Sie sind hier: Home » Markt » Hinweise & Tipps

Wer ist von NIS2 betroffen?


Die wichtigsten Fragen und Antworten zur NIS2-Direktive
Die EU hat bereits 2016 Mindestanforderungen an die Cybersicherheit in der Richtlinie zur Netz- und Informationssicherheit (NIS) definiert



Mit der EU-NIS2-Direktive erhöhen sich die Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen. Davon sind erheblich mehr Unternehmen betroffen als bisher. Was müssen Security-Verantwortliche jetzt wissen und wie bereiten sie sich am besten vor? Dirk Wocke, Compliance Manager und Datenschutzbeauftragter bei indevis, gibt Antworten auf die wichtigsten Fragen.

Cyberangriffe auf kritische Infrastrukturen sind besonders gefährlich. Daher hat die EU bereits 2016 Mindestanforderungen an die Cybersicherheit in der Richtlinie zur Netz- und Informationssicherheit (NIS) definiert. Diese wird jetzt durch eine Neuauflage abgelöst. Seit 16. Januar 2023 ist die NIS2-Direktive in Kraft – und bis Oktober 2024 haben die EU-Mitgliedsstaaten noch Zeit, sie in nationales Recht zu überführen. In Deutschland erfolgt dies durch das NIS2-Umsetzungsgesetz, das derzeit als zweiter Referentenentwurf vorliegt. Zu erwarten sind Änderungen am IT-Sicherheitsgesetz und der KRITIS-Verordnung. Viele Unternehmen fragen sich jetzt, was NIS2 für sie bedeutet.

Der wichtigste Unterschied zur alten Gesetzgebung ist der deutlich erweiterte Wirkungsgrad. Sieben neue KRITIS-Sektoren kommen hinzu, sodass sich die Zahl von elf auf achtzehn erhöht. Während bisher nur große Organisationen aus dem direkten KRITIS-Umfeld betroffen waren, gilt NIS2 auch für privatwirtschaftliche Unternehmen – und zwar schon ab einer Größe von 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Einige Unternehmen fallen unabhängig von ihrer Größe unter die Direktive, weil sie zu den sogenannten "Essential Entities" zählen, die für das Allgemeinwohl besonders wichtig sind. Neu ist auch, dass betroffene Unternehmen die Cybersicherheit ihrer Zulieferer überprüfen und sicherstellen müssen. Das ist wichtig, denn Lieferketten werden immer komplexer, und schon der Ausfall eines kleinen Bausteins kann heute zu kritischen Engpässen führen. Wie gefährlich Supply-Chain-Angriffe sein können, hat zum Beispiel der Solarwinds-Hack gezeigt. Alles in allem wirkt sich NIS2 also auf eine breite Masse an Unternehmen aus, von denen viele erst auf den zweiten Blick feststellen, dass sie betroffen sind.

Welche Neuerungen bringt NIS2?
Die neue Direktive erhöht die Mindestanforderungen an die Cybersicherheit und nimmt Geschäftsführer in die Pflicht. Sie haften dafür, dass die vorgeschriebenen Standards eingehalten werden. Falls es zu einem Cyberangriff kommt, gelten strenge Meldepflichten ähnlich wie bei der DSGVO. Unternehmen müssen den Vorfall dann innerhalb einer bestimmten Frist beim BSI melden. Damit will der Gesetzgeber verhindern, dass Betroffene einen Cyberangriff vertuschen, um ihre Reputation zu schützen. Außerdem schärft NIS2 die europäische Rechtsprechung und vertieft die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern. So sollen zum Beispiel nationale Computer Emergency Response Teams eingerichtet werden, die grenzübergreifend miteinander kooperieren und Informationen austauschen. Parallel dazu soll eine Schwachstellendatenbank auf EU-Ebene aufgebaut werden.

Was sollten betroffene Unternehmen jetzt tun?
NIS2 schreibt technische und organisatorische Security-Maßnahmen nach Stand der Technik vor. Dazu zählt zum Beispiel eine Methodik, um Cyberrisiken einzuschätzen und eine Strategie, um die Service- und Geschäftskontinuität zu sichern. Pflicht sind außerdem Maßnahmen zur Prävention, Detektion und Bewältigung von Cybervorfällen. Im Grunde geht es darum, ein Informationssicherheits-Managementsystem (ISMS) aufzubauen. Dieses definiert Regeln, Prozesse, Methoden, Tools und Verantwortlichkeiten, um die Cybersicherheit im Unternehmen zu steuern und zu kontrollieren. Eine Orientierungshilfe bietet zum Beispiel der BSI Grundschutz und die ISO/IEC 27001. Die meisten Unternehmen haben bisher nur Puzzleteile eines ISMS etabliert. Zunächst ist es daher wichtig, Lücken zu identifizieren und diese dann Schritt für Schritt zu schließen. Zahlreiche Rollen müssen besetzt und Policies definiert werden. All das ist meist aufwändiger als gedacht und erfordert Zeit. Deshalb ist es empfehlenswert, das Thema möglichst bald in Angriff zu nehmen. Ein externer Dienstleister, der Erfahrung in der Einführung und Weiterentwicklung eines ISMS hat, kann dabei mit Rat und Tat unterstützen.

Was passiert, wenn Unternehmen die NIS2-Anforderungen ignorieren?
Ähnlich wie bei der DSGVO verleiht der Gesetzgeber seinen Anforderungen Nachdruck, indem er bei Verstößen hohe Bußgelder verhängt. Strafen und Enforcement Actions werden deutlich ausgeweitet – auf Maximalstrafen von mindestens sieben oder zehn Millionen Euro, je nach Sektor. Um die Einhaltung der NIS2-Anforderungen zu überprüfen, kann das BSI-Audits durchführen oder bei Dritten beauftragen. Werden Defizite aufgedeckt, erhalten betroffene Unternehmen eine Frist, innerhalb der sie nachbessern müssen. Nicht zuletzt haften Geschäftsführer persönlich, wenn sich bei der forensischen Untersuchung eines Cybervorfalls herausstellt, dass das Unternehmen Security-Vorgaben missachtet hat.

NIS2 als Chance
Wer bisher schon dem KRITIS-Bereich zugeordnet war, hat vermutlich vieles, was NIS2 fordert, bereits umgesetzt. Für Unternehmen, die neu dazukommen, fällt der Aufwand höher aus. Daher empfiehlt es sich, möglichst bald zu starten. Auch wenn NIS2 zunächst einmal Arbeit verursacht, lohnt sich die Investition. Denn die Cybersicherheit zu erhöhen, ist angesichts der wachsenden Bedrohungslage unverzichtbar. In der Praxis haben es Security-Verantwortliche oft schwer, Budget für Security-Maßnahmen freizuschlagen. Daher braucht es den Druck durch gesetzliche Vorgaben. NIS2 hängt das Thema Cybersecurity jetzt ganz oben auf Geschäftsleitungsebene auf und macht dadurch die Bahn frei für Veränderung. Security-Verantwortliche dürften es künftig also leichter haben, CEOs davon zu überzeugen, stärker in Cybersicherheit zu investieren. Um möglichst schnell und effizient zur NIS2-Compliance zu gelangen, empfiehlt sich die Zusammenarbeit mit einem erfahrenen Managed Security Services Provider. Er kann helfen, die Security-Strategie zu überprüfen, ein ISMS aufzubauen, geeignete Security-Technik auszuwählen und zu betreiben. (indevis: ra)

eingetragen: 15.09.23
Newsletterlauf: 25.10.23

indevis IT Consulting and Solutions: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Vorbereitung auf NIS2: ein strategischer Imperativ

    In einer Zeit, in der Cyber-Bedrohungen größer und raffinierter denn je sind, hat die Europäische Union (EU) mit der Einführung der Richtlinie zur Netz- und Informationssicherheit (NIS2) einen wichtigen Schritt zur Stärkung ihrer digitalen Verteidigung getan. Die NIS2-Richtlinie baut auf der Grundlage der Vorgängerrichtlinie aus dem Jahr 2016 auf und ist eine Reaktion auf die zunehmenden Angriffe auf Lieferketten und den Bedarf an robusteren Meldeverfahren in ganz Europa.

  • Datenverlust: Bedrohungen von außen und innen

    Das Vertrauen in den öffentlichen Sektor und seine Datenschutzmaßnahmen hat Risse bekommen. Laut einer aktuellen Studie geben 32 Prozent der deutschen Bürgerinnen und Bürger an, dass sie es bevorzugen würden, wenn Behörden zum Schutz ihrer persönlichen Daten weiterhin mit analogen Mitteln wie Papierdokumente arbeiteten.

  • Maßnahmen für die NIS2-Compliance

    Bis 17. Oktober 2024 müssen die neuen EU-Richtlinien zur Netzwerk- und Informationssicherheit (NIS2) von allen Mitgliedstaaten durch lokale Gesetzgebung umgesetzt werden. Als Strafrahmen legt die EU bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes fest. Deutschland könnte sogar noch strengere Vorgaben und höhere Strafen beschließen.

  • Betriebliche Resilienzmaßnahmen einführen

    Die Zahl der Cyberangriffe auf den Finanzsektor nimmt weltweit zu, und auch in Deutschland stellen Cyberattacken nach Einschätzung der Finanzaufsicht BaFin eine große Gefahr insbesondere für Banken und Versicherer sowie deren Dienstleister dar.

  • Regulierung nach der Finanzkrise

    Der vom Bundeskabinett beschlossene Jahreswirtschaftsbericht 2024 trägt den Titel "Wettbewerbsfähigkeit nachhaltig stärken". Dieses Ziel ist uneingeschränkt zu begrüßen, allerdings sollte es sich auf die Wettbewerbsfähigkeit der gesamten deutschen Wirtschaft beziehen und damit auch die Banken einschließen. Denn als Herz-Kreislauf-System unserer Wirtschaft spielen diese eine ganz besondere Rolle.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen