Sie sind hier: Home » Markt » Hinweise & Tipps

Wer ist von NIS2 betroffen?


Die wichtigsten Fragen und Antworten zur NIS2-Direktive
Die EU hat bereits 2016 Mindestanforderungen an die Cybersicherheit in der Richtlinie zur Netz- und Informationssicherheit (NIS) definiert



Mit der EU-NIS2-Direktive erhöhen sich die Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen. Davon sind erheblich mehr Unternehmen betroffen als bisher. Was müssen Security-Verantwortliche jetzt wissen und wie bereiten sie sich am besten vor? Dirk Wocke, Compliance Manager und Datenschutzbeauftragter bei indevis, gibt Antworten auf die wichtigsten Fragen.

Cyberangriffe auf kritische Infrastrukturen sind besonders gefährlich. Daher hat die EU bereits 2016 Mindestanforderungen an die Cybersicherheit in der Richtlinie zur Netz- und Informationssicherheit (NIS) definiert. Diese wird jetzt durch eine Neuauflage abgelöst. Seit 16. Januar 2023 ist die NIS2-Direktive in Kraft – und bis Oktober 2024 haben die EU-Mitgliedsstaaten noch Zeit, sie in nationales Recht zu überführen. In Deutschland erfolgt dies durch das NIS2-Umsetzungsgesetz, das derzeit als zweiter Referentenentwurf vorliegt. Zu erwarten sind Änderungen am IT-Sicherheitsgesetz und der KRITIS-Verordnung. Viele Unternehmen fragen sich jetzt, was NIS2 für sie bedeutet.

Der wichtigste Unterschied zur alten Gesetzgebung ist der deutlich erweiterte Wirkungsgrad. Sieben neue KRITIS-Sektoren kommen hinzu, sodass sich die Zahl von elf auf achtzehn erhöht. Während bisher nur große Organisationen aus dem direkten KRITIS-Umfeld betroffen waren, gilt NIS2 auch für privatwirtschaftliche Unternehmen – und zwar schon ab einer Größe von 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Einige Unternehmen fallen unabhängig von ihrer Größe unter die Direktive, weil sie zu den sogenannten "Essential Entities" zählen, die für das Allgemeinwohl besonders wichtig sind. Neu ist auch, dass betroffene Unternehmen die Cybersicherheit ihrer Zulieferer überprüfen und sicherstellen müssen. Das ist wichtig, denn Lieferketten werden immer komplexer, und schon der Ausfall eines kleinen Bausteins kann heute zu kritischen Engpässen führen. Wie gefährlich Supply-Chain-Angriffe sein können, hat zum Beispiel der Solarwinds-Hack gezeigt. Alles in allem wirkt sich NIS2 also auf eine breite Masse an Unternehmen aus, von denen viele erst auf den zweiten Blick feststellen, dass sie betroffen sind.

Welche Neuerungen bringt NIS2?
Die neue Direktive erhöht die Mindestanforderungen an die Cybersicherheit und nimmt Geschäftsführer in die Pflicht. Sie haften dafür, dass die vorgeschriebenen Standards eingehalten werden. Falls es zu einem Cyberangriff kommt, gelten strenge Meldepflichten ähnlich wie bei der DSGVO. Unternehmen müssen den Vorfall dann innerhalb einer bestimmten Frist beim BSI melden. Damit will der Gesetzgeber verhindern, dass Betroffene einen Cyberangriff vertuschen, um ihre Reputation zu schützen. Außerdem schärft NIS2 die europäische Rechtsprechung und vertieft die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern. So sollen zum Beispiel nationale Computer Emergency Response Teams eingerichtet werden, die grenzübergreifend miteinander kooperieren und Informationen austauschen. Parallel dazu soll eine Schwachstellendatenbank auf EU-Ebene aufgebaut werden.

Was sollten betroffene Unternehmen jetzt tun?
NIS2 schreibt technische und organisatorische Security-Maßnahmen nach Stand der Technik vor. Dazu zählt zum Beispiel eine Methodik, um Cyberrisiken einzuschätzen und eine Strategie, um die Service- und Geschäftskontinuität zu sichern. Pflicht sind außerdem Maßnahmen zur Prävention, Detektion und Bewältigung von Cybervorfällen. Im Grunde geht es darum, ein Informationssicherheits-Managementsystem (ISMS) aufzubauen. Dieses definiert Regeln, Prozesse, Methoden, Tools und Verantwortlichkeiten, um die Cybersicherheit im Unternehmen zu steuern und zu kontrollieren. Eine Orientierungshilfe bietet zum Beispiel der BSI Grundschutz und die ISO/IEC 27001. Die meisten Unternehmen haben bisher nur Puzzleteile eines ISMS etabliert. Zunächst ist es daher wichtig, Lücken zu identifizieren und diese dann Schritt für Schritt zu schließen. Zahlreiche Rollen müssen besetzt und Policies definiert werden. All das ist meist aufwändiger als gedacht und erfordert Zeit. Deshalb ist es empfehlenswert, das Thema möglichst bald in Angriff zu nehmen. Ein externer Dienstleister, der Erfahrung in der Einführung und Weiterentwicklung eines ISMS hat, kann dabei mit Rat und Tat unterstützen.

Was passiert, wenn Unternehmen die NIS2-Anforderungen ignorieren?
Ähnlich wie bei der DSGVO verleiht der Gesetzgeber seinen Anforderungen Nachdruck, indem er bei Verstößen hohe Bußgelder verhängt. Strafen und Enforcement Actions werden deutlich ausgeweitet – auf Maximalstrafen von mindestens sieben oder zehn Millionen Euro, je nach Sektor. Um die Einhaltung der NIS2-Anforderungen zu überprüfen, kann das BSI-Audits durchführen oder bei Dritten beauftragen. Werden Defizite aufgedeckt, erhalten betroffene Unternehmen eine Frist, innerhalb der sie nachbessern müssen. Nicht zuletzt haften Geschäftsführer persönlich, wenn sich bei der forensischen Untersuchung eines Cybervorfalls herausstellt, dass das Unternehmen Security-Vorgaben missachtet hat.

NIS2 als Chance
Wer bisher schon dem KRITIS-Bereich zugeordnet war, hat vermutlich vieles, was NIS2 fordert, bereits umgesetzt. Für Unternehmen, die neu dazukommen, fällt der Aufwand höher aus. Daher empfiehlt es sich, möglichst bald zu starten. Auch wenn NIS2 zunächst einmal Arbeit verursacht, lohnt sich die Investition. Denn die Cybersicherheit zu erhöhen, ist angesichts der wachsenden Bedrohungslage unverzichtbar. In der Praxis haben es Security-Verantwortliche oft schwer, Budget für Security-Maßnahmen freizuschlagen. Daher braucht es den Druck durch gesetzliche Vorgaben. NIS2 hängt das Thema Cybersecurity jetzt ganz oben auf Geschäftsleitungsebene auf und macht dadurch die Bahn frei für Veränderung. Security-Verantwortliche dürften es künftig also leichter haben, CEOs davon zu überzeugen, stärker in Cybersicherheit zu investieren. Um möglichst schnell und effizient zur NIS2-Compliance zu gelangen, empfiehlt sich die Zusammenarbeit mit einem erfahrenen Managed Security Services Provider. Er kann helfen, die Security-Strategie zu überprüfen, ein ISMS aufzubauen, geeignete Security-Technik auszuwählen und zu betreiben. (indevis: ra)

eingetragen: 15.09.23
Newsletterlauf: 25.10.23

indevis IT Consulting and Solutions: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Ethik für KI-Technologien ein Muss

    Das Europäische Parlament hat kürzlich mit dem "AI-Act" die weltweit erste staatliche Regulierung von KI verabschiedet. Die Verordnung soll die Entwicklung und den Einsatz von KI-Technologien maßgeblich regeln, indem sie Transparenz, Rechenschaftspflichten und Sicherheitsstandards vorschreibt.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld. "Mit einer gründlichen Vorbereitung können Firmen, Freiberufler und Selbstständige der Kontrolle ihrer Buchführung durch das Finanzamt aber in aller Regel gelassen entgegenblicken", betont Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Bausteine für ein erfolgreiches ESG-Reporting

    Das Europäische Parlament hat bereits zum Jahresende 2022 die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, kurz CSRD) angenommen. Zahlreiche Unternehmen - kapitalmarktorientierte, aber auch viele aus dem Mittelstand - sind spätestens Anfang 2025 rechtlich dazu verpflichtet, Informationen über die gesellschaftlichen und ökologischen Auswirkungen ihres Handelns zu veröffentlichen und nach einem klar vorgegebenen Kriterienkatalog Rechenschaft abzulegen.

  • Chaos bei der Umsetzung von NIS-2 droht

    Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft - genauer gesagt endete die 24-monatige Übergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen.

  • Die Uhr für DORA-Compliance tickt

    Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt.

Mit NDR von einfacher von KRITIS zu NIS2 Revisionssichere E-Mail-Archivierung

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen