NIS 2: Neue EU-Richtlinie zur Cybersicherheit bringt umfassende Änderungen in 2024
Anfang 2023 trat die zweite Fassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) in der gesamten Europäischen Union in Kraft. Die Mitgliedsstaaten müssen diese bis Oktober 2024 in nationales Recht umsetzen.
Diese Richtlinie hat weitreichende Auswirkungen auf Unternehmen und setzt klare Vorgaben für die Cybersicherheit. In diesem Blogbeitrag werden wir uns genauer mit den Änderungen und Anforderungen im Rahmen von NIS 2 befassen.
NIS 2: Ein Überblick
Die erste Version der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 1) wurde 2016 von der Europäischen Union eingeführt. Sie verpflichtete EU-Mitgliedsstaaten dazu, Betreiber "kritischer Dienste" zu identifizieren und spezifische Cybersicherheitsmaßnahmen sowie Meldepflichten für Sicherheitsvorfälle einzuführen. Die Umsetzung von NIS 1 in nationale Gesetze variierte jedoch erheblich von Land zu Land, was zu uneinheitlichen Standards führte.
Mit NIS 2 schafft die EU nun Klarheit und legt genau fest, welche Unternehmen als "wesentliche Einrichtungen" und "wichtige Einrichtungen" gelten und welche Anforderungen für sie gelten. Diese Unternehmen werden verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu verstärken, strengere Sicherheitsstandards zu etablieren und ihre IT-Systeme auf dem neuesten Stand zu halten.
Ausweitung des Geltungsbereichs
Der Geltungsbereich von NIS 2 geht über die bisherigen Schlüsselunternehmen im Bereich kritischer Infrastrukturen hinaus. Es wird zwischen "wesentlichen Einrichtungen" und "wichtigen Einrichtungen" unterschieden. Wesentliche Einrichtungen umfassen Unternehmen in Bereichen wie Energie, Verkehr, Wasser, digitale Infrastruktur, Bankwesen, Gesundheit und Raumfahrt. Wichtige Einrichtungen erstrecken sich auf Unternehmen in den Bereichen Abfallwirtschaft, Postdienste, Chemie, Lebensmittel, Herstellung, digitale Dienstleister und Forschungseinrichtungen.
Die Einordnung eines Unternehmens als wesentliche oder wichtige Einrichtung hängt von der Unternehmensgröße und dem Umsatz ab. Dies führt dazu, dass die Anzahl der betroffenen Unternehmen erheblich steigt. Allein in Deutschland werden etwa 30.000 Unternehmen von NIS 2 betroffen sein.
Selbsteinschätzung erforderlich
Unternehmen, die unter NIS 2 fallen, müssen ein Compliance- oder Risikomanagement einführen und technische sowie organisatorische Vorkehrungen treffen, um die Sicherheit ihrer Anlagen, Netzwerke, IT-Systeme und Lieferketten zu erhöhen. Eine Besonderheit besteht darin, dass die Unternehmen selbst ermitteln müssen, ob NIS 2 auf sie zutrifft. Es erfolgt keine behördliche Benachrichtigung.
Verschärfte Meldepflichten und Sanktionen
Unternehmen müssen signifikante Störungen, Vorfälle und Cyberbedrohungen unverzüglich ihrer nationalen Cyber Security Authority melden. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig. Die Meldepflicht erfolgt in drei Stufen: Ein vorläufiger Bericht innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls, ein vollständiger Bericht mit Bewertung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats.
NIS 2 verschärft auch die Sanktionen für die Nichteinhaltung der Vorgaben. Bußgelder können bei wesentlichen Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist. Bei wichtigen Einrichtungen ist das Bußgeld auf 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes begrenzt.
Haftung der Geschäftsführung
Der Referentenentwurf des Bundesinnenministeriums sieht außerdem vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften können. Das Bußgeld kann dabei maximal 2 Prozent des weltweiten Jahresumsatzes betragen.
Fazit
NIS 2 hat erhebliche Auswirkungen auf Unternehmen in der gesamten Europäischen Union. Die Anforderungen an die Cybersicherheit werden verschärft, die Meldepflichten ausgeweitet und die Sanktionen erhöht. Es ist entscheidend, dass betroffene Unternehmen sich über ihre Pflichten im Rahmen von NIS 2 informieren und geeignete Maßnahmen zur Einhaltung der Vorgaben ergreifen. Die Sicherheit der digitalen Infrastruktur und die Vermeidung von Cyberangriffen sind von größter Bedeutung, sowohl für den Schutz der Unternehmen als auch für die Aufrechterhaltung der Gesellschaft.
Wenn Sie weitere Informationen zu NIS 2 benötigen oder Unterstützung bei der Umsetzung der Richtlinie in Ihrem Unternehmen wünschen, stehen wir Ihnen gerne zur Verfügung.