NIS-2: Cybersicherheit in der EU und unternehmerische Pflichten
Wir möchten Ihnen heute einen Einblick in Sinn und Genese der kommenden EU-Richtlinie NIS-2 und ihre Auswirkungen geben. Ab Oktober 2024 werden viele kleine und mittlere Unternehmen verpflichtet sein, hier umfassende Sicherheitsmaßnahmen umzusetzen. Die NIS-2-Richtlinie trat am 16. Januar 2023 in Kraft, um die Cybersicherheit in der EU – vor allem was kritische Infrastrukturen betrifft, zu stärken. Der Reihe nach …
Als im Januar 2023 die NIS-2-Richtlinie in Kraft trat, war vielen bewusst was für eine bedeutende Neuerung dies in der EU-Gesetzgebung zur Cybersicherheit bedeutet. Die Richtlinie, die auf einer historisch früheren aufbaut, zielt darauf ab, die allgemeine Cybersicherheit in der Europäischen Union erheblich zu verbessern. Unternehmen aus verschiedenen Sektoren müssen sich ab Oktober 2024 an die neuen Anforderungen anpassen. Wir beleuchten die wesentlichen Aspekte und Änderungen der NIS-2-Richtlinie, ihre Zielgruppen und die konkreten Maßnahmen, die Unternehmen ergreifen müssen.
Neuerungen in der NIS-2-Richtlinie
Die neue NIS-2-Richtlinie birgt gegenüber ihrer Vorgängerin diverse, erweiterte Pflichten für Unternehmen. Es geht einerseits um die Einführung neuer Sicherheitsanforderungen, aber auch um eine stärkere Einbindung der Geschäftsführungs-Ebenen. Im Gegensatz zur vorherigen NIS-Richtlinie betrifft NIS-2 eine wesentlich breitere Palette von Unternehmen. Zukünftig sind nahezu alle mittleren und großen Unternehmen verpflichtet, spezifische Cybersicherheitsmaßnahmen umzusetzen. Nur sehr kleine Unternehmen bleiben von diesen Pflichten ausgenommen. Zu den Hauptpflichten gehören wie folgt:
Risikomanagementmaßnahmen: Unternehmen müssen umfassende Maßnahmen zur Risikoanalyse und -bewältigung implementieren.
Meldepflichten: Bei Cybersicherheitsvorfällen besteht eine Pflicht zur Meldung an die zuständigen Behörden.
Registrierungspflichten: Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
Besonders kritische Einrichtungen, wie Energieversorger oder Gesundheitsdienstleister, müssen zudem spezielle Systeme zur Angriffserkennung einführen.
Haftung der Geschäftsführung und Bußgelder:
Ein bedeutender Aspekt der NIS-2-Richtlinie ist die Haftung der Geschäftsführung. Diese ist für die Einhaltung der Cybersicherheitsvorschriften verantwortlich und kann bei Verstößen mit Bußgeldern bis zu 20 Millionen Euro belangt werden. Diese Regelung soll die Verantwortlichkeit und das Engagement der Unternehmensführung in Bezug auf Cybersicherheit stärken.
Entwicklungen in der deutschen Umsetzung:
In Deutschland wurden zwei Entwürfe zur Umsetzung der NIS-2-Richtlinie veröffentlicht. Der erste Entwurf (IT-Sicherheitsgesetz 3.0) wurde im April 2023 vorgestellt. Ein aktualisierter Entwurf folgte im Juli 2023. Beide Entwürfe zeigen Deutschlands Engagement für eine robuste Cybersicherheits-Infrastruktur.
IT-Sicherheitsgesetz 3.0
Der erste Entwurf, informell als „IT-Sicherheitsgesetz 3.0“ bekannt, sieht eine erhebliche Erweiterung der bestehenden gesetzlichen Rahmenbedingungen vor. Im Zentrum steht das Bundesgesetz für die Sicherheit in der Informationstechnik (BSIG), das von 15 auf 65 Paragraphen erweitert werden soll. Diese Erweiterung spiegelt die umfassenderen Anforderungen der NIS-2-Richtlinie wider.
Aktualisierter Entwurf vom Juli 2023
Der im Juli 2023 veröffentlichte Entwurf legt besonderen Fokus auf die kritischen Infrastrukturen (KRITIS) und das Verhältnis zwischen dem BSIG und dem Energiewirtschaftsgesetz (EnWG). Während der erste Entwurf die Cybersicherheitspflichten für den Energiesektor im BSIG verankern wollte, sieht der zweite Entwurf vor, dass der Energiesektor weiterhin überwiegend durch das EnWG reguliert wird.
Betroffene Branchen und Sektoren
Die NIS-2-Richtlinie erweitert nicht nur die bestehenden Sektoren, sondern fügt auch neue hinzu. Unternehmen aus 18 verschiedenen Sektoren müssen ab Oktober 2024 die neuen Cybersicherheitsmaßnahmen umsetzen, sofern sie mindestens 50 Mitarbeiter und einen Jahresumsatz von 10 Millionen Euro haben. Zu den betroffenen Sektoren gehören folgende (Link):
Auswirkungen auf die IT-Branche
Die NIS-2-Richtlinie wird die IT-Branche erheblich beeinflussen. Unternehmen müssen ihre Informationssicherheitsmaßnahmen überprüfen und gegebenenfalls anpassen. Dies betrifft insbesondere IT-Dienstleister, die Nachweise zur Informationssicherheit erbringen müssen. Viele IT-Unternehmen werden daher eine Zertifizierungsoffensive starten, um diesen Anforderungen gerecht zu werden.
Darüber hinaus wird die Nachfrage nach IT-Beratungsdienstleistungen im Bereich der NIS-2-Compliance steigen. Kleine und mittlere Unternehmen, die keine eigene Compliance-Abteilung haben, werden auf externe Hilfe angewiesen sein, um die neuen Vorschriften umzusetzen.
Warum NIS-2 die Cybersicherheit verbessert
Die NIS-2-Richtlinie stellt für viele Unternehmen einen organisatorischen Mehraufwand dar. Dennoch bietet sie die Möglichkeit, das europäische Niveau der Cybersicherheit erheblich zu verbessern. Besonders hervorzuheben ist, dass nun auch die gesamte öffentliche Verwaltung den NIS-2-Anforderungen unterliegt. Angesichts der jüngsten Ransomware-Angriffe auf Behörden ist dies ein wichtiger Schritt.
Ein weiterer positiver Aspekt ist die Einführung von Computer Security Incident Response Teams (CSIRTs) in jedem EU-Land. Diese Teams sollen Sicherheitsvorfälle bewältigen und über Ländergrenzen hinweg zusammenarbeiten, was die Koordination und Effektivität bei der Abwehr von Cyberangriffen verbessert.
Praxistipp: Maßnahmen frühzeitig umsetzen
Um nicht von den neuen gesetzlichen Anforderungen überrascht zu werden, sollten potenziell NIS-2-pflichtige Unternehmen bereits jetzt mit der Umsetzung der notwendigen Maßnahmen beginnen. Eine rechtzeitige Vorbereitung ermöglicht es, die Anforderungen des „IT-Sicherheitsgesetzes 3.0“ ohne größere Anpassungen zu erfüllen.
Für kleine und mittlere Unternehmen ohne Compliance-Abteilung ist es besonders wichtig, sich frühzeitig beraten zu lassen, um die erforderlichen Maßnahmen rechtzeitig und effizient umsetzen zu können. So kann die Umstellung auf die neuen Cybersicherheitsstandards reibungslos verlaufen und Unternehmen können sich auf ihre Kernaufgaben konzentrieren.
Schreibe einen Kommentar