NIS2 Richtlinie: Alles, was Unternehmen jetzt wissen müssen

‍

In diesem Artikel erklären wir:

‍

• die Neuerungen, welche mit der NIS2 Richtlinie im Vergleich zur Vorgängerversion (NIS1) einhergehen
• unter welchen Voraussetzungen Unternehmen von der NIS2 betroffen sein können und welche Sektoren besonders zu schützen sind
• welche Anforderungen an die Informationssicherheit im Zuge der NIS2 gegebenenfalls auch für Ihr Unternehmen gelten

‍

Das ist die NIS2: Definition und Anwendung

‍

Die NIS2 Richtlinie ist eine überarbeitete Version der bestehenden Richtlinie über Netz- und Informationssicherheit (NIS-Richtlinie), die Kriterien zur Identifizierung von Betreibern kritischer Infrastrukturen und Anforderungen an die Informationssicherheit festlegt.

‍

‍

Ziel der NIS-Richtlinien

‍

Durch die NIS-Richtlinien sollen wichtige Branchen und Dienstleistungen vor Gefahren im Internet, wie etwa Hackerangriffen, geschützt werden. In diesem Zusammenhang müssen Einrichtungen, welche die in der Richtlinie definierten Schwellenwerte erfüllen, bestimmte gesetzliche Anforderungen erfüllen. Zum Beispiel gelten Strom- und Wasserwerke oder auch Banken als systemrelevant, da sie eine Vielzahl an Bürgern versorgen bzw. bedienen.

‍

Die entsprechenden Unternehmen müssen gemäß der neuen Richtlinie geeignete Maßnahmen ergreifen, um ihre Systeme und Netzwerke sicherer zu machen. Aufgrund der fortschreitenden Digitalisierung wird die NIS-Richtlinie von der EU stetig überarbeitet.

‍

Die neue Version – NIS2 genannt– wurde 2022 veröffentlicht.

‍

Bis zu welchem Zeitpunkt muss die Umsetzung von NIS2 erfolgen?

‍

Die EU-Mitgliedsstaaten haben bis zum 18. Oktober 2024 Zeit, die NIS2 Richtlinie in nationales Recht zu überführen, da es sich um eine EU-Richtlinie und nicht um eine Verordnung handelt.

‍

NIS2 – der ausführliche Hintergrund

‍

Cybersicherheit ist zu einem immer dringenderen Thema auf der politischen Agenda der Europäischen Union (EU) und ihrer Mitgliedstaaten geworden, so auch Deutschland. Schließlich ist die Verwundbarkeit von Infrastrukturen in den vergangenen Jahren durch Hackerangriffe deutlich zutage getreten.

‍

Daher veröffentlicht und überarbeitet die EU aktiv eine Vielzahl von Rechtsvorschriften.

‍

Die neueste Ergänzung ist die NIS2 Richtlinie, welche zusätzliche Maßnahmen enthält, um ein hohes gemeinsames Niveau der Cybersicherheit in der Union zu gewährleisten. Das Bestreben danach, ein einheitliches Informationssicherheitsniveau für Netz- und Informationssysteme zu schaffen, ist jedoch keinesfalls neu, sondern schon ein längerem ein wichtiges Anliegen der EU.

‍

‍

Die NIS1 – erster Aufschlag für die europäische Cybersicherheit

‍

Denn bereits im Jahr 2016 führte die EU die erste Cybersecurity-Richtlinie ein – die aktuell noch gültige NIS-Richtlinie, auch NIS1 genannt. Diese wurde als Reaktion auf die zunehmende Bedrohungslage und die gestiegenen Anforderungen an die IT-Sicherheit in Europa geschaffen. Die Richtlinie enthält auch verbindliche Vorgaben zum Schutz der Systeme von sogenannten KRITIS-Unternehmen, also Unternehmen, welche als „Betreiber kritischer Infrastrukturen“ agieren. Für die Gesellschaft sind diese Institutionen von besonderer Wichtigkeit, da sie etwa in den Bereichen Energieversorgung, Gesundheit und Transport Dienstleistungen erbringen.

‍

Die NIS-Richtlinie ist Teil der europäischen Cybersecurity-Strategie, um die Cyberresilienz in der EU zu stärken, und gilt mittlerweile als eine der wichtigsten europäischen Rechtsvorschriften in Sachen Cybersicherheit. KRITIS-Unternehmen sind durch die Richtlinie zur Einhaltung festgelegter Mindeststandards verpflichtet, mit dem Ziel, den Schutz ihrer Systeme und Netzwerke aufrechtzuerhalten.

‍

Im Zuge dessen sind umfangreiche Anforderungen an die Informationssicherheit zu erfüllen, weshalb für Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) notwendig und sinnvoll ist.

‍

‍

NIS2 Richtlinie – stärkere Cyberresilienz für viel mehr Unternehmen

‍

Im Jahr 2021 folgten dann die ersten Lesungen und Debatten über den Entwurf der NIS2 Richtlinie. In dieser Phase hatten Vertreter aus verschiedenen europäischen Ländern die Möglichkeit, den Entwurf zu analysieren und ihre Standpunkte zu diskutieren. Diese Debatten waren von großer Bedeutung, da sie dazu beitrugen, die Richtung und den Inhalt der endgültigen Richtlinie zu formen.

‍

Im Juni 2022 kam es zu einer vorläufigen Einigung zwischen dem Europäischen Parlament und dem Rat der Europäischen Union. In diesem Kompromissvorschlag wurden die verschiedenen Standpunkte und Interessen berücksichtigt, um zu einer gemeinsamen Lösung zu gelangen. Diese Einigung markierte einen wichtigen Meilenstein auf dem Weg zur Umsetzung der NIS2 Richtlinie.

‍

Schließlich wurde am 14. Dezember 2022 die NIS2 Richtlinie offiziell unterzeichnet. Dies war ein bedeutsamer Schritt, der die Verbindlichkeit der Richtlinie festigte und den Weg für ihre Umsetzung in den Mitgliedstaaten der Europäischen Union ebnete. Nur wenige Tage später, am 27. Dezember 2022, wurde die NIS2 Richtlinie veröffentlicht, wodurch sie für die Öffentlichkeit zugänglich gemacht wurde.

‍

‍

Ein Meilenstein der europäischen Cybersecurity

‍

Die Veröffentlichung der NIS2 Richtlinie stellt einen wichtigen Meilenstein in der Entwicklung der Cybersicherheit in Europa dar. Mit ihren umfassenden Bestimmungen und Maßnahmen zielt die Richtlinie darauf ab, die Widerstandsfähigkeit und den Schutz kritischer Infrastrukturen und digitaler Dienste in der EU zu stärken.

‍

Sie legt Anforderungen für Unternehmen und Behörden fest, um Risiken zu bewerten, angemessene Sicherheitsvorkehrungen zu treffen und auf Sicherheitsvorfälle zu reagieren.

‍

Seit dem 16. Januar 2023 haben Deutschland und andere EU-Mitgliedsstaaten 21 Monate Zeit, um die neuen Regelungen in nationales Recht umzusetzen. Das bedeutet, dass bestehende Gesetze in Deutschland entweder an die neue Rechtslage anzupassen oder aber neue Gesetze zu erlassen sind.

‍

Voraussichtlich betreffen die Maßnahmen das IT-Sicherheitsgesetz 2.0 sowie die KRITIS-Verordnung – beide Gesetze regeln in Deutschland derzeit die IT-Sicherheit für Betreiber kritischer Infrastrukturen. Die bisherige NIS1 Richtlinie wird schließlich am 18. Oktober 2024 aufgehoben, jedoch ist es bereits jetzt erforderlich, dass die betroffenen Unternehmen aktiv werden.

‍

Im Oktober 2024 wird Deutschland verpflichtet sein, die europäische NIS2 Richtlinie in ihr nationales Recht zu integrieren. Es wird geschätzt, dass nahezu 30.000 Unternehmen in Deutschland davon betroffen sein werden. Wie reagiert die deutsche Wirtschaft auf die ambitionierten Ziele der EU?

‍

Große Konzerne, die über umfangreiche Compliance-Abteilungen verfügen, haben bereits begonnen, sich intensiv mit der NIS2 Richtlinie zu befassen und ihre Informationssicherheit im Hinblick auf das festgelegte Datum umfassend zu überprüfen. Im Gegensatz dazu sind sich viele Unternehmen im Mittelstand häufig nicht bewusst, dass sie in den Geltungsbereich der Richtlinie fallen.

‍

‍

NIS2 – strenge Auflagen für Unternehmen in der EU

‍

Die „Size-Cap-Rule“

Die NIS2 Richtlinie bringt im Vergleich zur NIS1 Richtlinie eine Reihe von Neuerungen mit sich, die darauf abzielen, die Cybersicherheit in der Europäischen Union zu harmonisieren und zu stärken. Eine der wesentlichen Neuerungen besteht in der Einführung der „Size-Cap-Rule“, die eine neue Definition des Anwendungsbereichs festlegt.

‍

Gemäß dieser Regelung sollen alle Mitgliedstaaten der EU eine einheitliche Logik zur Einstufung kritischer Infrastrukturen verwenden. Dies gewährleistet eine kohärente Herangehensweise an die Identifizierung und den Schutz dieser wichtigen Einrichtungen in allen EU-Ländern.

‍

Cybersicherheits-Risikomanagement

‍

Ein weiterer wichtiger Aspekt der NIS2 Richtlinie ist das Cybersicherheits-Risikomanagement. Dies beinhaltet die Umsetzung von Risikoanalyse- und Sicherheitskonzepten, Vorfallmanagement sowie die Gewährleistung von Sicherheit in den Lieferketten.

‍

Durch diese Maßnahmen sollen Unternehmen und Behörden in der Lage sein, Risiken frühzeitig zu erkennen, angemessene Sicherheitsvorkehrungen zu treffen und effektiv auf Sicherheitsvorfälle zu reagieren.

‍

TOM gemäß dem Stand der Technik

‍

Die NIS2 Richtlinie fordert auch technische und organisatorische Maßnahmen (TOM) gemäß dem Stand der Technik. Dies bedeutet, dass Unternehmen und Behörden die aktuellen technologischen Entwicklungen berücksichtigen und angemessene Sicherheitsvorkehrungen treffen müssen, um den Schutz ihrer digitalen Infrastrukturen und Dienste zu gewährleisten.

‍

Meldepflichten

‍

Ein weiterer wichtiger Aspekt sind die Meldepflichten. Gemäß der NIS2 Richtlinie müssen Vorfälle innerhalb von 24 Stunden nach Bekanntwerden gemeldet werden. Innerhalb von 72 Stunden nach der Meldung erfolgt gegebenenfalls eine Aktualisierung und erste Bewertung.

‍

Abschließende Berichte müssen spätestens einen Monat nach Bekanntwerden des Vorfalls vorgelegt werden. Diese Meldepflichten sollen eine verbesserte Transparenz und Koordination bei der Bekämpfung von Cybersicherheitsvorfällen gewährleisten.

‍

Höhere Bußgelder

‍

Ein weiterer wichtiger Aspekt sind die höheren Bußgelder und Strafen, die mit der NIS2 Richtlinie eingeführt wurden. Für wesentliche Einrichtungen können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) verhängt werden.

‍

Für wichtige Einrichtungen beträgt das Bußgeld bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

‍

Diese strengeren Strafen sollen Unternehmen und Behörden dazu ermutigen, angemessene Maßnahmen zur Gewährleistung der Cybersicherheit zu ergreifen und mögliche Verstöße ernsthaft zu behandeln.

‍

Das ist das Ziel der NIS2

‍

Die NIS2 Richtlinie bringt somit eine Reihe von bedeutenden Neuerungen mit sich, die darauf abzielen, die Cybersicherheit in der Europäischen Union zu verbessern. Durch die Harmonisierung der Standards, die Stärkung des Risikomanagements, die Einführung von Meldepflichten und die Verschärfung der Bußgelder schafft die NIS2 Richtlinie einen umfassenderen und effektiveren Rahmen für den Schutz kritischer Infrastrukturen und digitaler Dienste.

‍

Das Ziel von NIS2 ist es, innerhalb der gesamten EU die Cybersicherheit für kritische Infrastruktur weiter zu verbessern. Dies soll sämtliche Infrastrukturen innerhalb der EU gegen Bedrohungen wie etwa Hackerangriffe schützen. Die NIS2 zielt somit darauf ab, die gegenwärtigen Herausforderungen der Cybersicherheit zu bewältigen, wobei die Richtlinie hier besonders die zunehmende Digitalisierung von Diensten und die Verbreitung von IoT-Geräten (Internet der Dinge) berücksichtigt.

‍

Angestrebt wird die Verbesserung der Resilienz und Reaktionsfähigkeit im Bereich der Cybersicherheit zum Schutz der kritischen Infrastrukturen und digitalen Dienste in öffentlichen und privaten Sektoren sowie der EU insgesamt. Das soll sicherstellen, dass systemrelevante Infrastrukturen auch in Krisen funktionieren.

‍

NIS2 – welche Unternehmen sind konkret davon betroffen?

‍

Wenn Ihr Unternehmen innerhalb des Geltungsbereichs fällt, muss es die Bestimmungen erfüllen, die in den nationalen Durchführungsbestimmungen der NIS2 Richtlinie als verbindliches Gesetz umgesetzt sind.

‍

Das geht einher mit verschärften Anforderungen an Unternehmen. So ist eine Auseinandersetzung mit Themen wie etwa Cyber-Risikomanagement, Überwachung und Kontrolle sowie Umgang mit Zwischenfällen und Geschäftskontinuität zwingend erforderlich.

‍

Im Zuge der NIS2 sind fortan zudem weitere Unternehmen betroffen, denn mit der neu definierten Richtlinie hat sich die Zahl der Branchen und Sektoren erweitert. Hierbei unterscheidet NIS2 zwischen „wesentlichen“ („Essential“) und „wichtigen“ („Important“) Sektoren.

‍

NIS2 führt erstmals die „wichtigen Einrichtungen“ ein, die den Umfang der Kritischen Infrastruktur erweitern. Daher fallen nun auch Unternehmen wie digitale Marktplätze oder die Lebensmittelindustrie unter die NIS2 Richtlinie. In Deutschland geht der Gesetzgeber von etwa 30.000 Unternehmen aus, die von NIS betroffen sind. Auf die „wichtigen Einrichtungen“ entfallen dabei mehr als 20.000 Unternehmen.

‍

Zu den wesentlichen Einrichtungen zählen in Deutschland mehr als 8.000, darunter etwa 4.700 digitale Dienste und Betreiber Kritischer Infrastrukturen (KRITIS) und rund 3.400 neue wesentliche Einrichtungen.

‍

Mit der NIS2 wird außerdem eine „size-cap“-Regel eingeführt, die besagt, dass Unternehmen, die mindestens mittelgroße Unternehmen sind und unter die speziellen Sektoren fallen, jetzt der NIS2 unterliegen. Demnach ist die Anzahl an Unternehmen gestiegen, welche die Richtlinie und die nachfolgenden nationalen Vorschriften, die in diesem und im kommenden Jahr veröffentlicht werden, einzuhalten haben.

‍

‍

‍

‍

1. Kriterium: Die Unternehmensgröße

• min. 50 Mitarbeiter und​
• Jahresumsatz/Jahresbilanz übersteigt 10 Mio. EUR

‍

können unter den Anwendungsbereich der NIS2 Richtlinie fallen.

‍

2. Kriterium: Der Unternehmenssektor

‍

Der zweite wesentliche Punkt ist der Sektor, in welchem ein Unternehmen tätig ist. In der NIS2 gibt es nun elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren. Erfüllt Ihr Unternehmen die Kriterien der Unternehmensgröße und ist in den folgenden Sektoren tätig, so unterliegt es der NIS2:

‍

1. Energie
2. Transport
3. Bankwesen
4. Finanzmarktinfrastruktur
5. Gesundheit
6. Trinkwasser
7. Abwässer
8. Digitale Infrastruktur
9. IKT-Dienstleistungsmanagement (B2B)
10. Öffentliche Verwaltungen
11. Weltraum
12. Post- und Kurierdienste
13. Abfallwirtschaft
14. Herstellung, Produktion und Vertrieb von Chemikalien
15. Lebensmittelproduktion, -verarbeitung und -vertrieb
16. Herstellung
17. Digitale Anbieter
18. Forschung

‍

Die Abwasserwirtschaft, die öffentliche Verwaltung und die Weltraumwirtschaft sind dabei neue Sektoren im Bereich der „wesentlichen Einrichtungen“. Der Postsektor, die Abfallwirtschaft, die Chemie, die Lebensmittelwirtschaft, das produzierende Gewerbe sowie Digitalanbieter zählen nun zu den „wichtigen Einrichtungen“.

‍

Für „wichtige Einrichtungen“ sind dabei geringere Geldstrafen vorgesehen, und sie unterliegen einer reaktiven Aufsicht durch die Behörden. Im Gegensatz zur proaktiven Aufsicht, welche den „wesentlichen Einrichtungen“ vorbehalten ist.

‍

Unabhängig von der Größe und des Umsatzes eines Unternehmens gibt es zudem auch bestimmte Ausnahmen, bei denen selbige durch den Anwendungsbereich der NIS2 erfasst sind, etwa wenn ein Unternehmen kritische Tätigkeiten ausübt, Auswirkungen auf die öffentliche Ordnung nimmt oder Systemrisiken sowie grenzüberschreitende Auswirkungen bestehen. Gleichermaßen kann ein Unternehmen bei gewissen Ausnahmen auch gänzlich von der NIS2 ausgenommen sein.

‍

‍

NIS2 – das sind die Auswirkungen für Unternehmen

‍

Sofern Ihr Unternehmen die genannten Kriterien erfüllt, gelten bald verschärfte Anforderungen an Ihre Informationssicherheit. Dazu gehören auch Regeln und Verfahren für den Umgang mit Sicherheitsvorfällen sowie zeitkritische Melde- und Berichtspflichten.

‍

Das Statistische Bundesamt schätzt in einer Folgekostenabschätzung zur Einführung der NIS2 Richtlinie die Kosten für die Wirtschaft auf 1,65 Milliarden Euro jährlich. Für die Einführung von neuen Prozessen im Zuge der NIS2 Konformität rechnet das Statistische Bundesamt mit einem einmaligen Aufwand von 1,37 Milliarden Euro, wovon allein 120 Millionen Euro zu den Bürokratiekosten zählen. Die Kosten für deutsche Unternehmen, auch für mittelständische mit mehr als 49 Mitarbeitenden, könnten also enorm sein.

‍

Zudem entsteht die Notwendigkeit

‍

• der Ausführung einer Risikobewertung, um potenzielle Angriffe und potenzielle Informationssicherheitsrisiken zu identifizieren und zu beurteilen.
• der Implementierung eines Informationssicherheitsmanagementsystems (ISMS), um die Sicherheitsmaßnahmen effektiv und regelmäßig zu überwachen sowie auf dem neuesten Stand zu halten.
• der Meldung der Ergebnisse dieser Sicherheitsüberprüfungen an die zuständigen Behörden.
• des Informierens und Schulens der Mitarbeitenden allgemein zum Thema Informationssicherheit.
  
  ‍

Überdies ist auch die Betreibung eines effektiven Risikomanagements zwingend erforderlich.

‍

NIS2 mit ISMS umsetzen – einfacher und schneller compliant

‍

Der effektivste Weg, die Vorgaben umzusetzen, ist die Implementierung eines ganzheitlichen Informationssicherheitsmanagementsystems (ISMS). Der ISMS-Goldstandard ist die ISO 27001. Der Aufbau eines ISMS nach dem international anerkannten Standard kann ziemlich komplex und sollte nicht unterschätzt werden.

‍

SECJURs automatisierte Compliance-Plattform macht diesen Prozess jedoch deutlich einfacher und schneller. Mit einem ISMS mit SECJUR erreichen Sie binnen Rekordzeit eine ISO-27001-Zertifizierung und sparen sich zeitintensive, aufreibende Arbeiten, die Sie auf anderem Wege mühsam manuell erledigen müssten.

‍

‍

„Einer der wichtigsten Pfeiler zur Umsetzung der NIS2 ist der Aufbau eines robusten, auditfähigen Informationssicherheitsmanagementsystems. Informationssicherheitsmanagementsysteme schaffen eine umfassende Sicherheitsstruktur für Unternehmen, Betriebe und Organisationen. Die vielschichtige und komplexe Natur dieser Systeme berücksichtigt sowohl technische als auch menschliche Sicherheitsaspekte und kann den entscheidenden Unterschied bei Cyberangriffen ausmachen.“ – Sven Moritz, Chief Executive Officer von SECJUR

‍

Mit einem ISMS von SECJUR zur NIS2-konformen Cybersicherheit

‍

Angesichts des aktuellen wirtschaftlichen und unternehmerischen Klimas stellt die NIS2 eine der bedeutendsten Compliance-Herausforderungen der letzten Jahre dar – und sie wird weiterhin erhebliche Auswirkungen haben. Die Einführung der NIS2 Richtlinie ist von entscheidender Bedeutung für die Europäische Union: Sie bietet eine effektive Antwort auf die wachsenden Herausforderungen der Cybersicherheit.

‍

Hackerangriffe verursachen nicht nur finanzielle Schäden, sondern erschüttern auch das Vertrauen der Bürgerinnen und Bürger in unsere digitale Gesellschaft. Die EU zeigt: Sie ist bereit, mit vereinten Kräften zu handeln, um die Sicherheit unserer digitalen Infrastrukturen zu gewährleisten. Indem sie die Standards für Cybersicherheit erhöht, schützt sie nicht nur unsere kritischen Infrastrukturen, sondern auch die Stabilität unserer Gesellschaft.

‍

Mit einer angemessenen Implementierung der neuen Richtlinie können Unternehmen von erstklassigem Schutz auf menschlicher, technischer und finanzieller Ebene profitieren. Robuste Informationssicherheit fungiert als präventiver Schutz gegen umfassende Infrastrukturausfälle und nicht versicherbare wirtschaftliche Verluste. Daher ist die NIS2 ein bedeutsamer und angemessener Fortschritt zur Verbesserung der Cyberresilienz innerhalb der EU.

‍

Viele Unternehmen haben bereits erkannt: Ohne Investitionen in effizientere und kostengünstigere Prozesse wird es nahezu unmöglich sein, die Fülle an Compliance-Anforderungen zu erfüllen, die auch durch NIS2 nun auf die zukommen. Ein robustes ISMS ist ein bedeutender Schritt für Unternehmen, um ihre Informationssicherheit zu demonstrieren. Mit SECJUR an Ihrer Seite können Sie sich auf unsere TÜV- und ISACA-zertifizierten Experten verlassen.  

‍

Mithilfe von SECJUR können Sie zügig und effektiv ein Informationssicherheits-Managementsystem gemäß ISO 27001, dem Goldstandard in der Informationssicherheit, implementieren. Dies ermöglicht es Ihnen, die Anforderungen von NIS2 zu erfüllen. Unsere Automatisierungsplattform hilft Ihnen dabei, Hunderte von Arbeitsstunden einzusparen und gewährleistet gleichzeitig die Konformität Ihres Unternehmens mit NIS2.

‍

Unsere Lösung bietet Ihnen die Unterstützung, die Sie benötigen, um Ihre Informationssicherheit auf ein neues Level zu heben. Nehmen Sie noch heute Kontakt mit uns auf und erfahren Sie, wie wir Sie bei Ihrer NIS2 Compliance unterstützen können.