Cybersicherheit hat in den letzten Jahren stark an Bedeutung gewonnen, insbesondere durch die zunehmende Digitalisierung und Vernetzung von Systemen. Vor diesem Hintergrund hat die Europäische Union die NIS2-Richtlinie eingeführt, um die allgemeine Cybersicherheit in der EU zu stärken. Dieser Artikel gibt einen Überblick über die Auswirkungen der NIS2-Richtlinie und zeigt, wie unser NIS2 Readiness Assessment Schwachstellen und Handlungsfelder aufzeigt.
Was ist NIS2?
Die erweiterte europäische Richtlinie NIS2 (Network and Information Security Directive 2) regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen in 18 kritischen Sektoren. Am 27. Dezember 2022 wurde die NIS-2-Richtlinie im EU-Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft. Die EU-Mitgliedstaaten müssen sie bis Oktober 2024 in nationales Recht umsetzen. In Deutschland wurde im Juli 2023 ein Referentenentwurf des Bundesinnenministeriums zur Umsetzung veröffentlicht, bekannt als das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).
Unternehmen und Organisationen müssen sich mit Themen wie der Resilienz kritischer Infrastruktur auseinandersetzen. Die NIS2-Richtlinie erweitert zudem den Anwendungsbereich und führt strengere Haftungsregeln für das Management der betroffenen Organisationen ein. Bei Verstößen drohen hohe Bußgelder.
Umfrage NIS2: Wo stehen Sie, wo gibt es Handlungsbedarfe?
Die Umfrage ist ein Gradmesser zur Wahrnehmung und Umsetzung von NIS2. Wo stehen die betroffenen Unternehmen, wo gibt es Handlungsbedarfe? Die Teilnehmer:innen der Umfrage erhalten auf Wunsch die Auswertung.
Ziele der NIS2-Richtlinie
- Verbesserung der Cybersicherheit: Durch die Implementierung von Sicherheitsmaßnahmen sollen Netzwerke und informationstechnische Systeme vor Cyberangriffen geschützt werden.
- Schutz kritischer Infrastrukturen: Besonders sensible Bereiche wie Energie, Verkehr, Gesundheit und Finanzen sollen vor Cyberbedrohungen geschützt werden, um die Stabilität und Funktionsfähigkeit dieser Systeme sicherzustellen. Auch Zulieferer dieser kritischen Infrastrukturen sind davon betroffen.
Unternehmen müssen daher Maßnahmen ergreifen, um ihre Widerstandsfähigkeit gegenüber Cyber-Angriffen sicherzustellen. Diese Maßnahmen müssen so gewählt werden, dass die Risiken beherrscht und die Auswirkungen von Sicherheitsvorfällen verhindert oder minimiert werden. Dabei sind die Größe der Organisation, das Ausmaß der Risikoexposition und die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen zu berücksichtigen.
Die 5 Schwerpunkte von NIS2
Betroffene Unternehmen
Unternehmen, die mindestens 50 Mitarbeiter:innen beschäftigen und/oder einen Jahresumsatz/Bilanzsumme von mindestens 10 Mio. € aufweisen und in einem der 18 in der NIS2-Richtlinie genannten Sektoren tätig sind, sind von der NIS2-Richtlinie betroffen.
In Anhang I und Anhang II der Die NIS2 Richtlinie ist aufgeführt, welche „Art der Einrichtung“ je Sektor betroffen ist. Entscheidend ist daher, ob Sie einer darin genannten Art der Einrichtung entsprechen.
Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen
In der NIS-Richtlinie2 wird zwischen wesentlichen und wichtigen Einrichtungen unterschieden. Wesentliche Einrichtungen sind große Einrichtungen mit hoher Kritikalität, wie z. B. Betreiber kritischer Anlagen, Fernmeldedienstanbieter usw., während wichtige Einrichtungen mittelgroße Einrichtungen unabhängig von ihrer Kritikalität umfassen.
Verschärfte Haftung
Die NIS 2-Richtlinie sieht eine Ausweitung und Verschärfung der Haftung vor. Bei wesentlichen Einrichtungen können Strafen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Bei wichtigen Einrichtungen betragen die Bußgelder bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Ein wichtiger Hinweis: Nach dem Entwurf des Bundesministeriums für Inneres haften die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen, wobei die Obergrenze dieser Haftung 2 % des weltweiten Jahresumsatzes des Unternehmens beträgt.
Pflichten für betroffene Unternehmen
- Registrierung: Gemäß der NIS-2-Richtlinie sind betroffene Unternehmen verpflichtet, sich zu registrieren. Die Registrierungsstelle ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Unternehmen müssen sich eigenständig identifizieren und innerhalb einer Frist von 3 Monaten nach Inkrafttreten der Richtlinie registrieren. Das BSI behält sich jedoch das Recht vor, Unternehmen eigenständig zu registrieren, falls diese ihrer Pflicht nicht nachkommen.
- Meldepflicht: Betroffene Unternehmen haben eine Meldepflicht im Falle von Sicherheitsvorfällen. Die zentrale Meldestelle ist ebenfalls das BSI. Innerhalb von weniger als 24 Stunden nach einem Sicherheitsvorfall muss ein erster Bericht eingereicht werden. Dieser Bericht muss innerhalb von 72 Stunden aktualisiert werden. Das BSI kann Zwischenmeldungen anfordern. Nach 30 Tagen müssen betroffene Unternehmen eine ausführliche Beschreibung des Vorfalls einreichen, einschließlich Angaben zum Schweregrad, den Auswirkungen, den Ursachen und den ergriffenen Abstellmaßnahmen.
- Governance: Die Geschäftsleitung der betroffenen Unternehmen ist verpflichtet, die Risikomanagementmaßnahmen zu billigen. Sie haften für Schäden im Falle einer Pflichtverletzung. Darüber hinaus sind sie verpflichtet, Pflicht-Schulungen im Bereich Cybersicherheit durchzuführen.
- Informationspflicht: Das BSI bietet operative Beratung bei Frühwarnungen im Zusammenhang mit Sicherheitsvorfällen. Es kann auch die Unterrichtung von Kunden bei Sicherheitsvorfällen anordnen und in speziellen Sektoren auch Abhilfemaßnahmen verlangen. Das BSI hat zudem das Recht, die Veröffentlichung eines Sicherheitsvorfalls anzuordnen, um die Öffentlichkeit angemessen zu informieren.
Diese Pflichten stellen sicher, dass betroffene Unternehmen proaktiv auf Sicherheitsvorfälle reagieren und die erforderlichen Maßnahmen ergreifen, um die Cybersicherheit zu stärken und potenzielle Schäden zu minimieren.
Unser Angebot: Das NIS2 Readiness Assessment
Wenn Sie sicherstellen möchten, dass Ihr Unternehmen die Anforderungen der NIS2-Richtlinie erfüllt, ist es jetzt an der Zeit zu handeln. Unser NIS2 Readiness Assessment bietet Ihnen die Möglichkeit, Ihre Cybersicherheitsmaßnahmen genau unter die Lupe zu nehmen. Konkrete und spezifische Fragen führen Sie zu einer fundierten Selbsteinschätzung. Das Ergebnis wird in Form einer Heatmap dargestellt, die bestehende Defizite deutlich aufzeigt und Ihnen einen klaren Überblick über den aktuellen Stand Ihrer Cybersicherheit gibt. Im Anschluss an das Assessment erarbeiten wir Handlungsempfehlungen, um mögliche Schwachstellen zu beheben. Nutzen Sie die Chance, die Sicherheit Ihres Unternehmens proaktiv zu verbessern und sich für die Herausforderungen der digitalen Welt zu rüsten.
Umfrage NIS2: Wo stehen Sie, wo gibt es Handlungsbedarfe?
Die Umfrage ist ein Gradmesser zur Wahrnehmung und Umsetzung von NIS2. Wo stehen die betroffenen Unternehmen, wo gibt es Handlungsbedarfe? Die Teilnehmer:innen der Umfrage erhalten auf Wunsch die Auswertung.
Fazit
Die NIS-2-Richtlinie ist ein wichtiger Schritt der Europäischen Union, um die Cybersicherheit zu stärken und kritische Infrastrukturen vor Cyberbedrohungen zu schützen. Betroffene Unternehmen müssen sich mit den Anforderungen der Richtlinie vertraut machen und entsprechende Maßnahmen ergreifen, um die Sicherheit ihrer Netzwerke und informationstechnischen Systeme zu gewährleisten.
Unser Readiness Assessment hilft Ihnen dabei, Schwachstellen zu identifizieren, um die Anforderungen sicher und effizient zu erfüllen.
