Am 16. Januar 2023 trat die neue NIS2-Richtlinie in Kraft. Ziel ist es, das Cybersicherheitsniveau von Netz- und Informationssystemen in der Europäischen Union zu erhöhen. Die Mitgliedsstaaten haben nun bis zum 17. Oktober 2024 Zeit, diese Richtlinie umzusetzen. Aber was genau besagt sie und wen betrifft sie? Wir klären auf.
Auch KMUS werden verpflichtet
Die NIS-Richtlinie ist ein gesamteuropäisches Regelwerk, welches Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der europäischen Union definiert. Das Gesetz zur Umsetzung dieses einheitlichen Rechtsrahmens trat am 29.06.2017 in Kraft. Nun wurde die Richtlinie ergänzt. Da die neue NIS2-Richtlinie den Anwendungsbereich der NIS erweitert, verpflichtet sie jetzt deutlich mehr Unternehmen und Organisationen, im Namen der Cybersicherheit zu handeln. Neu: Dazu zählen einige KMUs. Unternehmen und Organisationen aus 11 wesentlichen und 7 wichtigen Sektoren werden miteinbezogen. Sie sind nun verpflichtet, Maßnahmen zu ergreifen, die ihre Systeme vor Cyberangriffen schützen und im Ernstfall sicherstellen, dass sie sich möglichst schnell davon erholen.
Wesentliche Dienste
Zu den „wesentlichen Diensten“ zählen Unternehmen, die als essenziell für das Funktionieren von Wirtschaft und Gesellschaft angesehen werden. Die NIS2 geht dabei über die deutschen KRITIS-Sektoren hinaus. Die 11 NIS2-Sektoren sind: Energie, Transport, Bankwesen, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT Service Management, Öffentliche Verwaltung und Weltraum. Gehört man dazu, muss man sich an die Richtlinie halten. Die Größe der Organisation spielt bei einigen essenziellen Sektoren keine Rolle mehr.
Wichtige Dienste
Zu den „wichtigen Sektoren“ zählen Post und Kurier, Abfall, Chemikalien, Lebensmittel, Herstellung, Digitale Dienste und Forschung. Damit müssen nun auch beispielsweise Online-Marktplätze, Cloud Computing-Anbieter oder Suchmaschinen die Vorgaben der NIS2 erfüllen. Allerdings nur, wenn sie eine bestimmte Größe überschreiten. Die neuen Richtlinien gelten für DSPs mit 50 oder mehr Mitarbeitenden und einem Jahresumsatz von mindestens 10 Millionen Euro und für DSPs mit 250 oder mehr Mitarbeitenden und einem Jahresumsatz von mindestens 50 Millionen Euro.
Warum macht die NIS2 für Unternehmen Sinn?
Ganz einfach: Sie wird dazu beitragen, die Cybersicherheit in der EU zu vereinheitlichen und damit zu erhöhen. Zu diesem Zweck werden mehrere Maßnahmen ergriffen:
- Die Sicherheitsanforderungen an Unternehmen werden erhöht.
- Die Absicherung von Lieferketten (Supply Chain Security) wird eingefordert.
- Die Berichtspflichten werden erweitert.
- Die zuständigen Behörden erhalten umfassendere Aufsichts- und Durchsetzungsmechanismen.
- Alle EU-Mitgliedsstaaten erhalten die gleichen Sanktionsmöglichkeiten.
Was genau fordert die NIS2?
Alle Netzwerke, Informationssysteme und die physischen Umgebungen dieser Systeme sollen vor Sicherheitsvorfällen gefeit sein. Deswegen verlangt die NIS2 unter anderem Folgendes von Unternehmen und Organisationen:
- Sicherheitsvorfälle und Cyberangriffe müssen bei Betreibern wesentlicher Dienste innerhalb von 24 Stunden gemeldet werden.
- Risikomanagementverfahren müssen implementiert werden, um Schwachstellen zu identifizieren, Risiken zu bewerten und angemessene Schutzmaßnahmen zu ergreifen.
- Regelmäßige Sicherheitsaudits und Penetrationstests sind erforderlich, um die Wirksamkeit der Sicherheitsmaßnahmen zu gewährleisten.
- Es muss ein funktionierendes Vorfallsmanagement existieren.
- Die Aufrechterhaltung des Betriebs (Business Continuity) muss gewährleistet werden.
- Die Sicherheit der Lieferkette (Supply Chain Security) muss garantiert werden.
- Es müssen Schulungen und Trainings zum Thema Sicherheit angeboten werden.
- Das Management von Anlagen (Asset Management) muss nachgewiesen werden.
- Die Dokumentationspflichten müssen eingehalten werden.
Wie wird die Nichteinhaltung der NIS2 bestraft?
Mit der Richtlinie sollte man nicht scherzen. Die Strafen können bei Nichteinhaltung sehr hoch sein. Bis zu 10 Millionen Euro bzw. 2 % des Vorjahresumsatzes (weltweit) können eingefordert werden. Bei besonders schweren Fällen können die Sanktionen sogar 20 Millionen Euro oder 4 % des Vorjahresumsatzes weltweit betragen. Zusätzlich können die nationalen Behörden weitere Sanktionen erlassen.
Wann muss die NIS2 umgesetzt sein?
Die EU-Mitgliedsstaaten haben 21 Monate Zeit, die Richtlinie in nationales Recht umzusetzen. Für deutsche Unternehmen bedeutet das: Spätestens im Herbst 2024 kommen sehr viele neue Regularien auf die deutsche Wirtschaft zu. Wer sich rechtzeitig darum kümmert, ist gesetzlich auf der sicheren Seite und klar im Vorteil.
Übrigens: Wir beraten Sie gerne zum Thema NIS2 und unterstützen Sie bei der rechtzeitigen Umsetzung der Richtlinie. Sprechen Sie uns an, wir freuen uns auf Sie!
