Mit der NIS-2-Richtlinie, die 2024 deutsches Gesetz wird, verstärkt die EU ihre Anforderungen an die Cybersicherheit von Unternehmen. Diese Neuerung führt zu verschärften Meldepflichten, wobei bei Nichteinhaltung strenge Sanktionen drohen. Die Ausweitung und Verschärfung der NIS2-Richtlinie bedeutet für viele Unternehmen eine große Veränderung. Sind Sie bereits mit den aktuellen EU-Rechtsvorschriften zur Cybersicherheit vertraut?
Finden Sie heraus, ob und wie sich NIS-2 auf Ihr Unternehmen auswirken könnte, und laden Sie noch heute unser Whitepaper herunter.
NIS-2
NIS2 ist eine EU-Richtlinie, die die bestehende NIS-Richtlinie ersetzt, die seit 2013 in Kraft ist. NIS steht für Netz- und Informationssicherheit.
Die Richtlinie gilt für die gesamte EU und soll ein hohes und einheitliches Niveau der Cyber- und Informationssicherheit gewährleisten, damit kritische Infrastrukturen und gesellschaftskritische Dienste besser gegen Ausfälle und Cyber-Bedrohungen von außen gewappnet sind.
Die neue NIS2-Richtlinie deckt weitaus mehr Sektoren ab als zuvor. Sie verschärft die Anforderungen an die Aufsicht und führt die Möglichkeit ein, die Unternehmensleitung bei Verstößen gegen das Gesetz persönlich haftbar zu machen.
Die NIS2 deckt weit mehr Bereiche ab als die ursprüngliche NIS-Richtlinie. Alle Akteure innerhalb der kritischen Infrastrukturen sind erfasst, einschließlich ihrer Zulieferer. In der Richtlinie werden 17 Bereiche genannt: Energie, Verkehr, Finanzen (Banken), Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastrukturen, öffentliche Verwaltung, Weltraum, Post, Abfallwirtschaft, Chemikalien, Lebensmittel, digitale Anbieter, Bildung und Forschung.
Kleinere Unternehmen mit weniger als 50 Beschäftigten oder einem Umsatz von weniger als 10 Millionen Euro sind nicht erfasst, aber es gibt einige Ausnahmen. Darüber hinaus obliegt es den lokalen Behörden, festzulegen, wer unter die Richtlinie fällt.
In der Richtlinie wird zwischen "wesentlichen" und "wichtigen" Segmenten unterschieden, und je nachdem, zu welchem Segment Sie gehören, gelten unterschiedliche Anforderungen.
Der Zweck der NIS2-Richtlinie ist vielschichtig, aber ihr Kern ist es, die Sicherheit der EU zu stärken und eine gemeinsame Basis zwischen den Mitgliedstaaten zu gewährleisten. Die Richtlinie deckt sowohl das Verständnis als auch die Umsetzung der Cybersicherheit ab und gilt sowohl für den öffentlichen Sektor als auch für private Akteure.
Die Richtlinie muss zunächst in den jeweiligen Ländern in nationales Recht umgesetzt werden, und die betroffenen Unternehmen erhalten dann eine "Schonfrist", um die Vorschriften einzuhalten. Die NIS2 muss jedoch bis spätestens 2024 in allen betroffenen europäischen Unternehmen, Behörden und Organisationen umgesetzt sein. Danach liegt es in der Verantwortung der lokalen Behörden, die Richtlinie durchzusetzen, ähnlich wie bei der GDPR. In Deutschland muss NIS-2 bis 17. Oktober 2024 umgesetzt werden.
Zu den Anforderungen in NIS2 gehören unter anderem:
- Richtlinien für die Risikoanalyse und die Sicherheit von Informationssystemen
- Vorfallsmanagement (Vorbeugung, Erkennung und Reaktion auf Vorfälle)
- Geschäftskontinuität und Krisenmanagement
- Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte der Beziehungen zwischen Einrichtungen und ihren Lieferanten oder Dienstleistern, wie z. B. Datenspeicher- und -verarbeitungsdienste oder Managed Security Services
- Sicherheit im Zusammenhang mit dem Erwerb, der Entwicklung und der Wartung von Netzwerk- und Informationssystemen, einschließlich der Behandlung und Offenlegung von Schwachstellen
- Richtlinien und Verfahren (Tests und Audits) zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken
Einsatz von Kryptographie und Verschlüsselung.