Sie sind hier: Home » Markt » Hinweise & Tipps

Wer ist von NIS2 betroffen?


Die wichtigsten Fragen und Antworten zur NIS2-Direktive
Die EU hat bereits 2016 Mindestanforderungen an die Cybersicherheit in der Richtlinie zur Netz- und Informationssicherheit (NIS) definiert



Mit der EU-NIS2-Direktive erhöhen sich die Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen. Davon sind erheblich mehr Unternehmen betroffen als bisher. Was müssen Security-Verantwortliche jetzt wissen und wie bereiten sie sich am besten vor? Dirk Wocke, Compliance Manager und Datenschutzbeauftragter bei indevis, gibt Antworten auf die wichtigsten Fragen.

Cyberangriffe auf kritische Infrastrukturen sind besonders gefährlich. Daher hat die EU bereits 2016 Mindestanforderungen an die Cybersicherheit in der Richtlinie zur Netz- und Informationssicherheit (NIS) definiert. Diese wird jetzt durch eine Neuauflage abgelöst. Seit 16. Januar 2023 ist die NIS2-Direktive in Kraft – und bis Oktober 2024 haben die EU-Mitgliedsstaaten noch Zeit, sie in nationales Recht zu überführen. In Deutschland erfolgt dies durch das NIS2-Umsetzungsgesetz, das derzeit als zweiter Referentenentwurf vorliegt. Zu erwarten sind Änderungen am IT-Sicherheitsgesetz und der KRITIS-Verordnung. Viele Unternehmen fragen sich jetzt, was NIS2 für sie bedeutet.

Der wichtigste Unterschied zur alten Gesetzgebung ist der deutlich erweiterte Wirkungsgrad. Sieben neue KRITIS-Sektoren kommen hinzu, sodass sich die Zahl von elf auf achtzehn erhöht. Während bisher nur große Organisationen aus dem direkten KRITIS-Umfeld betroffen waren, gilt NIS2 auch für privatwirtschaftliche Unternehmen – und zwar schon ab einer Größe von 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Einige Unternehmen fallen unabhängig von ihrer Größe unter die Direktive, weil sie zu den sogenannten "Essential Entities" zählen, die für das Allgemeinwohl besonders wichtig sind. Neu ist auch, dass betroffene Unternehmen die Cybersicherheit ihrer Zulieferer überprüfen und sicherstellen müssen. Das ist wichtig, denn Lieferketten werden immer komplexer, und schon der Ausfall eines kleinen Bausteins kann heute zu kritischen Engpässen führen. Wie gefährlich Supply-Chain-Angriffe sein können, hat zum Beispiel der Solarwinds-Hack gezeigt. Alles in allem wirkt sich NIS2 also auf eine breite Masse an Unternehmen aus, von denen viele erst auf den zweiten Blick feststellen, dass sie betroffen sind.

Welche Neuerungen bringt NIS2?
Die neue Direktive erhöht die Mindestanforderungen an die Cybersicherheit und nimmt Geschäftsführer in die Pflicht. Sie haften dafür, dass die vorgeschriebenen Standards eingehalten werden. Falls es zu einem Cyberangriff kommt, gelten strenge Meldepflichten ähnlich wie bei der DSGVO. Unternehmen müssen den Vorfall dann innerhalb einer bestimmten Frist beim BSI melden. Damit will der Gesetzgeber verhindern, dass Betroffene einen Cyberangriff vertuschen, um ihre Reputation zu schützen. Außerdem schärft NIS2 die europäische Rechtsprechung und vertieft die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern. So sollen zum Beispiel nationale Computer Emergency Response Teams eingerichtet werden, die grenzübergreifend miteinander kooperieren und Informationen austauschen. Parallel dazu soll eine Schwachstellendatenbank auf EU-Ebene aufgebaut werden.

Was sollten betroffene Unternehmen jetzt tun?
NIS2 schreibt technische und organisatorische Security-Maßnahmen nach Stand der Technik vor. Dazu zählt zum Beispiel eine Methodik, um Cyberrisiken einzuschätzen und eine Strategie, um die Service- und Geschäftskontinuität zu sichern. Pflicht sind außerdem Maßnahmen zur Prävention, Detektion und Bewältigung von Cybervorfällen. Im Grunde geht es darum, ein Informationssicherheits-Managementsystem (ISMS) aufzubauen. Dieses definiert Regeln, Prozesse, Methoden, Tools und Verantwortlichkeiten, um die Cybersicherheit im Unternehmen zu steuern und zu kontrollieren. Eine Orientierungshilfe bietet zum Beispiel der BSI Grundschutz und die ISO/IEC 27001. Die meisten Unternehmen haben bisher nur Puzzleteile eines ISMS etabliert. Zunächst ist es daher wichtig, Lücken zu identifizieren und diese dann Schritt für Schritt zu schließen. Zahlreiche Rollen müssen besetzt und Policies definiert werden. All das ist meist aufwändiger als gedacht und erfordert Zeit. Deshalb ist es empfehlenswert, das Thema möglichst bald in Angriff zu nehmen. Ein externer Dienstleister, der Erfahrung in der Einführung und Weiterentwicklung eines ISMS hat, kann dabei mit Rat und Tat unterstützen.

Was passiert, wenn Unternehmen die NIS2-Anforderungen ignorieren?
Ähnlich wie bei der DSGVO verleiht der Gesetzgeber seinen Anforderungen Nachdruck, indem er bei Verstößen hohe Bußgelder verhängt. Strafen und Enforcement Actions werden deutlich ausgeweitet – auf Maximalstrafen von mindestens sieben oder zehn Millionen Euro, je nach Sektor. Um die Einhaltung der NIS2-Anforderungen zu überprüfen, kann das BSI-Audits durchführen oder bei Dritten beauftragen. Werden Defizite aufgedeckt, erhalten betroffene Unternehmen eine Frist, innerhalb der sie nachbessern müssen. Nicht zuletzt haften Geschäftsführer persönlich, wenn sich bei der forensischen Untersuchung eines Cybervorfalls herausstellt, dass das Unternehmen Security-Vorgaben missachtet hat.

NIS2 als Chance
Wer bisher schon dem KRITIS-Bereich zugeordnet war, hat vermutlich vieles, was NIS2 fordert, bereits umgesetzt. Für Unternehmen, die neu dazukommen, fällt der Aufwand höher aus. Daher empfiehlt es sich, möglichst bald zu starten. Auch wenn NIS2 zunächst einmal Arbeit verursacht, lohnt sich die Investition. Denn die Cybersicherheit zu erhöhen, ist angesichts der wachsenden Bedrohungslage unverzichtbar. In der Praxis haben es Security-Verantwortliche oft schwer, Budget für Security-Maßnahmen freizuschlagen. Daher braucht es den Druck durch gesetzliche Vorgaben. NIS2 hängt das Thema Cybersecurity jetzt ganz oben auf Geschäftsleitungsebene auf und macht dadurch die Bahn frei für Veränderung. Security-Verantwortliche dürften es künftig also leichter haben, CEOs davon zu überzeugen, stärker in Cybersicherheit zu investieren. Um möglichst schnell und effizient zur NIS2-Compliance zu gelangen, empfiehlt sich die Zusammenarbeit mit einem erfahrenen Managed Security Services Provider. Er kann helfen, die Security-Strategie zu überprüfen, ein ISMS aufzubauen, geeignete Security-Technik auszuwählen und zu betreiben. (indevis: ra)

eingetragen: 15.09.23
Newsletterlauf: 25.10.23

indevis IT Consulting and Solutions: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

  • NIS-2-Umsetzung in Deutschland

    Mit dem neuen für NIS-2-Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu - doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln. Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess.

  • Dem Fiskus drei Schritte voraus

    Teure Materialien sowie steigende Energie- und Transportpreise sind nur zwei Gründe, warum in zahlreichen Unternehmen der Sparzwang wächst. "Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer ohnehin angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen", weiß Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld.

  • Gesetze über Gesetze

    Der Countdown läuft: Die NIS2-Richtlinie steht praktisch schon vor der Tür und Betreiber kritischer Infrastrukturen (KRITIS) arbeiten auf Hochtouren daran, bis Oktober alle notwendigen Maßnahmen zu treffen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen