Das Cybersicherheitsniveau in Europa soll auf ein höheres Level gehoben werden. Die NIS 2 Umsetzung rückt für Unternehmen in greifbare Nähe. Als Nachfolgerin der ersten Richtlinie zur Netz- und Informationssicherheit (NIS) bringt die NIS 2-Leitlinie weitreichende Veränderungen mit sich, die zahlreiche Unternehmen in der Europäischen Union betreffen werden. Die NIS 2-Richtlinie, offiziell bekannt als "Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union", wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht.
Das Ziel ist es, die IT-Sicherheit in der EU zu stärken und die Widerstandsfähigkeit kritischer Sektoren gegenüber Cyberbedrohungen zu erhöhen. Für Unternehmen bedeutet die NIS 2 Umsetzung eine Reihe neuer Verpflichtungen und Herausforderungen. Es gibt zum Beispiel strengere Anforderungen an das Risikomanagement und erweiterte Meldepflichten bei Sicherheitsvorfällen.
In diesem Blogartikel werden die wichtigsten Aspekte der NIS 2 Umsetzung beleuchtet. Welche Unternehmen sind betroffen? Welche Anforderungen kommen auf Sie zu? Wie bereitet man sich optimal auf Umsetzung vor?
Hintergrund und Ziele der NIS 2-Richtlinie
NIS 1 legte den Grundstein für ein gemeinsames Sicherheitsniveau in der EU und zielte insbesondere auf eine stärkere Zusammenarbeit zwischen den Mitgliedsstaaten ab. Sie konzentrierte sich hauptsächlich auf Betreiber wesentlicher Dienste in kritischen Branchen:
- Trinkwasserlieferung und -versorgung
- Energie
- Digitale Infrastruktur
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Verkehr
NIS 1 schreibt vor, dass betroffene Unternehmen geeignete technische und organisatorische Maßnahmen zu entwickeln, um ihre Netzwerke und Informationssysteme zu sichern. Hinzu kommt die Verhinderung von Sicherheitsvorfällen und die Minimierung der eintretenden Schäden. Mögliche Risiken müssen in den Systemen auch berücksichtigt werden. Bei einem Vorfall muss sofort die zuständige die Behörde benachrichtigt werden.
Die fortschreitende Digitalisierung und die ständige Weiterentwicklung der IT machten jedoch eine Überarbeitung und Erweiterung der ursprünglichen Richtlinie erforderlich, was zur Entwicklung von NIS 2
führte.
Hauptziele der neuen Richtlinie
Erweiterter Anwendungsbereich:
NIS 2 fügt mehr Sektoren hinzu und unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Sie gilt nun auch für mittelgroße Unternehmen, nicht nur für Großunternehmen. Die Betreiber kritischer Infrastrukturen müssen NIS 2 umsetzen.
Strengere Sicherheitsanforderungen
NIS 2 stellt höhere Anforderungen an das Risikomanagement und formuliert die Sicherheitsmaßnahmen konkreter.
Fokus auf Lieferkettensicherheit
NIS 2 berücksichtigt die Sicherheit der gesamten Lieferkette der Unternehmen und verlangt, dass Lieferantenbeziehungen in die Risikoanalyse einbezogen werden.
Strengere Überwachung
Die Überwachung durch die Behörden wird intensiviert. Hinzu kommt, dass bei Verstößen die Sanktionen erhöht werden.
Harmonisierung der Umsetzung
NIS 2 zielt auf eine einheitliche Umsetzung in allen EU-Mitgliedsstaaten ab. Die Zusammenarbeit der Staaten und die Rolle der EU-Agentur für Cybersicherheit wird gestärkt.
Ein besonderer Schwerpunkt von NIS 2 liegt auf der Kooperation zwischen Staat und Wirtschaft, um kritische Infrastrukturen besser zu schützen und wirtschaftliche Schäden durch Cyberangriffe zu minimieren. Insgesamt stellt die NIS 2-Leitlinie einen bedeutenden Schritt zur Verbesserung der Cybersicherheit in der EU dar. Sie reagiert auf die zunehmende Komplexität und Häufigkeit von Cyberangriffen und schafft einen robusten Rahmen für die Bewältigung aktueller und zukünftiger Herausforderungen im digitalen Raum.
Anwendungsbereich und betroffene Unternehmen
Wie oben erwähnt, erweitert sich der Einsatzbereich der NIS 2-Leitlinie. Hierbei unterscheiden sich die Pflichten der Unternehmen je nach Einstufung in den Sektoren. Es gibt Sektoren mit einer hohen Kritikalität und sonstige kritische Sektoren. Zusätzlich wird noch zwischen wichtigen und besonders wichtigen Einrichtungen (wesentlichen Einrichtungen) unterschieden.
Sektoren mit hoher Kritikalität
- Energie
- Elektrizität
- Fernwärme und -kälte
- Erdöl
- Erdgas
- Wasserstoff
- Elektrizität
- Verkehr
- Luftverkehr
- Schienenverkehr
- Schifffahrt
- Straßenverkehr
- Luftverkehr
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (B2B)
- Öffentliche Verwaltung
- Weltraum
Sonstige kritische Sektoren
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe / Herstellung von Waren
- Herstellung von Medizinprodukten und In-vitro Diagnostika
- Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
- Herstellung von elektrischen Ausrüstungen
- Maschinenbau
- Herstellung von Kraftwagen und Kraftwagenteilen
- Sonstiger Fahrzeugbau
- Anbieter digitaler Dienste
- Forschung
Genauere Erläuterungen der Sektoren mit hoher Kritikalität sind im Anhang 1 der NIS 2-Richtlinie
dokumentiert.
Größenschwellen für Unternehmen
Die Einordnung als wesentliche oder wichtige Einrichtung hängt nicht nur vom Sektor ab, sondern auch von der Unternehmensgröße:
- Unternehmen mit mehr als 250 Mitarbeitern und einem Jahresumsatz von über 50 Millionen Euro oder einer Jahresbilanzsumme von über 43 Millionen Euro gelten in der Regel als wesentliche Einrichtungen.
Unabhängig davon sind Anbieter von Vertrauensdienstleistern und DNS-Diensten, öffentliche elektronische Kommunikationsnetze, Einrichtungen der öffentlichen Verwaltung, festgelegte Einrichtungen aus anderen Mitgliedsstaaten und alle Einrichtung gemäß der Richtlinie über die Resilienz kritischer Einrichtungen (CER) automatisch wesentliche Einrichtungen. - Unternehmen mit 50 bis 249 Mitarbeitern und einem Jahresumsatz zwischen 10 und 50 Millionen Euro oder einer Jahresbilanzsumme zwischen 10 und 43 Millionen Euro werden meist als wichtige Einrichtungen eingestuft.
Ausnahmen wären hier Vertrauensdienstleister. Diese werden automatisch als wesentliche Einrichtung eingestuft.
Präsenzschulung
eLearning/Onlineschulung
Einordnung der Unternehmen
Ausnahmen und Sonderfälle
Einige Unternehmen fallen unabhängig von ihrer Größe direkt unter NIS 2 (Art. 3, Abs. 1):
- Anbieter von Vertrauensdiensten
- Domänennamenregister der Domäne oberster Stufe
- DNS-Diensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze mit mittlerer Unternehmensgröße
- Öffentliche Verwaltung
- Unternehmen, die als einziger Anbieter eines Dienstes in einem EU-Mitgliedsstaat gesehen werden, der kritisch ist für das öffentliche Leben ist
- Unternehmen, deren Störung einen wesentlichen Effekt auf die öffentliche Ordnung, Sicherheit oder Gesundheit haben
- Unternehmen, die laut der Resilienz-Richtlinie der EU als kritisch einzustufen sind
- Unternehmen, die vor dem 16. Januar 2023 schon als kritisch eingestuft wurden (Artikel 3, Absatz 1 / NIS 2)
Die Einordnung eines Unternehmens in die Kategorien der NIS 2-Richtlinie ist oft nicht auf den ersten Blick ersichtlich. Viele Faktoren spielen eine Rolle, und die Grenzen können fließend sein. Daher ist es ratsam, dass Unternehmen genau prüfen, ob sie im Anwendungsgebiet liegen.
Im Zweifelsfall kann es sinnvoll sein, sich rechtlich beraten zu lassen. Denn mit der Ausweitung des Geltungsbereichs müssen sich nun deutlich mehr Unternehmen mit den NIS 2-Anforderungen auseinandersetzen als bisher.
Das bedeutet auch: Wer bisher nicht betroffen war, könnte es jetzt sein.
Für alle potenziell betroffenen Unternehmen heißt es daher: Frühzeitig informieren und vorbereiten. Je eher man sich mit den neuen Anforderungen vertraut macht und notwendige Maßnahmen plant, desto reibungsloser wird die Umsetzung bis zur Frist im Oktober 2024 verlaufen.
Momentan gibt es in Deutschland etwa 22.000 wichtige Einrichtungen, etwa 8000 wesentliche Einrichtungen und etwa 2000 Unternehmen, die der CER-Richtlinie unterliegen.-Anforderungen betroffen sind als zuvor. Dies unterstreicht die Bedeutung einer frühzeitigen Vorbereitung und Umsetzung der erforderlichen Maßnahmen.
Registrierungspflicht
Sobald Unternehmen als wichtige oder wesentliche Einrichtungen gelten, besteht eine Registrierungspflicht beim BSI. Diese Registrierung beinhaltet folgende Informationen:
- Name der Einrichtung
- Anschrift, Kontaktdaten, E-Mail-Adressen, Telefonnummern, IP-Adressbereiche
- Gemäß Anhang 1 oder 2 den Sektor und Teilsektor
- Liste von Mitgliedsstaaten, in denen die im Rahmen dieser Regelung erbrachten Dienste angeboten werden
Risikomanagement-Maßnahmen
Unternehmen stehen in der Pflicht, ein umfassendes Risikomanagementkonzept zu implementieren, das folgende grundlegende Sicherheitselemente enthält:
- Leitlinien für Risiken und Informationssicherheit
- Incident Management zur Prävention, Erkennung und Bewältigung von Sicherheitsvorfällen
- Business Continuity Management und Krisenmanagement
- Methoden zur Messung der Effektivität von Informationssicherheitsmaßnahmen
- Angemessener Einsatz von Verschlüsselung
- Grundlegende Computer-Hygiene-Praktiken und Cybersicherheitsschulungen
- Personalsicherheit, Zugriffskontrolle und Asset Management
- Verwendung von Multi-Faktor-Authentifizierung und sicheren Kommunikationssystemen
Meldeplichten bei Vorfällen
Der Leitfaden sieht ein mehrstufiges Meldeverfahren für Sicherheitsvorfälle vor:
- Frühwarnung: Innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls
- Vorfallmeldung: Innerhalb von 72 Stunden nach Bekanntwerden des Vorfall
- Abschlussbericht: Spätestens einen Monat nach dem Vorfall
Lieferkettensicherheit
Ein besonderer Fokus der NIS 2-Richtlinie liegt auf der Sicherheit der gesamten Lieferkette. Unternehmen werden verpflichtet, sich mit Cybersicherheitsrisiken in ihren Lieferketten zu befassen. Dies kann auch Auswirkungen auf Zulieferer und Partner haben, die nicht direkt unter NIS 2 fallen.
Verantwortlichkeiten der Unternehmensführung
Die Leitlinie legt eine klare Verantwortung für die Umsetzung und Überwachung der Maßnahmen bei der Geschäftsführung (bzw. den "Leitungsorganen") fest. Dies beinhaltet:
- Tragen der Verantwortung für die Einhaltung der Cybersicherheitsmaßnahmen
- Aneignung angemessener Kenntnisse und Fähigkeiten zur Risikoeinschätzung und zum Cybersicherheitsmanagement
- Durchführung regelmäßiger Schulungen für Mitarbeiter und Management
- Nachweis eines angemessenen und getesteten Cybersicherheitsprogramms bei Vorfällen
- Persönliche Haftung bei Verstößen gegen die Einhaltung der Leitlinie
Audits und Überprüfung
Regelmäßige Risikobewertungen und Audits sind vorgeschrieben, um die Wirksamkeit der implementierten Maßnahmen zu überprüfen und kontinuierlich zu verbessern. Die Umsetzung dieser Kernelemente und Anforderungen ist entscheidend für Unternehmen, um die Compliance mit der NIS 2-Leitlinie zu gewährleisten und mögliche Sanktionen zu vermeiden. Es wird empfohlen, frühzeitig mit der Implementierung zu beginnen, da die Umsetzung erhebliche Zeit und Ressourcen in Anspruch nehmen kann.
Unterstützung durch externen Informationsbeauftragten
Sie haben für Ihr Unternehmen noch keinen externen Informationssicherheitsbeauftragten bestellt oder Ihr interner Informationssicherheitsbeauftragter benötigt Unterstützung bei der Umsetzung und Einhaltung der komplexen Informationssicherheitsanforderungen? Holen Sie sich ein unverbindliches Angebot von uns ein und erfahren Sie, wie wir Sie unterstützen, um Sie zu enthaften und Ihnen Ressourcen für Ihr Tagesgeschäft freizuschaufeln.
Umsetzungszeitplan und wichtige Fristen
Die EU-Richtlinie NIS 2 trat am 16. Januar 2023 in Kraft und binnen 21 Monaten (bis zum 17. Oktober 2024) sollen alle EU-Mitgliedsstaaten diese Leitlinie in nationales Recht umsetzen. In Deutschland wird dies voraussichtlich durch das NIS 2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS 2UmsuCG) erfolgen.
Das Bundesministerium des Innern und für Heimat (BMI) hat am 7. Mai 2024 einen Referentenentwurf für dieses Gesetz vorgelegt. Dieser Entwurf sieht vor, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zentrale Rolle bei der Umsetzung und Überwachung der NIS 2-Anforderungen spielen wird. Das BSI-Gesetz und das IT-Sicherheitsgesetz werden entsprechend angepasst, um die neuen Aufgaben und Befugnisse des BSI zu regeln.
Am 25. Juli 2024 wurde der Regierungsentwurf verabschiedet. Ob die Verabschiedung des Gesetzes fristgerecht erfolgt, ist offen.
Die Umsetzung der NIS 2-Richtlinie steht bevor. Auch wenn das genaue Inkrafttreten noch offen ist, sollten Unternehmen jetzt handeln. Die Implementierung der Anforderungen ist komplex und zeitaufwendig. Wer früh beginnt, kann in Ruhe planen und umsetzen. Die Kernpunkte von NIS 2 sind bereits bekannt, was eine gezielte Vorbereitung ermöglicht. Frühzeitiges Handeln dient nicht nur der Compliance, sondern stärkt die gesamte IT-Sicherheit. Unternehmen, die jetzt aktiv werden, sind für die kommenden Herausforderungen besser gerüstet.
Herausforderungen bei der Umsetzung
Präsenzschulung
eLearning/Onlineschulung
Komplexität der Anwendbarkeit
Die Umsetzung von NIS 2 stellt Unternehmen vor eine Reihe komplexer Herausforderungen, die sorgfältige Planung und umfassende Ressourcen erfordern. Eine der größten Hürden ist die Bestimmung der Anwendbarkeit, insbesondere für Unternehmensgruppen. Die Einordnung von Tochtergesellschaften und verbundenen Unternehmen erfordert eine detaillierte Analyse der gesamten Unternehmensstruktur und aller Geschäftsaktivitäten. Dieser Prozess kann zeitaufwändig und komplex sein, ist aber entscheidend für die korrekte Umsetzung der Regularie.
Technische und organisatorische Anpassungen
Auf technischer und organisatorischer Ebene stehen Unternehmen vor der Aufgabe, ihre bestehenden IT-Infrastrukturen grundlegend zu überarbeiten. Dies beinhaltet die Implementierung neuer Sicherheitstechnologien und -prozesse sowie die Anpassung vorhandener Systeme an die erhöhten Sicherheitsanforderungen. Darüber hinaus müssen umfassende Risikomanagementstrategien entwickelt und umgesetzt werden, was oft eine Neuausrichtung der gesamten IT-Sicherheitsarchitektur erfordert.
Finanzielle Belastungen
Die finanziellen Herausforderungen sind ebenfalls beträchtlich. Unternehmen müssen mit erheblichen Investitionen in neue Sicherheitslösungen und -technologien rechnen. Hinzu kommen Kosten für Schulungen und Weiterbildungen von Mitarbeitern, möglicherweise die Einstellung zusätzlichen Fachpersonals sowie externe Beratung und Unterstützung bei der Umsetzung.
Zeitdruck und Ressourcenmanagement
Der enge Zeitrahmen für die Umsetzung bis Oktober 2024 setzt Unternehmen zusätzlich unter Druck. Die Koordination verschiedener Abteilungen und Prozesse innerhalb des Unternehmens erfordert ein sorgfältiges Projektmanagement und eine effiziente Ressourcenplanung.
Neue Compliance-Anforderungen
Nicht zuletzt stellen die neuen Compliance- und Berichterstattungsanforderungen eine kontinuierliche Herausforderung dar. Unternehmen müssen neue Prozesse zur Erfüllung der Meldepflichten einführen und sicherstellen, dass sie alle regulatorischen Anforderungen dauerhaft einhalten können. Dies erfordert oft eine Überarbeitung bestehender Governance-Strukturen und die Einführung neuer Kontrollmechanismen.
Ganzheitlicher Ansatz erforderlich
Die Bewältigung dieser vielschichtigen Herausforderungen erfordert einen ganzheitlichen Ansatz. Unternehmen sollten frühzeitig beginnen, diese Aspekte zu adressieren und möglicherweise externe Unterstützung in Anspruch nehmen, um eine reibungslose und effektive Umsetzung von NIS 2 zu gewährleisten. Nur so können sie sicherstellen, dass sie nicht nur die regulatorischen Anforderungen erfüllen, sondern auch ihre Cybersicherheit insgesamt verbessern und sich für die Zukunft rüsten.
Schritte zur NIS 2-Compliance
Selbsteinschätzung und Gap-Analyse
Der erste Schritt besteht darin, zu prüfen, ob das Unternehmen unter den Anwendungsbereich von NIS 2 fällt. Anschließend ist eine gründliche Analyse der bestehenden Cybersicherheitsmaßnahmen im Vergleich zu den NIS 2-Anforderungen durchzuführen. Dies hilft, Lücken zu identifizieren und einen klaren Überblick über notwendige Verbesserungen zu erhalten.
Entwicklung und Anpassung von Cybersicherheitsstrategien
Der erste Schritt besteht darin, zu prüfen, ob das Unternehmen unter den Anwendungsbereich von NIS 2 fällt. Anschließend ist eine gründliche Analyse der bestehenden Cybersicherheitsmaßnahmen im Vergleich zu den NIS 2-Anforderungen durchzuführen. Dies hilft, Lücken zu identifizieren und einen klaren Überblick über notwendige Verbesserungen zu erhalten.
Implementierung technischer und organisatorischer Maßnahmen
Unternehmen müssen eine Reihe technischer Maßnahmen umsetzen, darunter die Verbesserung der Netzwerk- und Systemsicherheit, die Implementierung von Multi-Faktor-Authentifizierung, die Verschlüsselung sensibler Daten und die Einrichtung von Systemen zur Erkennung und Prävention von Sicherheitsvorfällen.
Schulung von Mitarbeitern und Management
Ein wesentlicher Aspekt der NIS 2-Umsetzung ist die Sensibilisierung und Schulung aller Mitarbeiter, einschließlich der Führungsebene. Regelmäßige Schulungen zu Cybersicherheitsthemen und Best Practices sind unerlässlich, um eine Kultur der Sicherheit im Unternehmen zu etablieren.
Etablierung von Incident-Response-Prozessen
Unternehmen müssen klare Verfahren für die Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen entwickeln. Dies beinhaltet auch die Einrichtung eines Krisenmanagementsystems und die Erstellung von Business-Continuity-Plänen.
Überprüfung und Passung der Lieferekettensicherheit
Die Sicherheit der gesamten Lieferkette muss bewertet und verbessert werden. Dies kann die Durchführung von Sicherheitsaudits bei Zulieferern und die Anpassung von Verträgen umfassen, um Cybersicherheitsanforderungen zu berücksichtigen.
Dokumentation und Nachweisführung
Alle implementierten Maßnahmen, Prozesse und Entscheidungen müssen sorgfältig dokumentiert werden. Eine gute Dokumentation ist nicht nur für interne Zwecke wichtig, sondern auch für mögliche behördliche Überprüfungen.
Regelmäßige Überprüfung und Verbesserung
Die NIS 2-Umsetzung ist kein einmaliger Prozess. Unternehmen müssen ihre Sicherheitsmaßnahmen regelmäßig überprüfen, testen und an neue Bedrohungen anpassen. Die erfolgreiche Umsetzung dieser Schritte erfordert Zeit, Ressourcen und möglicherweise externe Expertise. Unternehmen sollten frühzeitig mit der Planung und Umsetzung beginnen, um bis zum Stichtag im Oktober 2024 compliant zu sein. Eine proaktive Herangehensweise an die NIS 2-Umsetzung kann nicht nur die Einhaltung der Vorschriften sicherstellen, sondern auch die allgemeine IT-Sicherheit des Unternehmens erheblich verbessern.
Die erfolgreiche Umsetzung dieser Schritte erfordert Zeit, Ressourcen und möglicherweise externe Expertise. Unternehmen sollten frühzeitig mit der Planung und Umsetzung beginnen, um bis zum Stichtag im Oktober 2024 compliant zu sein. Eine proaktive Herangehensweise an die NIS 2 Umsetzung kann nicht nur die Einhaltung der Vorschriften sicherstellen, sondern auch die allgemeine IT-Sicherheit des Unternehmens erheblich verbessern.
Sanktionen bei Nichteinhaltung
NIS 2 sieht strenge Sanktionen für Unternehmen vor, die die Vorgaben nicht einhalten. Diese Sanktionen sollen als starker Anreiz dienen, die Cybersicherheitsmaßnahmen ernst zu nehmen und umzusetzen. Die NIS 2-Leitlinie führt eine persönliche Haftung ein. Diese persönliche Haftung betrifft vor allem Geschäftsführer und Vorstände. Sie müssen Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und an Schulungen teilnehmen. Bei Verstößen drohen nicht nur Schadensersatzforderungen, sondern auch hohe Geldbußen. Zudem könnte ihnen untersagt werden, künftig Führungspositionen zu bekleiden.
Wichtig ist: Diese Verantwortung kann nicht an Dritte delegiert werden. Ziel ist es, Cybersicherheit zur Chefsache zu machen und deren Bedeutung auf höchster Ebene zu verankern.
Mögliche Bußgelder
Die Höhe der Bußgelder hängt davon ab, ob ein Unternehmen als wesentliche oder wichtige Einrichtung eingestuft wird:
Besonders wichtige Einrichtungen (bis zu 10 Mio. EUR oder 2% vom weltweiten Umsatz*):
- Höchste Bußgelder aufgrund ihrer kritischen Bedeutung für die Infrastruktur
- Verstöße wie Missachtung von BSI-Anordnungen oder gravierende Sicherheitsmängel
Wichtige Einrichtungen (bis zu 7 Mio. EUR oder 1,4% vom weltweiten Umsatz*):
- Ähnliche Verstöße wie bei besonders wichtigen Einrichtungen
- Geringere Bußgelder aufgrund etwas niedrigerer Kritikalität
Hersteller von IT-Systemen, TK-Anbieter, Telemedien, Betreiber kritischer Anlagen (bis zu 2 Mio. EUR):
- Fokus auf Mitwirkungspflichten und Umsetzung von Sicherheitsmaßnahmen
- Geringere Bußgelder, da weniger direkte Auswirkungen auf kritische Infrastrukturen
Betreiber kritischer Anlagen (bis zu 1 Mio. EUR):
- Spezifisch für Nachweispflichten über Sicherheitsanforderungen
- Niedrigere Bußgelder für administrative Verstöße
Verschiedene Einrichtungen und Hersteller (bis zu 500.000 EUR):
- Breit gefächerte Verstöße wie Verweigerung der Mitwirkung bei Sicherheitsvorfällen
- Niedrigste Bußgelder für weniger schwerwiegende oder allgemeine Verstöße
Diese erheblichen finanziellen Sanktionen unterstreichen die Bedeutung, die der EU-Gesetzgeber der Einhaltung der NIS 2-Richtlinie beimisst.
Andere potenzielle Konsequenzen
Öffentlich bekannt gewordene Verstöße können das Vertrauen von Kunden und Partnern erheblich beeinträchtigen.
In schweren Fällen könnten Behörden Einschränkungen des Geschäftsbetriebs anordnen, bis die erforderlichen Sicherheitsmaßnahmen umgesetzt sind.
Mangelnde Cybersicherheit kann zu Datenschutzverletzungen führen, die zusätzliche rechtliche Konsequenzen nach sich ziehen können.
Unternehmen, die die NIS 2-Anforderungen nicht erfüllen, könnten bei öffentlichen Ausschreibungen oder in Geschäftsbeziehungen mit anderen NIS 2-konformen Unternehmen benachteiligt werden.
Die Kombination aus hohen finanziellen Strafen und potenziellen geschäftlichen Nachteilen macht deutlich, wie wichtig es für Unternehmen ist, NIS 2 vollständig und rechtzeitig umzusetzen. Es ist ratsam, die Compliance-Bemühungen als Investition in die Zukunftsfähigkeit und Sicherheit des Unternehmens zu betrachten, statt sie nur als regulatorische Last zu sehen.
Verbindungen zu anderen Richtlinien und Gesetzen
NIS 2 steht in engem Zusammenhang mit anderen EU-Regularien und nationalen Gesetzen. Es ist wichtig, diese Verbindungen zu verstehen, um eine kohärente Umsetzung der Cybersicherheitsmaßnahmen zu gewährleisten.
1. Verhältnis zur DSGVO
Die NIS 2 und die Datenschutz-Grundverordnung (DSGVO) haben zwar unterschiedliche Schwerpunkte, weisen aber wichtige Überschneidungen auf. Beide Regelwerke zielen auf den Schutz von Daten und Systemen ab, wobei die DSGVO sich auf personenbezogene Daten konzentriert und NIS 2 die allgemeine Cybersicherheit adressiert. Es gibt Überschneidungen bei den Meldepflichten für Vorfälle, weshalb Unternehmen sicherstellen müssen, dass ihre Prozesse beide Anforderungen erfüllen. Die Implementierung von Sicherheitsmaßnahmen nach NIS 2 kann auch zur Erfüllung der technischen und organisatorischen Maßnahmen der DSGVO beitragen.
Bei Sanktionen ist vorgesehen, dass für denselben Verstoß nicht sowohl nach DSGVO als auch nach NIS 2 ein Bußgeld verhängt werden darf.
2. Zusammenhang mit der KRITIS Richtlinie
CER (Critical Entities Resilience) ergänzt NIS 2 in wichtigen Aspekten. Während NIS 2 sich auf die Sicherheit im Netz konzentriert, adressiert CER die physische Sicherheit und Resilienz kritischer Einrichtungen. Es gibt Überschneidungen bei den betroffenen Sektoren und Einrichtungen. In Deutschland wird CER voraussichtlich durch das KRITIS-Dachgesetz umgesetzt, während NIS 2 durch das NIS 2-Umsetzungsgesetz implementiert wird.
3. Branchenspezifische Regularien
NIS 2 interagiert mit verschiedenen branchenspezifischen Regularien:
- Im Energiesektor ergänzt NIS 2 Regularien wie die Erneuerbare-Energien-Richtlinie (RED III) und das Gebäudeenergiegesetz (GEG), indem es die Cybersicherheit der digitalisierten Energieinfrastruktur adressiert.
- Im Gesundheitssektor interagiert NIS 2 mit Gesetzen wie dem Gesundheitsdatennutzungsgesetz (GDNG), wobei NIS 2 sich auf den Schutz der digitalen Infrastruktur und sensibler Gesundheitsdaten konzentriert.
- Im Verkehrssektor ergänzt NIS 2 Initiativen wie das Transeuropäische Verkehrsnetz (TEN-V) und das Straßenverkehrsgesetz (StVG), indem es die Cybersicherheitsaspekte moderner Verkehrssysteme adressiert.
- In Bezug auf Unternehmensverantwortung ergänzt NIS 2 die EU-Lieferkettenrichtlinie (CSDDD) um eine cybersicherheitsspezifische Dimension.
Insgesamt fungiert NIS 2 als übergreifendes Rahmenwerk, das die Cybersicherheitsaspekte in verschiedenen Sektoren adressiert und dabei die spezifischen Anforderungen und Herausforderungen der jeweiligen Branchen berücksichtigt. Es schafft eine Brücke zwischen den verschiedenen branchenspezifischen Regularien und stellt sicher, dass Cybersicherheit als integraler Bestandteil aller digitalen Transformationsprozesse betrachtet wird.
Die Details zu diesen Verbindungen sind noch nicht endgültig festgelegt. Erst wenn NIS 2 umgesetzt wird und die einzelnen Branchen ihre Regeln anpassen, wird sich zeigen, wie das Ganze in der Praxis funktioniert.
Die NIS 2-Leitlinie markiert einen wichtigen Meilenstein in der europäischen Cybersicherheitspolitik, doch ihre Einführung ist nur der Anfang eines kontinuierlichen Prozesses. In Deutschland verschärft das NIS 2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS 2UmsuCG) die Regelungen in mehreren Bereichen. Es erweitert den Kreis der betroffenen Unternehmen, führt strengere Meldepflichten ein und erhöht die IT-Sicherheitsanforderungen in bestimmten Sektoren. Für die Zukunft zeichnen sich mehrere wichtige Entwicklungen ab:
Potenzielle Weiterentwicklung der Richtlinie
Es ist zu erwarten, dass die NIS 2-Leitlinie in den kommenden Jahren weiter angepasst und verfeinert wird. Dies wird notwendig sein, um mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten und neue technologische Entwicklungen zu berücksichtigen. Zukünftige Versionen könnten spezifischere Vorgaben für aufkommende Technologien oder neue Sektoren beinhalten.
Globale Auswirkungen auf Cybersicherheitsstandards
NIS 2 hat das Potenzial, über die Grenzen der EU hinaus Einfluss auf globale Cybersicherheitsstandards zu nehmen. Sie könnte als Vorbild für ähnliche Gesetzgebungen in anderen Ländern oder Regionen dienen. Internationale Unternehmen, die in der EU tätig sind, werden ihre globalen Sicherheitsstandards möglicherweise an NIS 2 anpassen. Dies könnte zu einer verstärkten internationalen Zusammenarbeit und Harmonisierung von Cybersicherheitsstandards führen.
Technologische Entwicklungen und deren Auswirkungen
Die rasante technologische Entwicklung wird die Umsetzung und Weiterentwicklung von NIS 2 maßgeblich beeinflussen:
- Künstliche Intelligenz und maschinelles Lernen werden eine zunehmend wichtige Rolle bei der Erkennung und Abwehr von Cyberangriffen spielen. Dies könnte zu neuen Anforderungen in der NIS 2-Leitlinie führen.
- Die zunehmende Nutzung von Cloud-Diensten und das Internet der Dinge (IoT) werden neue Herausforderungen für die Sicherheit im Internet mit sich bringen, die in zukünftigen Versionen der Regularie adressiert werden müssen.
- Fortschritte in der Quantencomputer-Technologie könnten bestehende Verschlüsselungsmethoden gefährden und neue Sicherheitsstandards erforderlich machen.
- Die wachsende Bedeutung von Fernzugriff und Remote-Arbeit wird die Sicherheitsanforderungen weiter verändern und könnte zu spezifischen Vorgaben in der Leitlinie führen.
Fazit
Die NIS 2-Richtlinie markiert einen bedeutenden Fortschritt in der europäischen Cybersicherheitsstrategie. Sie erweitert den Anwendungsbereich auf 18 kritische Sektoren und stellt höhere Anforderungen an Unternehmen in Bezug auf Risikomanagement, Meldepflichten und Lieferkettensicherheit. Ein wichtiger Aspekt ist, dass die Leitlinie nicht nur große Konzerne betrifft, sondern auch mittelständische Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz einbezieht. Obwohl die ursprüngliche Umsetzungsfrist für die EU-Mitgliedstaaten der 17. Oktober 2024 war, wird in Deutschland das NIS 2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS 2UmsuCG) voraussichtlich erst im Frühjahr 2025 in Kraft treten. Trotz dieser Verzögerung ist es für Unternehmen ratsam, die Vorbereitungen nicht aufzuschieben, da die Umsetzung der Anforderungen erhebliche Zeit und Ressourcen in Anspruch nehmen wird. Für Unternehmen ergeben sich folgende zentrale Handlungsempfehlungen:
- Umgehend die Anwendbarkeit von NIS 2 für das eigene Unternehmen prüfen.
- Eine Gap-Analyse durchführen, um bestehende Cybersicherheitsmaßnahmen mit den NIS 2-Anforderungen zu vergleichen.
- Einen detaillierten Umsetzungsplan zur Schließung von Sicherheitslücken entwickeln.
- Kritische Sicherheitsmaßnahmen priorisieren und vorrangig umsetzen.
- In Schulungen für Mitarbeiter und Management investieren.
- Die Sicherheit der gesamten Lieferkette überprüfen und verbessern.
- Klare Verfahren für die Erkennung und Meldung von Sicherheitsvorfällen etablieren.
- Regelmäßige Überprüfungen der implementierten Maßnahmen durchführen und an neue Bedrohungen anpassen.
- Bei Bedarf externe Expertise hinzuziehen.
- Alle Maßnahmen sorgfältig dokumentieren, sowohl für interne Zwecke als auch für mögliche behördliche Überprüfungen.
Obwohl die Umsetzung von NIS 2 eine Herausforderung darstellt, bietet sie Unternehmen auch die Chance, ihre Cybersicherheit nachhaltig zu verbessern. Ein proaktiver und gründlicher Ansatz kann nicht nur die Compliance sicherstellen, sondern auch die Widerstandsfähigkeit gegen Cyberbedrohungen stärken. In einer zunehmend digitalisierten Welt ist dies ein entscheidender Wettbewerbsvorteil und ein wichtiger Schritt zum Schutz von Unternehmenswerten und Kundenvertrauen.
Michael Phan
