Sie sind hier: Home » Markt » Hinweise & Tipps

NIS-2-Umsetzungsgesetz (NIS2UmsuCG)


Der Countdown für die NIS2-Richtline läuft: Was Unternehmen jetzt wissen müssen
IT-Compliance: NIS2-Compliance ist kein Produkt: Der Aufbau einer adäquaten Sicherheitsstruktur geht nicht von heute auf morgen



In wenigen Monaten müssen zahlreiche Unternehmen die NIS2-Richtlinie umsetzen. Die neue EU-Direktive schreibt vor, strenge Maßnahmen zur Gewährleistung der Cybersicherheit zu implementieren. Auf den ersten Blick mag diese Zeitspanne lang genug erscheinen, doch der Aufbau einer adäquaten Sicherheitsstruktur geht nicht von heute auf morgen. NTT Ltd., ein führendes IT-Infrastruktur- und Dienstleistungsunternehmen, räumt mit falschen Vorstellungen rund um die NIS2-Richtlinie auf und zeigt den besten Weg zur Umsetzung.

Die NIS2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die am 16. Januar 2023 in Kraft getreten ist und von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor. Die neue Richtlinie wird die Zahl der betroffenen Unternehmen hierzulande massiv erhöhen – zwischen 30.000 und 40.000 Firmen werden unter die schärferen Vorgaben von NIS2 fallen. Viele von ihnen dürften sich dessen jedoch gar nicht bewusst sein, obwohl bei Nichteinhaltung empfindliche Strafen drohen.

Unternehmen sollten sich deshalb aus Sicht von NTT dringend die folgenden Fragen stellen:

>> Falle ich unter die NIS2-Richtlinie? Die Behörden teilen einer Firma nicht mit, ob die neuen Vorgaben auf sie zutreffen oder nicht. Unternehmen müssen vielmehr selbst anhand der festgelegten Kriterien ihre "Betroffenheit" ermitteln. Grundsätzlich gilt: Alle, die als Betreiber kritischer Infrastrukturen eingestuft werden, fallen unter diese Richtlinie. Dazu zählen Einrichtungen, Anlagen und Systeme, deren Funktionsfähigkeit wichtig für die Gesellschaft, die Sicherheit des Landes sowie der Wirtschaft ist und deren Ausfall zu erheblichen Störungen führen würde. Nach Angaben des Bundesamtes für Katastrophenschutz handelt es sich um Unternehmen der Energie- und Wasserversorgung, der Telekommunikations- und Informationstechnik, der Lebensmittelversorgung, des Transport- und Logistikwesens, des Finanzwesens oder des Gesundheitswesens.

Gleichzeitig betrifft die NIS2-Richtlinie auch Organisationen in der Lieferkette, die Dienstleistungen oder Produkte im Zusammenhang mit kritischen Sektoren erbringen. Damit geht der Geltungsbereich weit über die bisher bekannten Schlüsselunternehmen hinaus. Künftig werden Unternehmen und Organisationen mit 50 oder mehr Mitarbeitenden sowie einem Jahresumsatz von mindestens zehn Millionen Euro in den jeweiligen Sektoren erfasst. Konkret wird bei NIS2 zwischen "wichtigen" und "wesentlichen" Einrichtungen unterschieden. Letztere nehmen aufgrund ihres Marktanteils in dem jeweiligen Sektor eine entscheidende Rolle ein.

>> Welche Vorschriften kommen mit NIS2 auf mich zu? Die EU hat die Vorgaben in drei Kernbereichen verschärft: Aufsichtsmaßnahmen und Geldbußen, Zusammenarbeit und Kooperation sowie Risikomanagement und Widerstandsfähigkeit. Die erhöhten Anforderungen an das Risikomanagement und die Widerstandsfähigkeit haben zur Folge, dass Organisationen sowohl Maßnahmen zur Schadensvermeidung als auch zur Schadensminimierung umsetzen müssen. Darunter fallen Bereiche wie Netzwerksicherheit, Risikomanagement, Cybersicherheit in Lieferketten, Zugangskontrolle und Verschlüsselung.

NIS2 sieht eine grundlegende IT-Hygiene vor, für kritische Einrichtungen schreibt der Referentenentwurf eine Angriffserkennung vor. Firmen sollten sich zudem Gedanken darüber machen, wie nach einer Cyberattacke die Geschäftskontinuität sichergestellt werden kann. Dazu gehören wiederum die Systemwiederherstellung, Notfallverfahren und das Einrichten einer Krisenorganisation. Darüber hinaus muss innerhalb von 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls eine erste Meldung als Frühwarnung bei den zuständigen Behörden eingehen. Binnen 72 Stunden muss sogar ein ausführlicher Bericht folgen, der die sogenannten Indicators of Compromise beschreibt. Unternehmen sollten unbedingt im Top-down-Ansatz zuerst einen ganzheitlichen Ist-Zustand des Reifegrads ihrer IT-Security ermitteln und danach bedarfsgerecht technische und organisatorische Maßnahmen umsetzen.

Zur Erfüllung der NIS2-Richtlinie empfiehlt sich darüber hinaus die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001. Gleichzeitig ist ein Security Operation Center (SOC) sinnvoll. Der Betrieb eines SOC ist jedoch sehr kostenintensiv, weshalb die Auslagerung an einen externen Dienstleister in Form von Managed Services eine gute Lösung ist.

>> Was passiert, wenn ich NIS2 nicht umsetze? Zwar werden nur die wesentlichen Einrichtungen auditiert – wer jedoch die Vorgaben missachtet, riskiert bei einem Sicherheitsvorfall spürbare Sanktionen. Bei Unternehmen, die in die Kategorie "wesentlich" eingestuft sind, können die Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist. Für "wichtige" Einrichtungen liegt das maximale Bußgeld bei sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Der Referentenentwurf des Bundesinnenministeriums sieht darüber hinaus vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen mit ihrem Privatvermögen für die Einhaltung der Risikomanagementmaßnahmen haften. Ihnen droht ebenfalls ein Bußgeld in Höhe von zwei Prozent des weltweiten Jahresumsatzes. NIS2 ist also ein Compliance-Risiko, das die Verantwortlichen sehr ernst nehmen sollten. Hinzu kommt, dass eine schlechte oder gar nicht vorhandene Security-Lösung am Ende deutlich mehr kostet, auch wenn die Investition in entsprechende Maßnahmen manchen Unternehmen anfangs hoch erscheinen mag. Analog zu anderen Richtlinien ist darüber hinaus die Wahrscheinlichkeit hoch, dass Firmen, die die geforderten Maßnahmen nicht umgesetzt haben, bei Ausschreibungen der öffentlichen Hand nicht berücksichtigt werden.

"NIS2-Konformität ist kein Produkt, das man einfach so kaufen und implementieren kann. Im Gegenteil: Unternehmen müssen verstehen, dass die Umsetzung der neuen EU-Richtlinie ein wirklich umfangreiches und langfristiges Projekt mit Auswirkungen in den unterschiedlichsten Bereichen ist. Gleichzeitig ist IT-Compliance längst ein strategisches Schlüsselthema für Firmen", erklärt Bernhard Kretschmer, Vice President Services und Cybersecurity bei NTT Ltd. "Die Praxis zeigt aber: Viele Unternehmen haben die geforderten Maßnahmen immer noch nicht in Angriff genommen. Das könnte zum Stolperstein einer fristgerechten Umsetzung von NIS2 werden. Denn die wenigsten Betriebe sind in der Lage, mit der eigenen IT-Mannschaft die geforderten Auflagen zu erfüllen." (NTT: ra)

eingetragen: 21.02.24
Newsletterlauf: 23.04.24


NTT Data: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

  • NIS-2-Umsetzung in Deutschland

    Mit dem neuen für NIS-2-Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu - doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln. Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess.

  • Dem Fiskus drei Schritte voraus

    Teure Materialien sowie steigende Energie- und Transportpreise sind nur zwei Gründe, warum in zahlreichen Unternehmen der Sparzwang wächst. "Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer ohnehin angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen", weiß Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld.

  • Gesetze über Gesetze

    Der Countdown läuft: Die NIS2-Richtlinie steht praktisch schon vor der Tür und Betreiber kritischer Infrastrukturen (KRITIS) arbeiten auf Hochtouren daran, bis Oktober alle notwendigen Maßnahmen zu treffen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen