Daten und Systeme von Unternehmen sind größeren Risiken denn je ausgesetzt. Mit der NIS2-Richtlinie (Network and Information Systems 2 Directive) verlangt die EU-Kommission von Unternehmen, sich angemessen auf Cyberbedrohungen vorzubereiten. Auf dieser Seite bringen wir Entscheidern näher, was NIS2 für die Praxis bedeutet.
Was verbirgt sich hinter der NIS2-Richtlinie?
Die NIS2-Richtlinie wurde im Dezember 2022 von der Europäischen Kommission verabschiedet und folgt auf die ursprüngliche NIS-Richtlinie von 2016. Das Ziel von NIS war es, die Cybersecurity und Widerstandsfähigkeit kritischer Infrastrukturen in der EU zu stärken. NIS2 knüpft hieran an und berücksichtigt vor allem zwei entscheidende Trends:
- Anhaltende Vernetzung und Digitalisierung
Behörden und Unternehmen digitalisieren weiterhin ihre Prozesse, was die Angriffsfläche für Cyberattacken vergrößert. - Zunehmende Cyberkriminalität
Die Angreifer verfügen über tiefgehendes Wissen rund um das Thema Cybersecurity und agieren immer professioneller.
Um welche Themen und Maßnahmen geht es?
Die NIS2-Richtlinie verfolgt das Ziel, die Sicherheit digitaler Dienste und kritischer Infrastrukturen zu gewährleisten. Von Unternehmen, Versorgern und weiteren Institutionen innerhalb EU wird verlangt, sich auf Cyberbedrohungen vorzubereiten und Maßnahmen zur Steigerung der Cybersicherheit zu ergreifen.
NIS2 ist eine Richtlinie und damit von den EU-Mitgliedstaaten in jeweils eigene Gesetze und Vorschriften umzusetzen. Entsprechend können die genauen Anforderungen und Bestimmungen je nach Land etwas variieren. Im Wesentlichen bringt NIS2 gegenüber NIS diese Neuerungen mit sich.
- Erweiterter Anwendungsbereich
Die NIS2-Richtlinie betrifft ein breiteres Spektrum an Unternehmen und Organisationen, einschließlich digitaler Dienstleister. - Strengere Sicherheitsanforderungen
Höhere Sicherheitsanforderungen sollen die Widerstandsfähigkeit von Netz- und Informationssystemen gegen Angriffe von Cyberkriminellen erhöhen. - Meldepflicht für Sicherheitsvorfälle
Betroffene Organisationen (z.B. Betreiber wesentlicher Dienste und digitale Dienstleister) sind verpflichtet, relevante Sicherheitsvorfälle den zuständigen Behörden zu melden. - Neues Meldesystem
Das bisherige Meldesystem für Vorfälle wird von einem dreistufigen Melderegime abgelöst. - Verstärkte Aufsicht und Zusammenarbeit
Die Mitgliedstaaten sollen ihre Zusammenarbeit im Feld der Cybersecurity intensivieren.
Konsequenzen bei Verstößen
Die EU-Kommission legt großen Wert darauf, dass sich betroffene Organisationen vor der Umsetzung der NIS2-Vorgaben nicht drücken oder diese nur halbherzig berücksichtigen. Deshalb sind in der Richtlinie strenge Sanktionen und Konsequenzen definiert, sollte es zu Verstößen gegen die Vorgaben kommen.
Diese Herangehensweise unterstreicht die Ernsthaftigkeit der NIS2-Richtlinie und die Notwendigkeit für Unternehmen, angemessene Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten, um Sicherheitsvorfällen vorzubeugen.
1. Geldbußen
Bei einem Verstoß droht eine Geldbuße, die ein Unternehmen empfindlich trifft. Dieser Ansatz soll abschreckend wirken und letztlich gewährleisten, dass Organisationen die Sicherheitsanforderungen ernst nehmen und die Vorgaben der Richtlinie konsequent umsetzen.
Bei der Festsetzung von Geldstrafen wird zwischen wesentlichen und wichtigen Einrichtungen unterschieden. Für wesentliche Einrichtungen beträgt die Geldbuße bis zu 10 Millionen Euro oder 2 Prozent des gesamten weltweiten Vorjahresumsatzes. Für wichtige Einrichtungen beträgt die Geldbuße bis zu 7 Millionen Euro oder 1,4 Prozent des gesamten weltweiten Vorjahresumsatzes.
2. Möglichkeit zur Untersagung von Leitungsfunktionen
Im Ernstfall kann dem Management vorübergehend die Ausübung von Leitungsfunktionen untersagt werden. Solch ein Schritt soll gewährleisten, dass angemessene Schritte zur Verbesserung der Sicherheit ergriffen werden.
3. Aktives Handeln der Leitungsorgane
Leitungsorgane dürfen nicht mehr nur delegieren, sondern müssen selbst aktiv tätig werden, um sicherzustellen, dass angemessene Sicherheitsmaßnahmen umgesetzt werden.
4. Haftung der Geschäftsleitung
Außerdem macht NIS2 die Sicherheit der Informationssysteme zur Chefsache, indem der Geschäftsleitung persönlich die Einhaltung der Sicherheitsanforderungen auferlegt wird.
Termin für die Umsetzung der NIS2-Vorgaben in Deutschland
Für betroffene Organisationen ist es entscheidend, die konkreten NIS2-Vorgaben zu kennen. Doch zunächst sind diese von den EU-Mitgliedstaaten in nationales Recht umzusetzen. Dies muss spätestens bis zum 17.10.2024 geschehen.
In Deutschland fließen die NIS2-Vorgaben in das Gesetz über das Bundesamt in der Informationssicherheit (BSIG) ein. Mehrere Beobachter halten es für wahrscheinlich, dass die Aktualisierung des BSIG sogar schon vor dem Stichtag abgeschlossen ist.
Unternehmen und andere Organisationen, die schon jetzt Maßnahmen aus dem Feld der Informationssicherheit ergreifen und sich aktiv gegen Cyberbedrohungen absichern, schaffen damit ein solides Fundament. Dies trifft besonders dann zu, wenn ein Informations-Sicherheits-Management-System (ISMS) eingeführt wird. Damit sollte in den meisten Fällen eine bestens geeignete Basis bestehen, um die NIS2-Vorgaben effizient umsetzen und erfüllen zu können.
Unsere Unterstützung bei NIS2 und Informationssicherheit
Wir unterstützen Unternehmen beim Thema Informationssicherheit, insbesondere bei der Einführung und Zertifizierung von Informations-Sicherheits-Management-Systemen. Dies schließt die Berücksichtigung der aktuellen NIS2-Vorgaben mit ein. Sollten Sie Fragen zu NIS2 und den konkreten Auswirkungen auf Ihr Unternehmen haben, helfen wir gerne weiter. Nutzen Sie unsere kostenlose Erstberatung – wir freuen uns auf Ihre Anfrage.