheitsmanagementsystem (ISMS) kann maßgeblich dazu beitragen, die NIS2 Umsetzung in Deutschland zu unterstützen und im Zuge dessen Ransomware-Angriffe abzufangen.  

Ein automatisiertes ISMS ist ein systematischer Ansatz zur Verwaltung von Informationssicherheit und zur Minimierung von Cyber-Risiken in einer Organisation. Es hilft bei der Implementierung angemessener Sicherheitskontrollen sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.  

NIS2 Umsetzung in Deutschland als Gegenmaßnahme zur Cyberkriminalität

Die Umsetzung der NIS2 Richtlinie in Deutschland markiert einen wichtigen Fortschritt in Bezug auf Cybersicherheit und setzt der zunehmenden Bedrohung durch Cyberkriminalität eine größere Widerstandsfähigkeit gegen Cyberattacken entgegen.

Besonders Unternehmen, die Kritische Dienstleistungen (KRITIS) erbringen, werden in ihrer Fähigkeit zur Bewältigung von Sicherheitsrisiken gestärkt, was zu einem hohen gemeinsamen Niveau der Netzwerk- und Informationssicherheit in der gesamten EU führt.

Die Umsetzung erfordert eine gründliche Prüfung bestehender Gesetze in Deutschland. Es wird erwartet, dass die Anforderungen an Unternehmen deutlich erhöht werden und das Management mit größeren Strafen und Haftungsrisiken konfrontiert wird.  

Trotz der Herausforderungen bietet die NIS2 Umsetzung in Deutschland eine Chance, die Cybersicherheit sowohl in Deutschland als auch in der gesamten EU zu stärken.

NIS2 Deutschland: Wie stärkt Deutschland die Cybersicherheit in Wirtschaft und Industrie?

2015 führte die deutsche Regierung das IT-Sicherheitsgesetz ein und legte damit bestimmte Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen (KRITIS) fest. Es enthält unter anderem Regelungen zur Erhöhung der Resilienz, zur Implementierung von Sicherheitsmaßnahmen und zur Meldung von Sicherheitsvorfällen.

Der Zusammenhang zwischen dem IT-Sicherheitsgesetz und NIS2 in Deutschland

Im Jahr 2016 wurde die erste Cybersecurity-Richtlinie von der Europäischen Union eingeführt, die heute als NIS-Richtlinie oder NIS1 bekannt ist. Diese Richtlinie wurde daraufhin durch eine Novelle des IT-Sicherheitsgesetzes in Deutschland umgesetzt.

Mit der Einführung von NIS2 durch die EU muss Deutschland nun sicherstellen, dass die nationalen Gesetze und Vorschriften den Anforderungen von NIS2 entsprechen.  

Sowohl das IT-Sicherheitsgesetz als auch NIS2 zielen darauf ab, die Cybersicherheit zu stärken und den Schutz Kritischer Infrastrukturen zu verbessern.

Seit dem 16. Januar 2023 haben Deutschland und andere EU-Mitgliedsstaaten 21 Monate Zeit, um NIS2 umzusetzen und bestehende Regelungen an die neue Rechtslage anzupassen. Betroffene Unternehmen sollten sich jetzt schon mit den Voraussetzungen der NIS2 Richtlinie auseinandersetzen.

NIS2 Deutschland: Stand der Umsetzung

Das Ziel von der NIS2 Umsetzung in Deutschland ist es, von der Richtlinie erfasste Unternehmen, Organisationen und Behörden widerstandsfähig zu machen und die europäische Gesellschaft in ihrem Alltag zu schützen.

So legt die NIS2 Richtlinie besonderen Wert auf die Zusammenarbeit zwischen Staat, Unternehmen und Forschungseinrichtungen. Dieser kooperative Ansatz ist von entscheidender Bedeutung, um die Cybersicherheit auf effektive und zielgerichtete Weise zu stärken und weiterzuentwickeln.

Obwohl die genauen Bestimmungen von NIS2 in Deutschland von der Umsetzung des deutschen Gesetzgebers abhängen und Detailfragen noch geklärt werden müssen, sind die Grundzüge der Umsetzung von NIS2 in Deutschland bereits festgelegt.  

Derzeit befindet sich das NIS2 Umsetzungsgesetz in der Phase des zweiten Referentenentwurfs und muss nach der Abstimmung in der Bundesregierung noch den Gesetzgebungsprozess auf Bundesebene durchlaufen. Dieses Gesetz betrifft hauptsächlich das BSI-Gesetz und sieht Änderungen und Ergänzungen verschiedener anderer Gesetze vor.  

NIS2 Deutschland: Auswirkungen auf Unternehmen

Unternehmen in Deutschland, die die Kriterien der NIS2 Richtlinie erfüllen, werden mit verschärften Anforderungen an ihre Informationssicherheit konfrontiert. Dies beinhaltet die Implementierung von Regeln und Verfahren zur Bewältigung von Sicherheitsvorfällen sowie die Einhaltung von zeitkritischen Melde- und Berichtspflichten.

Die Umsetzung der NIS2 Richtlinie führt zudem zur Einrichtung einer Kooperationsgruppe, die strategische Zusammenarbeit und Informationsaustausch zwischen den Mitgliedstaaten fördern soll.  

Ein Hauptziel von NIS2 in Deutschland ist die Förderung einer sektorübergreifenden Sicherheitskultur, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung ist und stark von Informations- und Kommunikationstechnologien in Bereichen wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen und digitaler Infrastruktur abhängt.  

Unternehmen, die von den Mitgliedstaaten als Betreiber wesentlicher beziehungsweise besonders wichtiger Dienste in den genannten Sektoren eingestuft werden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren.  

Nach der NIS2 Umsetzung in deutsches Recht ist eine Ausweitung der Anzahl von Unternehmen zu erwarten, für die NIS2 gilt, basierend auf aktuellen sektorspezifischen Schwellenwerten sowie Mitarbeiter- und Umsatzzahlen.

Obwohl Unternehmen derzeit noch keine Konsequenzen zu befürchten haben, sollten sie angesichts möglicher Bußgelder die Entwicklungen aufmerksam verfolgen, um rechtzeitig die erforderlichen Schritte zur NIS2 Konformität einzuleiten.

NIS2 Deutschland: Was sagt die deutsche Wirtschaft zu den Vorgaben der Politik?  

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in Zusammenarbeit mit einem Markt- und Meinungsforschungsdienstleister im Auftrag des Bundesministeriums des Innern und für Heimat (BMI) eine Umfrage unter KRITIS-Betreibern zur Wirksamkeit der gesetzlichen Maßnahmen des IT-Sicherheitsgesetzes durchgeführt. Das IT-Sicherheitsgesetz in Deutschland dient als nationale Umsetzung der NIS-Richtlinie und ergänzt die europäischen Vorgaben durch spezifische nationale Regelungen.

Ein zentrales Ergebnis dieser Befragung ist die hohe Akzeptanz der Vorgaben des BSI-Gesetzes bei den Betreibern Kritischer Infrastrukturen (KRITIS beziehungsweise laut NIS2 „wesentliche“ oder „besonders wichtige“ Einrichtungen).  

Neun von zehn Betreibern halten die Maßnahmen für sinnvoll und drei Viertel bestätigen einen positiven Einfluss auf die IT-Sicherheit in ihren Unternehmen. Die Befragung hat zudem gezeigt, dass das Thema Informationssicherheit im Zuge der Digitalisierung für praktisch alle Betreiber von großer Bedeutung ist und mehrheitlich von Anfang an berücksichtigt wird.

NIS2 Deutschland: Fazit und Vorteile für deutsche Unternehmen

Die NIS2 Umsetzung in Deutschland bringt eine Reihe von Vorteilen mit sich, die die Cybersicherheit im Land stärken.

Erstens stärkt sie die Cybersicherheit durch verschärfte Anforderungen an Unternehmen und Betreiber wesentlicher Dienste in kritischen Sektoren. Dies trägt dazu bei, die Resilienz gegenüber Cyberangriffen zu erhöhen und die Auswirkungen von Sicherheitsvorfällen zu minimieren.  

Zweitens fördert die Richtlinie eine verstärkte Zusammenarbeit zwischen den Mitgliedstaaten, Unternehmen und Forschungseinrichtungen, um den Informationsaustausch und die strategische Zusammenarbeit zu verbessern. Dies ermöglicht eine effektivere Bekämpfung von Cyberbedrohungen auf EU-Ebene.  

Drittens trägt die Umsetzung der NIS2 Richtlinie zur Schaffung eines gemeinsamen und hohen Niveaus der Netzwerk- und Informationssicherheit in der gesamten EU bei. Dies stärkt nicht nur die Sicherheit der europäischen Unternehmen, sondern verbessert auch das Vertrauen der Verbraucher in digitale Dienste und trägt zur Stabilität des digitalen Markts in Deutschland bei.  

Insgesamt bietet die NIS2 Umsetzung in Deutschland eine Chance, die Cybersicherheit zu stärken, die Zusammenarbeit zu verbessern und die digitale Widerstandsfähigkeit in der EU zu fördern.

Tobias Forbes

Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 6, 2023
8 min
Datenpanne: Was ist zu tun im Datenschutznotfall?

Datenpannen sind mittlerweile ein alltägliches Thema in den Nachrichten und verursachen hohe Kosten für Unternehmen. Laut einer Studie der „IBM“ hat allein eine einzige Datenpanne im Jahr 2018 ein deutsches Unternehmen bereits 4,25 Millionen Euro gekostet. Die durchschnittlichen Kosten für ein gestohlenes Datenset belaufen sich auf 172 Euro pro Unternehmen, was im Vergleich zum Vorjahr einen Anstieg von 9,1 % bedeutet. Leider werden Datenpannen aufgrund der steigenden Menge an verarbeiteten Daten und des Interesses daran auch in Zukunft eher zu- als abnehmen. Wie geht man also am besten mit Datenpannen um?

Lesen
November 23, 2023
8 min
EU NIS2: Die NIS2 Richtlinie verändert, wie wir in der EU über Cybersicherheit nachdenken

Die NIS2 Richtlinie markiert einen entscheidenden Schritt der Stärkung der Cybersicherheit in der Europäischen Union. Angesichts steigender Cyberbedrohungen setzt sie klare Standards. Auf Unternehmen kommen erhebliche finanzielle Investitionen zu. Die Richtlinie fördert Zusammenarbeit zwischen Mitgliedstaaten, stärkt Resilienz und trägt zur Bewältigung großflächiger Cybersicherheitsvorfälle bei. Zugleich stehen der EU Herausforderungen bevor, die eine regelmäßige Anpassung der Cybersicherheitsstrategie erfordern.

Lesen
June 5, 2023
4 min
Datenschutz bei Firmenevents: DSGVO beginnt bei der Einladung

Firmenevents sind eine großartige Möglichkeit, um das Team zu stärken und Beziehungen zu Kunden aufzubauen. Doch bei der Planung und Durchführung von Veranstaltungen müssen Unternehmen auch den Datenschutz im Blick behalten. In diesem Überblick haben wir die wichtigsten Aspekte zum Umgang mit personenbezogenen Daten bei Firmenevents zusammengetragen. Erfahren Sie, wie Sie Stolpersteine vermeiden und datenschutzrechtliche Anforderungen erfüllen können.

Lesen
TO TOP