NIS 2: Was jetzt zu tun ist

Die NIS-2-Richtlinie soll die Cybersicherheit in Unternehmen weiter verbessern. Wir erklären Ihnen, welche Anforderungen NIS 2 an Unternehmen und Organisationen stellt und was Sie bereits jetzt tun können, um bei der Umsetzung von NIS 2 optimal vorbereitet zu sein.

Bereits seit 2016 müssen Betreiber kritischer Infrastrukturen strenge Regelungen zur Cybersicherheit erfüllen. Das gibt die EU mit der Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Security Directive, NIS 1) vor. Ziel war ein hohes EU-weites Sicherheitsniveau in Zeiten zunehmender Cyberbedrohungen.

Was sich allerdings in der Überführung in nationales Recht zeigte: Die Mitgliedsstaaten haben sehr unterschiedliche Auffassungen davon, wer oder was konkret ein kritischer Dienst ist. Während in manchen Ländern lediglich 20 Organisationen betroffen waren, waren es in anderen mehr als 10.000.

Mit der Neufassung der NIS-Richtlinie (NIS 2) definiert die EU nun konkreter, welche Organisationen zu den kritischen Diensten gehören. So soll eine weitgehende Harmonisierung innerhalb der EU erreicht werden. Außerdem schreibt sie einen verbesserten Risikomanagementansatz vor. Und die betroffenen Unternehmen und Organisationen müssen sich schon bald mit den Themen Cyber-Risikomanagement und Kontrolle und Überwachung sowie den Umgang mit Zwischenfällen auseinandersetzen. Die EU gab den Mitgliedstaaten bis 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Deshalb ist es schon jetzt wichtig, sich mit den NIS 2 Anforderungen zu beschäftigen, bevor das Gesetz dann zum Handeln zwingt.

NIS2: Welche Unternehmen und Organisationen betroffen sind

Zunächst können sie sich klar machen, ob sie überhaupt betroffen sind. Denn das muss jeder Betrieb selbst definieren. Eine behördliche Mitteilung wird es nicht geben.

Die EU unterscheidet dabei zwischen „Essential Entities“ (wesentlichen Einrichtungen) und „Important Entities“, also wichtigen Einrichtungen. Die Anforderungen an sie sind dieselben – nur die Bußgelder und die Frequenz der behördlichen Kontrolle unterscheiden sich.

Unter „Wesentliche Einrichtungen“ fallen folgende Bereiche:

  • Energie
  • Straßen-, Schienen, Luft- und Schiffsverkehr
  • Wasser – Trink- und Abwasserversorgungsunternehmen
  • Digitale Infrastruktur und IT-Dienste
  • Bank- und Finanzwesen
  • Gesundheit
  • Öffentliche Verwaltung
  • Raumfahrt

Zu den „Wichtigen Einrichtungen“ zählen

  • Abfallwirtschaft
  • Post- und Kurierdienste
  • Chemische Erzeugnisse
  • Lebensmittel
  • Hersteller
  • Digitale Anbieter
  • Forschungseinrichtungen

Welche Unternehmen NIS2 erfüllen müssen, richtet sich neben den oben gennanten Sektoren, ebenfalls nach der Größe: Schon ab 50 Mitarbeitenden, 10 Millionen Euro Umsatz müssen Vorkehrungen getroffen werden, um Cyberangriffen und -vorfällen vorzubeugen und sie abwehren zu können.

Beachten Sie, dass unabhängig von der Anzahl der Mitarbeiter oder des Umsatztes bestimmte Sektoren, wie z. B. KRITIS-Betreiber betroffen sind.

NIS2: Höhere Bußgelder und Geschäftsführerhaftung

Setzen Wesentliche Einrichtungen die Vorgaben nicht um oder halten sich nicht an die geregelte Meldepflicht, können Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes fällig werden. Je nachdem welcher Betrag höher ist. Wichtige Einrichtungen müssen maximal 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes an Strafzahlungen leisten.

Kommt der aktuelle Referentenentwurf des Bundesinnenministeriums  in Umsetzung, müssen unter anderem Geschäftsführer für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften: maximal 2 Prozent des weltweiten Jahresumsatzes.

NIS2: Was für betroffene Unternehmen und Organisationen jetzt zu tun ist

Neben den technischen Aspekten rund um die Abwehr von Cyberangriffen, haben Unternehmen und Organisationen unterschiedliche Möglichkeiten, Cyberangriffe abzuwehren. Essenziell hierfür ist die Einrichtung eines Managementsystems für Informationssicherheit, kurz ISMS (Information Security Management System). Es definiert Regeln und Methoden, um die IT-Sicherheit in einem Betrieb sicherzustellen. Hier gibt es verschiedene Standards, die auch in kleinen und mittleren Unternehmen mit überschaubarem zeitlichem und finanziellem Aufwand umsetzbar sind. 

Sie sind nicht sicher, ob Ihr Unternehmen NIS2 umsetzen muss? Oder Sie fragen sich, welche NIS 2 Anforderungen für Sie gelten und welche konkreten Schritte Sie nun angehen müssen? In einem kostenlosen Erstgespräch zeigen wir Ihnen auf, wie Sie nun handeln müssen, um Rechtssicherheit zu erlangen.

Kontaktieren Sie mich für weitere Informationen unter: Schmidt@dsev.online

© 2024 DSEV

DSEV Consulting & Akademie GmbH hat 4,68 von 5 Sternen 145 Bewertungen auf ProvenExpert.com

Navigation
ISO9001_TÜV_DSEV
Close