Mit der Einführung der NIS-2-Richtlinie, der neuesten Fassung der Richtlinie zur Netzwerk- und Informationssicherheit, verschärft die EU die Anforderungen für Unternehmen und Organisationen. Mit dem Inkrafttreten der Richtlinie Anfang 2023 haben die Mitgliedsstaaten bis zum 17. Oktober 2024 Zeit diese in nationales Recht umzusetzen. In Deutschland gibt es dazu bereits einen Referentenentwurf vom Bundesinnenministerium, dem NIS-2-Umsetzungsgesetz (NIS2UmsuCG).
NIS-2 löst dabei die erste NIS-Richtlinie von 2016 ab und soll ein einheitlicheres und höheres Niveau an Cybersicherheit in der EU schaffen. Dabei erweitert NIS-2 den Kreis der betroffenen Einrichtungen erheblich, verschärft die Anforderungen und intensiviert die behördliche Aufsicht. Verstöße können zu empfindlichen Geldstrafen führen.
Was bedeutet NIS?
Die NIS-Richtlinie steht für die Richtlinie zur Netzwerk- und Informationssicherheit.
Für wen gilt die NIS-2-Richtlinie?
Die Richtlinie gilt für öffentliche und private Organisationen in der EU, die in 18 definierten Sektoren tätig sind und ihre Dienstleistungen innerhalb der EU anbieten oder hier operieren. Die 18 Sektoren sind in Anhang I und Anhang II der NIS-2-Richtlinie definiert.
Betroffen sind vor allem Unternehmen mit mindestens 50 Mitarbeitern oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme.
Den Mitgliedstaaten wird aber überlassen, welche Unternehmen genau als Betreiber von kritischer Infrastruktur eingestuft werden. In Deutschland wird dies vom Bundesamt für Katastrophenschutz festgelegt. Absehbar sind vor allem Unternehmen aus der Telekommunikations- und Informationstechnikbranche, der Nahrungsmittel-, Wasser- und Energieversorgung, dem Transport- oder Logistiksektor sowie aus dem Finanz- und Gesundheitswesen betroffen.
Schätzungen zufolge sind in Deutschland deshalb zwischen 29.000 und 40.000 Unternehmen betroffen.
Neue Sicherheitsvorgaben und Meldepflichten
Betroffene Unternehmen sind angehalten, angemessene technische und organisatorische Maßnahmen zu treffen, um Cybersicherheitsrisiken zu minimieren und den aktuellen Stand der Technik zu berücksichtigen. Dies umfasst unter anderem Risikoanalysen, Betriebskontinuität, Lieferkettensicherheit, Mitarbeitertraining, Zugriffskontrollen und Multi-Faktor-Authentifizierung.
Die Einhaltung dieser Anforderungen muss gegenüber dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) durch Audits und Zertifizierungen, erstmalig voraussichtlich im Jahr 2027 und danach alle zwei Jahre, nachgewiesen werden. Unternehmen müssen zudem auch die Praktiken ihrer direkten Anbieter überprüfen, die ebenfalls von der Richtlinie betroffen sein werden.
Die Meldepflicht für Sicherheitsvorfälle (Art. 23) wird verschärft, wobei Unternehmen innerhalb von 24 Stunden nach einem Sicherheitsvorfall einen vorläufigen Bericht einzureichen haben. Danach ist binnen 72 Stunden ein detaillierter vollständiger Bericht zu erstellen. Schließlich muss innerhalb eines Monats ein abschließender Bericht vorgelegt werden, der den Vorfall umfassend dokumentiert und bewertet.
Sanktionen und Haftung
Bei Verstößen ist das BSI autorisiert Bußgelder zu verhängen. Diese Sanktionen wurden von der NIS-2-Richtlinie beträchtlich verschärft. Es sind Bußgelder bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes möglich, je nachdem welcher Betrag der höhere ist.
Verantwortlich für die Umsetzung aller Maßnahmen ist dabei die Geschäftsführung (Art. 20). Sie muss an Schulungen teilnehmen und auch die Mitarbeiter angemessen schulen. Außerdem haftet sie für etwaige Verstöße gegen die Richtlinie.
Fazit
Unternehmen, die von den neuen Vorschriften betroffen sind, sollten sich umgehend auf deren Einführung vorbereiten. Eine vorzeitige Implementierung ermöglicht es, potenzielle Risiken frühzeitig zu erkennen und proaktiv anzugehen, was für den dauerhaften Erfolg des Unternehmens wesentlich ist. Die umfassende Durchführung dieser Maßnahmen verlangt Einsatz von Ressourcen und eine genaue Planung der erforderlichen Schritte. Deshalb ist es ratsam, dass Unternehmen rechtzeitig externe Hilfe in Anspruch nehmen, um bei der Umsetzung effektiv unterstützt zu werden.