Aktuelles

Am 16. Januar 2023 ist die NIS-2-Richtlinie der Europäischen Union in Kraft getreten und hat die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 abgelöst. Damit hat die EU ihre Bemühungen zur Stärkung der Cybersicherheit intensiviert. NIS steht für „Network and Information Security“ und Ziel ist es, das Cybersicherheitsniveau innerhalb der Mitgliedstaaten zu vereinheitlichen und die Resilienz kritischer Infrastrukturen gegen Cyberbedrohungen zu verbessern. Die NIS 2 muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland gibt es seit Juli 2023 einen Referentenentwurf zur Umsetzung: das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG).

Was fordert die NIS 2?

Die NIS-2-Richtlinie erweitert die Anforderungen an Cyber- und Informationssicherheit in Organisationen und enthält strengere Regeln für bestimmte Sektoren. Für die Geschäftsleitung wird es umfassendere Haftungsregeln geben. Betroffene Organisationen und Unternehmen müssen Maßnahmen ergreifen in den Bereichen Cyber-Risikomanagement, der Überwachung und Kontrolle von Cyber-Zwischenfällen, der Sicherung ihrer Lieferketten, Verschlüsselungen von Daten, Zugangsbeschränkungen, Berichte an die Behörden und der Gewährleistung der Geschäftskontinuität.

Wer fällt unter die NIS-2-Richtlinie?

Betroffen sind alle Betreiber von Diensten, die als kritische Infrastruktur eingestuft werden. Unterteilt wird dabei in besonders wichtige und wichtige Organisationen. Zu den besonders wichtigen Einrichtungen zählen Organisationen aus den Bereichen Energie, Wasserversorgung, IT und Telekommunikation, Transport, Logistik, Finanz- und Gesundheitswesen, der Raumfahrt und der öffentlichen Verwaltung. Zu den wichtigen Organisationen zählen Anbieter aus den Bereichen von Postdiensten, Abfallwirtschaft, Lebensmitteln, Chemie, und Forschungseinrichtungen. Diese Sektoren sind essenziell für die Aufrechterhaltung kritischer gesellschaftlicher und wirtschaftlicher Funktionen.

Der Hauptunterschied zwischen sehr wichtigen und wichtigen Organisationen besteht in der der Art der Aufsicht durch die Behörden und in der Höhe der drohenden Geldstrafen. Für besonders wichtige Einrichtungen können Sanktionen von bis zu zehn Mio. Euro oder 2% des Jahresumsatzes verhängt werden, bei wichtigen Einrichtungen sind es sieben Mio. Euro oder 1,4%.

Unter die Regulierung fallen grundsätzlich mittlere und große Unternehmen ab 50 Beschäftigen und 10 Mio. Euro Jahresumsatz. Dadurch steigt die Zahl der von den NIS-Regeln betroffenen Unternehmen in Deutschland im Vergleich zur vorherigen NIS-Richtlinie beträchtlich an.

Fazit

Betroffene Unternehmen sollten ohne Verzögerung mit den Vorbereitungen zur Umsetzung der NIS 2 beginnen, um den Anforderungen der Richtlinie gerecht zu werden. Eine effektive Analyse zur Identifizierung von Schwachstellen und Bedrohungen ist der erste Schritt. Die Zusammenarbeit mit Cybersecurity-Beratern kann hierbei wertvolle Unterstützung bieten.

Die NIS-2-Richtlinie ist ein Meilenstein der EU hin zu einer stärkeren und einheitlichen Cyberresilienz und wird die Cybersicherheit in Europa maßgeblich verändern.

Auf EUR Lex steht die NIS 2 hier zum Download zur Verfügung.