NIS-2 Richtlinie wird zum nationalen Gesetz
Neue Anforderungen und Compliance: Was Unternehmen jetzt wissen müssen
Mit der Umsetzung der zweiten Fassung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) bis Oktober 2024 kommen auf deutsche Unternehmen erhebliche Veränderungen im Bereich der Cybersicherheit zu. Die Richtlinie erweitert die Anforderungen und Pflichten für eine Vielzahl von Unternehmen. Im Folgenden zeigen wir auf, was dies konkret bedeutet und welche Maßnahmen Sie als Unternehmen ergreifen können, um den Anforderungen der NIS-2 gerecht zu werden.
Die wichtigsten Vorteile der NIS-2 Richtlinie für betroffene Unternehmen
- Verbesserte Widerstandsfähigkeit gegen Cyber-Angriffe durch strengere Sicherheitsvorschriften
- Klare Verantwortlichkeiten und transparente Berichtspflichten
- Stärkung des Vertrauens aller Beteiligten durch nachweislich hohe Sicherheitsstandards
Anfang 2023 ist die EU-Richtlinie NIS 2 in Kraft getreten, die die Mitgliedsstaaten, darunter auch Deutschland, bis zum 17. Oktober 2024 in nationales Recht umsetzen müssen. Der Referentenentwurf für das NIS 2-Umsetzungsgesetz (NIS2UmsuCG) liegt bereits vor.
Mit der Richtlinie werden auch die KRITIS-Regelungen gestärkt, indem Unternehmen außerhalb der traditionellen kritischen Infrastrukturen einbezogen werden und strengere Sicherheitsprotokolle und Meldepflichten für alle betroffenen Einrichtungen eingeführt werden. Dies wird die Widerstandsfähigkeit und Reaktionsfähigkeit gegenüber nationalen Sicherheitsrisiken erheblich verbessern.
Ausweitung des Geltungsbereichs
Die erweiterte NIS-Richtlinie unterscheidet zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Besonders wichtige Einrichtungen unterliegen regelmäßigen Sicherheitsprüfungen mit möglichen Bußgeldern bis zu 10 Millionen EUR oder 2% des weltweiten Umsatzes. Wichtige Einrichtungen werden hingegen nur bei Verdacht geprüft, mit Bußgeldern bis zu 7 Millionen EUR oder 1,4% des Umsatzes.
Zu den Besonders wichtigen Einrichtungen gehören große Unternehmen aus insbesondere den folgenden Sektoren mit hoher Kritikalität:
- Energie
- Straßen-, Schienen, Luft- und Schiffsverkehr
- Wasser
- Digitale Infrastruktur und IT- & TK-Dienste
- Finanz- und Versicherungswesen
- Gesundheit
- Öffentliche Verwaltung
- Raumfahrt
Was können Sie tun, um die Anforderungen der NIS-2 zu erfüllen?
Um die Anforderungen der NIS 2-Richtlinie zu erfüllen, sollten Sie als Unternehmen zunächst prüfen, ob Sie als „besonders wichtige“ oder „wichtige“ Einrichtung eingestuft sind, da dies die genauen Sicherheitsverpflichtungen und den Umfang der behördlichen Aufsicht bestimmt. Es ist wichtig, ein robustes Risikomanagement- und Cybersicherheitssystem zu implementieren, das regelmäßige Sicherheitsaudits, Penetrationstests und die Schulung Ihrer Mitarbeitenden umfasst. Ebenso sollten Sie wirksame Notfallpläne erstellen, um schnell auf Sicherheitsvorfälle reagieren zu können, und Ihre IT-Infrastruktur kontinuierlich überwachen, um die Einhaltung der Vorschriften zu gewährleisten und mögliche Strafen zu vermeiden.