NIS-2: Neue Anforderungen, neue Verantwortung
Mit der NIS-2-Richtlinie wird Cybersicherheit zur unternehmerischen Pflicht. Seit 2024 ist sie in deutsches Recht überführt – und bringt deutlich strengere Vorgaben mit sich: mehr Unternehmen sind betroffen, die Meldepflichten werden ausgeweitet, die Sanktionen verschärft.
Für viele bedeutet das einen erheblichen Handlungsbedarf, gerade bei Prozessen, Verantwortlichkeiten und der technischen Absicherung.
Sind Sie vorbereitet?
Unser Whitepaper liefert einen kompakten Überblick über die wichtigsten Anforderungen und zeigt, wie Sie sich jetzt strukturiert aufstellen können, um Risiken zu minimieren und Bußgelder zu vermeiden.
NIS-2
NIS2 ist eine EU-Richtlinie, die die bestehende NIS-Richtlinie ersetzt, die seit 2013 in Kraft ist. NIS steht für Netz- und Informationssicherheit.
Die Richtlinie gilt für die gesamte EU und soll ein hohes und einheitliches Niveau der Cyber- und Informationssicherheit gewährleisten, damit kritische Infrastrukturen und gesellschaftskritische Dienste besser gegen Ausfälle und Cyber-Bedrohungen von außen gewappnet sind.
Die neue NIS2-Richtlinie deckt weitaus mehr Sektoren ab als zuvor. Sie verschärft die Anforderungen an die Aufsicht und führt die Möglichkeit ein, die Unternehmensleitung bei Verstößen gegen das Gesetz persönlich haftbar zu machen.
Die NIS2 deckt weit mehr Bereiche ab als die ursprüngliche NIS-Richtlinie. Alle Akteure innerhalb der kritischen Infrastrukturen sind erfasst, einschließlich ihrer Zulieferer. In der Richtlinie werden 17 Bereiche genannt: Energie, Verkehr, Finanzen (Banken), Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastrukturen, öffentliche Verwaltung, Weltraum, Post, Abfallwirtschaft, Chemikalien, Lebensmittel, digitale Anbieter, Bildung und Forschung.
Kleinere Unternehmen mit weniger als 50 Beschäftigten oder einem Umsatz von weniger als 10 Millionen Euro sind nicht erfasst, aber es gibt einige Ausnahmen. Darüber hinaus obliegt es den lokalen Behörden, festzulegen, wer unter die Richtlinie fällt.
In der Richtlinie wird zwischen "wesentlichen" und "wichtigen" Segmenten unterschieden, und je nachdem, zu welchem Segment Sie gehören, gelten unterschiedliche Anforderungen.
Der Zweck der NIS2-Richtlinie ist vielschichtig, aber ihr Kern ist es, die Sicherheit der EU zu stärken und eine gemeinsame Basis zwischen den Mitgliedstaaten zu gewährleisten. Die Richtlinie deckt sowohl das Verständnis als auch die Umsetzung der Cybersicherheit ab und gilt sowohl für den öffentlichen Sektor als auch für private Akteure.
Die Richtlinie muss zunächst in den jeweiligen Ländern in nationales Recht umgesetzt werden, und die betroffenen Unternehmen erhalten dann eine "Schonfrist", um die Vorschriften einzuhalten. Die NIS-2 musste jedoch bis spätestens 2024 in allen betroffenen europäischen Unternehmen, Behörden und Organisationen umgesetzt sein. Danach liegt es in der Verantwortung der lokalen Behörden, die Richtlinie durchzusetzen, ähnlich wie bei der DSGVO. In Deutschland musste NIS-2 bis 17. Oktober 2024 umgesetzt werden.
Zu den Anforderungen in NIS2 gehören unter anderem:
- Richtlinien für die Risikoanalyse und die Sicherheit von Informationssystemen
- Vorfallsmanagement (Vorbeugung, Erkennung und Reaktion auf Vorfälle)
- Geschäftskontinuität und Krisenmanagement
- Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte der Beziehungen zwischen Einrichtungen und ihren Lieferanten oder Dienstleistern, wie z. B. Datenspeicher- und -verarbeitungsdienste oder Managed Security Services
- Sicherheit im Zusammenhang mit dem Erwerb, der Entwicklung und der Wartung von Netzwerk- und Informationssystemen, einschließlich der Behandlung und Offenlegung von Schwachstellen
- Richtlinien und Verfahren (Tests und Audits) zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken
Einsatz von Kryptographie und Verschlüsselung.