NIS 2 Richtlinie: Europas neues Cybersicherheitsgesetz
Die NIS 2-Richtlinie stellt einen wichtigen Meilenstein in der europäischen Cybersicherheit dar und wird erhebliche Auswirkungen auf tausende Unternehmen haben. Erfahren Sie, was diese neue Regelung bedeutet, wer betroffen ist und wie Sie Ihr Unternehmen vorbereiten können.
Was ist NIS 2 eigentlich?
EU-Richtlinie
NIS 2 steht für "Network and Information Systems Directive 2" und ist die Nachfolgeversion der ursprünglichen NIS-Richtlinie von 2016. Diese EU-Richtlinie wurde am 14. Dezember 2022 beschlossen.
Einheitliche Standards
Vergleichbar mit der DSGVO für den Datenschutz legt NIS 2 einheitliche Cybersicherheitsstandards fest, die in allen EU-Mitgliedstaaten gelten sollen.
Reaktion auf Bedrohungen
Die Richtlinie reagiert auf die wachsende Bedrohungslage im Cyberraum und die zunehmende Abhängigkeit unserer Gesellschaft von digitalen Technologien.
Wer ist von NIS 2 betroffen?
29.000-40.000
Betroffene Unternehmen in Deutschland
Im Vergleich zur ersten NIS-Richtlinie, die nur etwa 2.000 Unternehmen erfasste, weitet NIS 2 den Anwendungsbereich erheblich aus.
50+
Mitarbeiter
Ein Kriterium für betroffene Unternehmen ist die Mitarbeiterzahl von mindestens 50.
10 Mio. €
Jahresumsatz
Alternativ gilt ein Jahresumsatz von mindestens 10 Millionen Euro als Kriterium. Es reicht, wenn eines der beiden Kriterien erfüllt ist.
Es gibt allerdings Sonderfälle: Auch kleinere Unternehmen können unter die Richtlinie fallen, etwa wenn sie der einzige Anbieter einer kritischen Dienstleistung in einer Region sind.
Kategorien betroffener Organisationen
Wesentliche Einrichtungen
Diese umfassen 11 Sektoren von "hoher Kritikalität", darunter:
- Energieversorgung
- Verkehr
- Trinkwasserversorgung
- Gesundheitswesen
- Digitale Infrastruktur
- Öffentliche Verwaltung
Diese Einrichtungen werden regelmäßig behördlich überprüft.
Wichtige Einrichtungen
Hierzu zählen weitere 7 Sektoren, die zwar wichtig, aber nicht von höchster Kritikalität sind.
Diese Einrichtungen werden nur bei konkretem Verdacht auf Verstöße oder nach größeren Sicherheitsvorfällen kontrolliert.
Trotz dieser Unterscheidung sind die grundlegenden Anforderungen für beide Kategorien gleich anspruchsvoll.
Was fordert NIS 2 von betroffenen Unternehmen?
1
Selbsteinstufung und Registrierung
Unternehmen müssen sich selbst als "wesentliche" oder "wichtige" Einrichtung einstufen und sich bei der zuständigen nationalen Behörde registrieren. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik (BSI).
2
Cybersicherheitsmaßnahmen
Betroffene Unternehmen müssen angemessene technische, operative und organisatorische Maßnahmen zur Risikobewältigung ergreifen, darunter Risikomanagement, Cyber-Resilienz und Sicherheit in der Lieferkette.
3
Meldepflichten
Bei Sicherheitsvorfällen müssen Unternehmen innerhalb von 24 Stunden eine erste Meldung an die zuständige Behörde abgeben. Dabei sind umfangreiche Informationen zum Vorfall bereitzustellen.
Welche Konsequenzen drohen bei Nichteinhaltung?
1
2
3
1
Schwerwiegende Verstöße
Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
2
Mittlere Verstöße
Erhebliche Geldbußen je nach Schwere
3
Leichte Verstöße
Verwarnungen und Anordnungen
Diese empfindlichen Strafen unterstreichen, wie ernst die EU das Thema Cybersicherheit nimmt. Die Sanktionen sind vergleichbar mit denen der DSGVO und sollen Unternehmen zur konsequenten Umsetzung der Sicherheitsmaßnahmen motivieren.
Wann tritt NIS 2 in Kraft?
1
EU-Beschluss
NIS 2 wurde am 14. Dezember 2022 im EU-Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft.
2
Umsetzungsfrist
Die Frist für die Umsetzung in nationales Recht endete ursprünglich am 17. Oktober 2024.
3
Erwartete Umsetzung in Deutschland
In Deutschland wird mit der Verabschiedung des entsprechenden Gesetzes voraussichtlich erst im März 2025 gerechnet.
Die NIS 2-Richtlinie hätte eigentlich bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden sollen. Allerdings verzögert sich die Umsetzung in vielen EU-Ländern, darunter auch in Deutschland und Österreich. In Deutschland wird mit einer Verabschiedung des entsprechenden Gesetzes voraussichtlich erst im März 2025 gerechnet.
Die Europäische Kommission hat gegen mehrere Mitgliedstaaten bereits Vertragsverletzungsverfahren wegen der Nichtumsetzung eingeleitet.
Wie können Unternehmen NIS 2 umsetzen?
Schritt 1: Betroffenheit prüfen
Juristisch prüfen, ob das Unternehmen unter die NIS 2 fällt
Schritt 2: Risiken ermitteln
IT- und Sicherheitsrisiken im Unternehmen identifizieren
Schritt 3: Gefährdungspotenzial feststellen
Das Gefährdungspotenzial des Unternehmens analysieren
Schritt 4: Maßnahmen umsetzen
Bestehende Sicherheitsmaßnahmen analysieren und fehlende implementieren
Schritt 5: Dokumentieren
Alle Maßnahmen und Verantwortlichkeiten dokumentieren
Für viele Unternehmen kann die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 ein sinnvoller Weg sein, um die Anforderungen der NIS 2-Richtlinie zu erfüllen.
Cybersicherheitsmaßnahmen im Detail
Risikomanagement
Systematische Analyse von Bedrohungen und deren Folgen sowie die Implementierung verhältnismäßiger Schutzmaßnahmen.
Cyber-Resilienz
Nicht nur Prävention von Angriffen, sondern auch die Fähigkeit, sich nach einem erfolgreichen Angriff schnell zu erholen.
Lieferkettensicherheit
Unternehmen müssen sicherstellen, dass ihre Lieferanten und Dienstleister angemessene Sicherheitsstandards einhalten.
Business Continuity
Pläne für den Notfall, damit kritische Geschäftsprozesse auch bei Sicherheitsvorfällen weitergeführt werden können.
Fazit: Warum NIS 2 wichtig ist
1
1
Einheitlicher Schutz
Die NIS 2-Richtlinie fördert ein einheitliches Sicherheitsniveau in der gesamten EU und berücksichtigt moderne Sicherheitsansätze.
2
2
Gesellschaftlicher Nutzen
Obwohl sie zunächst zusätzlichen Aufwand bedeutet, dient sie letztlich dem Schutz kritischer Infrastrukturen und damit der gesamten Gesellschaft.
3
3
Stärkere Resilienz
In einer Zeit, in der Cyberangriffe immer häufiger und raffinierter werden, bietet die NIS 2-Richtlinie einen wichtigen Rahmen, um europäische Unternehmen und Infrastrukturen widerstandsfähiger zu machen.
Unternehmen, die die Anforderungen der NIS 2 erfüllen, verbessern nicht nur ihre eigene Cybersicherheit, sondern tragen auch zur Sicherheit der gesamten digitalen Ökosysteme bei, von denen wir alle abhängig sind.