Cybersicher mit neuer EU-Reform IT-Sicherheit: Was ihr zur neuen NIS-2-Richtlinie wissen solltet

Bedrohungen in der digitalen Welt sind allgegenwärtig. Die NIS-2-Richtlinie soll die Cybersicherheit in Deutschland und in der Europäischen Union revolutionieren. Dabei möchte die EU, dass die Cyberresilienz unterstützt wird und, dass auf internationaler und nationaler Ebene ein verbesserter Informationsaustausch geschieht. Die Richtlinie ist am 16. Januar 2023 in Kraft getreten. Nun sollen alle EU-Mitgliedstaaten bis Oktober 2024 die Thematik in nationales Recht umsetzen. Aber was bedeutet das jetzt für euren Betrieb? Im Folgenden werden wir euch die wichtigsten Informationen zur NIS-2-Richtlinie auf den Weg geben!

Themen in diesem Beitrag:

 Erstklassige Absicherung ab 83,- EUR mtl.

Leistungen Erstklassige Absicherung ab 83,- EUR mtl.

  • Bestellung von Fachkraft für Arbeitssicherheit und Betriebsarzt
  • Erstellung von Gefährdungsbeurteilungen, Unterweisungen und vieles mehr
  • Dauerhafte Preisgarantie

Jetzt Angebot erhalten

Was ist die NIS-Richtlinie?

Die erste NIS-Richtlinie wurde 2016 von der EU verabschiedet. Dabei stand die Sicherheit von Netz- und Informationssystemen im Vordergrund, um den Binnenmarkt zu schützen. NIS ist die Abkürzung für „Network and Information Security“. Mit der Schaffung der überarbeiteten Verordnung sind alle Mitgliedstaaten nun verpflichtet, eine Strategie auszuarbeiten, damit Unternehmen, die kritische Dienste bereitstellen, Sicherheitsanforderungen erfüllen.

Darunter wurden die folgenden Pflichten für europäische Unternehmen festgeschrieben:

  • Informationssicherheitsmanagementsysteme (ISMS) implementieren
  • Sicherheitsrichtlinien einhalten
  • Netzwerke und Systeme regelmäßig überprüfen

Was hat sich mit der NIS-2-Richtlinie verändert?

Seit 2016 hat sich viel verändert, besonders im digitalen Raum. Die bestehenden Regelungen sollen erweitert und verbessert werden. Damit ist die neue NIS-2-Richtlinie die weiterentwickelte Form der ersten NIS-Richtlinie. Dabei haben die EU-Mitgliedstaaten angeordnet, dass der Kreis der betreffenden Unternehmen ausgeweitet wird. Zudem muss auf weitere Anforderungen geachtet werden, darunter:

  • Strengere Sicherheitsanforderungen
  • Einheitlichere Regelungen für EU-Mitgliedstaaten
  • Bußgelderhöhung bei Verstoß
  • Verstärkung der Rolle der Behörden
Zwei Ingenieurinnen oder Technikerinnen mit Schutzhelm besprechen ein Projekt in einer Industriefabrik. © Adobe Stock, winnievinzence
Seit der Modernisierung durch die NIS-2-Richtlinie ist eine Vielzahl von Unternehmen zu den Betroffenen hinzugekommen. © Adobe Stock, winnievinzence

Ist euer Unternehmen von der NIS-2-Richtlinie betroffen?

Ob euer Unternehmen von der NIS-2-Richtlinie betroffen ist, hängt von dem Unternehmenssektor, der Unternehmensgröße und dem Unternehmensumsatz ab. Schätzungsweise sind in Deutschland zwischen 25.000 und 40.000 Unternehmen von der neuen Richtlinie betroffen.

Welche Branchen sind genau angesprochen?

Von den neuen Anordnungen sind Unternehmen betroffen, die kritische Dienste bereitstellen. Laut der EU wird zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren unterschieden. Damit wurde die bisherige Richtlinie erweitert und es werden mehr Unternehmen angesprochen.

Sektoren mit hoher Kritikalität:

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Trinkwasserlieferung und -versorgung
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten (B2B)
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren:

  • Post- und Kurierdienst
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel von chemischen Erzeugnissen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Digitale Anbieter
  • Forschungseinrichtungen

Ab welcher Unternehmensgröße sind die NIS-2-Richtlinien einzuhalten?

Vor der Reform der NIS-1-Richtlinie waren eher größere Unternehmen verpflichtet, diese einzuhalten. Nun hat sich das geändert. Ab jetzt sollen alle Unternehmen auf die neue NIS-Richtlinie achten, die sich in den kritischen Sektoren befinden und die folgenden Kennzahlen besitzen:

  • Mittlere Unternehmen: Bei einer Belegschaft zwischen 50 und 249 Personen oder einem Umsatz zwischen 10 und 50 Mio. Euro
  • Große Unternehmen: Ab einer Belegschaft von 250 Personen oder einem Umsatz von min. 50 Mio. Euro
Workshop mit einem Geschäftsmann, der im Sitzungssaal des Büros mit seinem Team spricht. © Adobe Stock, Viglietti/peopleimages.com
Eine Schulung über Cyberssicherheit mit relevanten Personen aus eurem Unternehmen ist obligatorisch und sollte regelmäßig stattfinden. © Adobe Stock, Viglietti/peopleimages.com

Welche Pflichten sind für Unternehmer:innen obligatorisch?

Unternehmen, die von den NIS-2-Richtlinien betroffen sind, unterliegen neuen Verpflichtungen. Hier sind die Pflichten für Unternehmer:innen zusammengefasst:

  • Maßnahmen: Betroffenen Organisationen sollen eine Reihe von Schutzmaßnahmen umsetzen. Dazu gehören unter anderem Risikoanalysen, Business-Continuity, Sicherheit in der Lieferkette und Multi-Faktor-Authentifizierung. Dabei schlägt die Richtlinie konkrete Mindestmaßnahmen vor. Je nach Unternehmensgröße gibt es unterschiedliche Vorgaben, sodass bei kleineren Unternehmen mit begrenzten Ressourcen weniger strenge Anforderungen erforderlich sind als bei großen Betrieben.
  • Identifizierung und Registrierung: Sollten Institutionen kritische Bereiche identifizieren, müssen sie sich gemäß dem gesetzlichen Melde- und Nachweispflichten selbst als verpflichtete Institution mit ihren kritischen Bereichen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
  • Kontaktstelle: Verpflichtende Unternehmen und Institutionen benennen eine Kontaktstelle und weisen diese dem BSI nach. Die Kontaktstelle soll jederzeit erreichbar sein.
  • Meldepflichten: Erhebliche Störungen in kritischen Bereichen müssen unverzüglich innerhalb 24 Stunden nach Erkennen der Störung an das BSI gemeldet werden. Innerhalb von 72 Stunden soll eine erste Bewertung vorgelegt und innerhalb eines Monats einen ausführlichen Abschlussbericht eingereicht werden.
  • Schulungen: Leitungsorgane, wie unter anderem die Geschäftsführung, sind verpflichtet, an Cybersicherheits-Schulungen teilzunehmen.

Euer Unternehmen ist schon KRITIS reguliert. Trotzdem relevant?

Bei KRITIS handelt es sich um kritische Infrastrukturen. Im Fokus stehen Unternehmen oder auch Organisationen, die vom staatlichen Gemeinwesen als wichtig eingestuft werden. In Deutschland bestand schon seit 2015 ein gültiger Rechtsrahmen mit dem IT-Sicherheitsgesetz (IT-SiG), das die Zusammenarbeit zwischen Staat und Unternehmen für mehr Cybersicherheit bei KRITIS regelt.

Bislang galt die KRITIS-Gesetzgebung besonders für größere Institutionen. Die modernisierte NIS-Richtlinie ist nun auch für kleinere Unternehmen essenziell. Auch wenn ein Unternehmen schon KRITIS reguliert ist, dann sind die neuen Anforderungen trotzdem relevant. Die NIS-2-Richtlinie erweitert die Pflichten für bereits etablierte Betreiber:innen kritischer Infrastrukturen (KRITIS). Jetzt müssen erhebliche Sicherheitsvorfälle auch an Stakeholder, wie Kund:innen, Lieferant:innen und an die Öffentlichkeit gemeldet werden. Zusätzlich zu den bestehenden Anforderungen gibt es jetzt eine stark erweiterte Schulungspflicht und eine intensivere Überwachungspflicht des Risikomanagements. Bislang war auch die Lieferkette kein Bestandteil von KRITIS, welches die neue NIS-Richtlinie jetzt erweitert.

Ein Hammer und vier Euro-Banknoten. © Adobe Stock, Yingko
Strengere Sanktionen und Bußgelder stehen nun für das Nichteinhalten der EU-Regulierung an. © Adobe Stock, Yingko

Was sind Folgen eines Verstoßes der NIS-2-Richtlinie?

Mit der Reformierung der NIS-Richtlinie wurden auch Strafen angepasst. Dabei wurden die Strafen bzw. Haftungen deutlich verschärft. Dazu ein Überblick:

Sanktionsvorschriften:

  • Stufenkonzept für Bußgeldtatbestände bis zu 20 Millionen EUR
  • Fahrlässiges und vorsätzliches Verschulden
  • Geldstrafen liegen zwischen 7 und 10 Mio. Euro oder 1,4-2 % des weltweiten Umsatzes im vorigen Jahr, je nachdem, welcher Betrag höher ist und der Relevanz des Unternehmens

Haftungsrisiko für Geschäftsleitung aufgrund mangelhaft überwachten Risikomanagementprozesses:

  • Lösegeldzahlungen
  • Kosten für externe Dienstleister
  • Bußgelder infolge von DSGVO- oder BSIG-Verstößen

Cybersicherheit effizient angehen mit der Arbeitssicherheit Sofort!

Die digitale Sicherheit von Unternehmen ist ein populäres und signifikantes Thema, wegen zunehmenden Cyberattacken. Dabei ist die Prävention für euer Unternehmen immer besser als die nachträgliche Schadensbegrenzung. Wenn ihr zu den Unternehmen gehört, die sich an die NIS-2-Richtlinie halten müssen, dann gelten nun strengere Sicherheitsanforderungen.

Damit ihr digital geschützt seid, steht euch die Arbeitssicherheit Sofort zur Seite. Um die maximale technische Sicherheit eurer Systeme zu gewährleisten, bieten wir verschiedene Angebote an, die euch dabei helfen, eure IT-Sicherheit auf das nächste Level zu bringen!

 Jetzt unverbindliches Angebot anfordern

Angebot Jetzt unverbindliches Angebot anfordern

  • Bestellung von Fachkraft für Arbeitssicherheit und Betriebsarzt
  • Erstellung von Gefährdungsbeurteilungen, Unterweisungen und vieles mehr
  • Rechtlich perfekt abgesichert

Jetzt Angebot erhalten

Beitragsbild: © Adobe Stock, peterschreiber.media

Weitere Themen aus diesem Artikel