Junge Frau schaut auf ihren PC Bildschirm und tippt.
Resilient Business

Was die NIS2-Richtlinie für Unternehmen bedeutet 

Artikel

11.07.2024

Die NIS2-Richtlinie beschreibt Maßnahmen zur Stärkung der Netzwerk- und Informationssicherheit europäischer Unternehmen. Sie entfaltet voraussichtlich im Herbst 2024 ihre Rechtswirkung. Wir zeigen, worum es geht und welche Firmen betroffen sind.

Die NIS2-Richtlinie der EU verfolgt das Ziel, die Cybersicherheit von Unternehmen bestimmter Branchen zu steigern. Erreicht werden soll dies durch verschiedene Maßnahmen, die über die bestehende NIS-Richtlinie aus dem Jahr 2016 hinausgehen. Zudem bringt NIS2 umfangreiche Berichts- und Nachweispflichten an die zuständige nationale Behörde mit sich, in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI). Schätzungsweise 29.000 Unternehmen sind hierzulande von NIS2 betroffen. Dies beinhaltet auch viele kleine und mittlere Unternehmen ab 50 Mitarbeitenden. 

NIS2 wird derzeit durch die EU-Mitgliedsstaaten in nationales Recht überführt, die nationale Umsetzung muss bis zum 17. Oktober 2024 abgeschlossen sein. Das heißt, NIS2 tritt spätestens dann auch in Deutschland in Kraft.  

Was ist die NIS2-Richtlinie und woher kommt sie? 

Die NIS2-Richtlinie löst die vorausgehende NIS-Richtlinie aus dem Jahr 2016 ab. Schließlich will man der Tatsache Rechnung tragen, dass sich die Anforderungen an die Cybersicherheit in den vergangenen acht Jahren verändert haben. NIS2 verschärft daher die Sicherheitsanforderungen an Unternehmen signifikant und konkretisiert Maßnahmen zum Risikomanagement. Diese umfassen technische Schritte wie die Prävention und Abwehr von Sicherheitsvorfällen sowie organisatorische Initiativen, unter anderem zur Absicherung der Lieferkette oder des Personals.  

Wer ist von der NIS2-Richtlinie betroffen? 

Im Vergleich zur vorausgehenden NIS-Richtlinie erweitert NIS2 den Kreis betroffener Unternehmen enorm. Dieser richtet sich vor allem nach Sektor sowie Größe der Firmen. Zudem sieht NIS2 Maßnahmen für „wesentliche“ sowie „wichtige“ Einrichtungen vor. Hinsichtlich der Cybersicherheitsanforderungen, die an betroffene Unternehmen gestellt werden, gibt es derzeit keine Unterscheide. Wir haben die Übersicht über wesentliche und wichtige Einrichtungen daher vereinfacht: 

Das Bild zeigt eine Übersicht, welche Unternehmen und Branchen von NIS2 betroffen sind. Unternehmen mit (1) mindestens 50 Mitarbeitenden oder (2) einem Jahresumsatz von 10+ Mio. Euro und einer Jahresbilanzsumme von 10+ Mio. Euro in folgenden Sektoren: Energie, Transport und Verkehr, Finanzen- und Versicherungswesen, Gesundheit, Wasser und Abwasser, IT und Telekommunikation, Weltraum, Anbieter von Telekommunikationsdiensten oder öffentlich zugänglichen Telekommunikationsnetzen, Post- und Kurierdienste, Siedlungsabfallentsorgung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Herstellung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Digitale Dienste, Forschung. Größenunabhängig in den Sektoren: (Qualifizierte) Vertrauensdienste, Top Level Domain Name Registries (Registrare für Internet-Domains wie .com oder .de), Domain-Name-System-Dienste (DNS) - Übersetzer von Webadressen in maschinenlesbare IP-Adressen, z.B. "google.de" zu IP "8.8.8.8", Einrichtungen der öffentlichen Verwaltung.

Was fordert die NIS2-Richtlinie und wie kann sie umgesetzt werden? 

NIS2 verlangt zahlreiche Cybersicherheitsmaßnahmen, um Netzwerke, Informationssicherheit und die physische Umgebung dieser Systeme vor Sicherheitsvorfällen zu schützen. Ferner müssen sich Unternehmen, die in den Anwendungsbereich von NIS2 fallen, beim BSI registrieren. Sicherheitsvorfälle müssen gemeldet und in einigen Fällen Nachweise über umgesetzte Cybersicherheitsmaßnahmen erbracht werden. Die Geschäftsleitung der betroffenen Unternehmen ist ferner verpflichtet, Maßnahmen zu billigen und die Umsetzung zu überwachen sowie dies nachzuweisen.  

Auf Betreiber kritischer Anlagen kommen weitreichende Maßnahmen zu. Für solche Unternehmen gelten auch „aufwändigere“ Maßnahmen noch als verhältnismäßig, und die kritischen Anlagen liegen im Fokus. Systeme zur Angriffserkennung müssen zudem verpflichtend eingesetzt werden. 

Bis wann müssen Unternehmen die NIS2-Richtlinie umgesetzt haben? 

Die Uhr tickt: Die NIS2-Richtlinie muss EU-weit bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Zum Zeitpunkt der Erstellung dieses Artikels  gibt es erste Hinweise, dass das deutsche NIS2-Umsetzungsgesetz nicht fristgerecht in Kraft tritt und die NIS2-Richtlinie in Deutschland vorübergehend unmittelbar anwendbar werden könnte. Jedenfalls können es sich betroffene Unternehmen nicht mehr leisten, NIS2 auf die lange Bank zu schieben. Denn je mehr sich das Zeitfenster schließt, desto schwieriger wird es sein, alle notwendigen Ressourcen für die zeitgemäße Umsetzung zu bekommen. Der Entwurf für das NIS2-Umsetzungsgesetz sieht aktuell keine weiteren Übergangsfristen vor. 

Welche Sanktionen drohen bei Nichteinhaltung der NIS2? 

Dem BSI werden umfassende Aufsichts- und Durchsetzungsrechte eingeräumt. Es kann Überprüfungen durchführen und verbindliche Anweisungen erteilen, damit Unternehmen die Pflichten aus NIS2 umsetzen. Wird den Aufforderungen nicht nachgekommen, ist das BSI berechtigt, die Untersagung der Geschäftstätigkeit zu beantragen und die Geschäftsführung von ihren Leitungsaufgaben zu entbinden. Zudem drohen, je nach Schwere des Verstoßes und betroffener Einrichtung, zusätzlich Bußgelder in Höhe von bis zu zehn Millionen Euro beziehungsweise zwei Prozent des weltweiten Vorjahresumsatzes – je nachdem, welcher Betrag höher ist. 

Wie hilft die NIS2-Richtlinie dabei, die Cybersicherheit zu erhöhen? 

Die NIS2-Richtlinie wirkt ganzheitlich, wenn sie harmonisch umgesetzt wird: mit klaren Zielvorgaben, einer wirtschaftlichen Nutzung von Ressourcen und einer Optimierung der Informationssicherheit. 

  • Besseres Management von Sicherheitsvorfällen: NIS2 verlangt, dass sich Verantwortliche mit der Bewältigung von Sicherheitsvorfällen auseinandersetzen. Der Einsatz geeigneter Technologien und interner Prozesse, um Vorfälle möglichst schnell zu erkennen und zu behandeln, kann die negativen Auswirkungen erheblich minimieren. Dadurch sinken die Schäden durch Ausfallzeiten oder Datenverluste. 
  • Effizienter Ressourceneinsatz und höhere Produktivität: NIS2 verlangt von Unternehmen eine Bandbreite verschiedener Maßnahmen für die Cybersicherheit. Dies bietet die Chance, einen ganzheitlichen Blick auf große Teile der eigenen Organisationen zu erhalten. So können Sicherheitsprozesse End-to-End optimiert werden, damit die Cybersicherheit nicht mehr als „Verhinderer“ angesehen wird.  

Fazit zu NIS2 

Die Implementierung der NIS2-Richtlinie stellt für Unternehmen nicht nur eine weitere lästige Pflicht zur Erfüllung gesetzlicher Anforderungen dar, sondern bietet auch erhebliche Vorteile. Ein proaktiver Ansatz zur Stärkung der Cybersicherheit nach NIS2-Standard kann die Resilienz der Organisation verbessern, Vertrauenswürdigkeit bei Kunden sowie Geschäftspartnern steigern und Wettbewerbsvorteile sichern. Für CISOs und Geschäftsführungen fördert die Richtline innovative Sicherheitslösungen und etabliert robuste Prozesse, die die operative Exzellenz unterstützen. Durch eine tiefere Analyse und ein besseres Management der eigenen IT-Landschaft lassen sich Sicherheitslücken schneller erkennen und schließen.  

Hier finden Sie ein umfassendes Whitepaper zur Umsetzung der NIS2-Richtlinie und hier können Sie mit unserem NIS2-Check ermitteln, ob Ihr Unternehmen von der Richtlinie betroffen ist. 

Gerne können Sie uns über unsere Autorenprofile unverbindlich ansprechen – egal, ob Sie erste allgemeine Fragen haben oder sich mit der konkreten Umsetzung beschäftigen. Wir helfen Ihnen gerne weiter! 

Verwandte Einträge