Junge Frau schaut auf ihren PC Bildschirm und tippt.
Resilient Business

Was die NIS-2-Richtlinie für Unternehmen bedeutet 

Artikel

11.07.2024

Die NIS-2-Richtlinie beschreibt Maßnahmen zur Stärkung der Netzwerk- und Informationssicherheit europäischer Unternehmen. Sie entfaltet voraussichtlich Ende 2025 ihre Rechtswirkung. Wir zeigen, worum es geht und welche Firmen betroffen sind.

Die NIS-2-Richtlinie der EU verfolgt das Ziel, die Cybersicherheit von Unternehmen bestimmter Branchen zu steigern. Erreicht werden soll dies durch verschiedene Maßnahmen, die über die bestehende NIS-Richtlinie aus dem Jahr 2016 hinausgehen. Zudem bringt NIS-2 umfangreiche Berichts- und Nachweispflichten an die zuständige nationale Behörde mit sich, in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI). Schätzungsweise 29.000 Unternehmen sind hierzulande von NIS-2 betroffen. Dies beinhaltet auch viele kleine und mittlere Unternehmen ab 50 Mitarbeitenden. 

NIS-2 sollte eigentlich bis zum 17. Oktober 2024 durch die EU-Mitgliedsstaaten in nationales Recht überführt worden sein, aber viele Staaten – darunter auch Deutschland – sind in Verzug. 

Was ist die NIS-2-Richtlinie und woher kommt sie? 

Die NIS-2-Richtlinie löst die vorausgehende NIS-Richtlinie aus dem Jahr 2016 ab. Schließlich will man der Tatsache Rechnung tragen, dass sich die Anforderungen an die Cybersicherheit in den vergangenen acht Jahren verändert haben. NIS-2 verschärft daher die Sicherheitsanforderungen an Unternehmen signifikant und konkretisiert Maßnahmen zum Risikomanagement. Diese umfassen technische Schritte wie die Prävention und Abwehr von Sicherheitsvorfällen sowie organisatorische Initiativen, unter anderem zur Absicherung der Lieferkette oder des Personals.  

NIS-2: Wer ist betroffen? 

Im Vergleich zur vorausgehenden NIS-Richtlinie erweitert NIS-2 den Kreis betroffener Unternehmen enorm. Dieser richtet sich vor allem nach Sektor sowie Größe der Firmen. Zudem sieht NIS-2 Maßnahmen für „wesentliche“ sowie „wichtige“ Einrichtungen vor. Hinsichtlich der Cybersicherheitsanforderungen, die an betroffene Unternehmen gestellt werden, gibt es derzeit keine Unterschiede. Wir haben die Übersicht über wesentliche und wichtige Einrichtungen daher vereinfacht: 

Das Bild zeigt eine Übersicht, welche Unternehmen und Branchen von NIS2 betroffen sind. Unternehmen mit (1) mindestens 50 Mitarbeitenden oder (2) einem Jahresumsatz von 10+ Mio. Euro und einer Jahresbilanzsumme von 10+ Mio. Euro in folgenden Sektoren: Energie, Transport und Verkehr, Finanzen- und Versicherungswesen, Gesundheit, Wasser und Abwasser, IT und Telekommunikation, Weltraum, Anbieter von Telekommunikationsdiensten oder öffentlich zugänglichen Telekommunikationsnetzen, Post- und Kurierdienste, Siedlungsabfallentsorgung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Herstellung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Digitale Dienste, Forschung. Größenunabhängig in den Sektoren: (Qualifizierte) Vertrauensdienste, Top Level Domain Name Registries (Registrare für Internet-Domains wie .com oder .de), Domain-Name-System-Dienste (DNS) - Übersetzer von Webadressen in maschinenlesbare IP-Adressen, z.B. "google.de" zu IP "8.8.8.8", Einrichtungen der öffentlichen Verwaltung.

Was fordert die NIS-2-Richtlinie und wie kann sie umgesetzt werden? 

NIS-2 verlangt zahlreiche Cybersicherheitsmaßnahmen, um Netzwerke, Informationssicherheit und die physische Umgebung dieser Systeme vor Sicherheitsvorfällen zu schützen. Ferner müssen sich Unternehmen, die in den Anwendungsbereich von NIS-2 fallen, beim BSI registrieren. Sicherheitsvorfälle müssen gemeldet und in einigen Fällen Nachweise über umgesetzte Cybersicherheitsmaßnahmen erbracht werden. Die Geschäftsleitung der betroffenen Unternehmen ist ferner verpflichtet, Maßnahmen zu billigen und die Umsetzung zu überwachen sowie dies nachzuweisen.  

Auf Betreiber kritischer Infrastrukturen (kurz: KRITIS) kommen weitreichende Maßnahmen zu. Für solche Unternehmen gelten auch „aufwändigere“ Maßnahmen noch als verhältnismäßig, und die kritischen Anlagen liegen im Fokus. Systeme zur Angriffserkennung müssen zudem verpflichtend eingesetzt werden. 

Bis wann müssen Unternehmen die NIS-2-Richtlinie umgesetzt haben? 

Die Uhr tickt: Die NIS-2-Richtlinie hätte EU-weit schon bis zum 17. Oktober 2024 in nationales Recht umgesetzt worden sein. Zum Zeitpunkt der Erstellung dieses Artikels  gibt ist davon auszugehen, dass die NIS-2-Richtlinie in Deutschland Ende 2025 in Kraft tritt. Jedenfalls können es sich betroffene Unternehmen nicht mehr leisten, NIS-2 auf die lange Bank zu schieben. Denn je mehr sich das Zeitfenster schließt, desto schwieriger wird es sein, alle notwendigen Ressourcen für die zeitgemäße Umsetzung zu bekommen. Der Entwurf für das NIS-2-Umsetzungsgesetz sieht keine Übergangsfristen vor. 

Welche Sanktionen drohen bei Nichteinhaltung der NIS-2? 

Dem BSI werden umfassende Aufsichts- und Durchsetzungsrechte eingeräumt. Es kann Überprüfungen durchführen und verbindliche Anweisungen erteilen, damit Unternehmen die Pflichten aus NIS-2 umsetzen. Wird den Aufforderungen nicht nachgekommen, ist das BSI berechtigt, die Untersagung der Geschäftstätigkeit zu beantragen und die Geschäftsführung von ihren Leitungsaufgaben zu entbinden. Zudem drohen, je nach Schwere des Verstoßes und betroffener Einrichtung, zusätzlich Bußgelder in Höhe von bis zu zehn Millionen Euro beziehungsweise zwei Prozent des weltweiten Vorjahresumsatzes – je nachdem, welcher Betrag höher ist. 

Wie hilft die NIS-2-Richtlinie dabei, die Cybersicherheit zu erhöhen? 

Die NIS-2-Richtlinie wirkt ganzheitlich, wenn sie harmonisch umgesetzt wird: mit klaren Zielvorgaben, einer wirtschaftlichen Nutzung von Ressourcen und einer Optimierung der Informationssicherheit. 

  • Besseres Management von Sicherheitsvorfällen: NIS-2 verlangt, dass sich Verantwortliche mit der Bewältigung von Sicherheitsvorfällen auseinandersetzen. Der Einsatz geeigneter Technologien und interner Prozesse, um Vorfälle möglichst schnell zu erkennen und zu behandeln, kann die negativen Auswirkungen erheblich minimieren. Dadurch sinken die Schäden durch Ausfallzeiten oder Datenverluste.
  • Effizienter Ressourceneinsatz und höhere Produktivität: NIS-2 verlangt von Unternehmen eine Bandbreite verschiedener Maßnahmen für die Cybersicherheit. Dies bietet die Chance, einen ganzheitlichen Blick auf große Teile der eigenen Organisationen zu erhalten. So können Sicherheitsprozesse End-to-End optimiert werden, damit die Cybersicherheit nicht mehr als „Verhinderer“ angesehen wird.  

Fazit zu NIS-2 

Die Implementierung der NIS-2-Richtlinie stellt für Unternehmen nicht nur eine weitere lästige Pflicht zur Erfüllung gesetzlicher Anforderungen dar, sondern bietet auch erhebliche Vorteile. Ein proaktiver Ansatz zur Stärkung der Cybersicherheit nach NIS-2-Standard kann die Resilienz der Organisation verbessern, Vertrauenswürdigkeit bei Kunden sowie Geschäftspartnern steigern und Wettbewerbsvorteile sichern. Für CISOs und Geschäftsführungen fördert die Richtline innovative Sicherheitslösungen und etabliert robuste Prozesse, die die operative Exzellenz unterstützen. Durch eine tiefere Analyse und ein besseres Management der eigenen IT-Landschaft lassen sich Sicherheitslücken schneller erkennen und schließen.  

Hier finden Sie ein umfassendes Whitepaper zur Umsetzung der NIS-2-Richtlinie.

Gerne können Sie uns über unsere Autorenprofile unverbindlich ansprechen – egal, ob Sie erste allgemeine Fragen haben oder sich mit der konkreten Umsetzung beschäftigen. Als Partner an ihrer Seite helfen wir Ihnen gerne weiter! 

Divider

Verwandte Einträge