Warum ist die NIS2 für EU-Unternehmen so relevant?
Zwar hatte die ursprüngliche NIS-Richtlinie die Cybersicherheit in den EU-Mitgliedsstaaten bereits wesentlich verbessert – die Umsetzung gestaltete sich jedoch schwierig und hatte eine starke Fragmentierung des EU-Binnenmarktes zur Folge.
Die NIS2 soll nun helfen, die Cybersicherheit in der EU zu vereinheitlichen. Hierzu erhöht sie Sicherheitsanforderungen an Unternehmen, adressiert die Absicherung von Lieferketten (Supply Chain Security), erweitert Berichtspflichten und gibt den zuständigen Behörden umfassendere Aufsichts- und Durchsetzungsmechanismen an die Hand. Hierfür gibt sie beispielsweise allen EU-Mitgliedsstaaten die gleichen Sanktionsmöglichkeiten. Mit der Erweiterung des Anwendungsbereiches auf mehr Organisationen und Sektoren versucht die NIS2, das Cybersicherheitsniveau in Europa langfristig zu erhöhen.
Weitere Details zur NIS2 finden Sie auch in unserem Artikel NIS2: Wie die neue EU-Richtlinie die Cybersicherheit stärkt
Von der NIS zur NIS2: Was hat sich geändert?
Die ursprüngliche Richtlinie zur Netz- und Informationssicherheit (NIS) wurde 2016 veröffentlicht. Ziel war die Vereinheitlichung von Cybersicherheitsmaßnahmen innerhalb der EU.
Die Richtlinie stellte eine Reihe von Anforderungen an Betreiber wesentlicher Dienste (Operators of Essential Services OES) und Anbieter digitaler Dienste (Digital Service Providers DSP), darunter Berichtspflichten bei Sicherheitsvorfällen und Vorgaben zum Risikomanagement. Die NIS-Richtlinie war damit das erste EU-weite Gesetzespapier zum Thema Cybersicherheit und stellte einen wesentlichen Schritt im Kampf gegen die EU-weite Cyberbedrohungen dar.
Die Umsetzung jedoch erwies sich für viele Unternehmen als schwierig. Manche Organisationen hatten Schwierigkeiten, überhaupt zu verstehen, was die NIS von ihnen forderte, für andere war es schwierig, die komplexen Melde- und Berichtspflichten zu erfüllen. Gleichzeitig monierten Kritiker, dass die NIS nicht genug Organisationen und Sektoren in die Pflicht nähme und dadurch generell zu kurz griffe.
Klären Sie besser früher als später, ob Ihr Unternehmen auch von der NIS2 betroffen ist. So vermeiden Sie eine hektische und ressourcenaufwändige Umsetzung kurz vor knapp. Gerne geben wir Ihnen eine detaillierte Auskunft. Sprechen Sie uns an und vereinbaren Sie in Gespräch mit unsere Experten.
Auf dem Weg zu mehr Cybersicherheit
Um hier Abhilfe zu schaffen, entwickelte die EU-Kommission eine neue Version der NIS-Richtlinie, die NIS2. Ziel ist, auf den Erfolgen der NIS aufzubauen und zugleich ihre wichtigsten Mängel zu adressieren. Eine der wichtigsten Änderungen ist daher auch die Erweiterung des Anwendungsbereichs der NIS2. Sie bezieht nun eine viel größere Zahl an Organisationen und Sektoren mit ein, darunter kleine Unternehmen und digitale Plattformen. So soll sichergestellt werden, dass mehr Organisationen Anstrengungen unternehmen, um sich vor Cyberbedrohungen zu schützen.
NIS2 legt zusätzlich größeren Fokus auf das Risikomanagement in Unternehmen und verpflichtet sie, mögliche Risiken für die Cybersicherheit im Unternehmen zu identifizieren und zu bewerten. Nur so ist es möglich, potenzielle Bedrohungen systematisch zu verstehen und mögliche Gegenmaßnahmen zu ergreifen. NIS2 beinhaltet zudem weitere Anforderungen an die Meldung von und Reaktion auf Sicherheitsvorfälle. Das hilft Organisationen, besser mit möglichen Cyberangriffen umzugehen.
Ein weiterer wichtiger Punkt ist der Fokus auf die Sicherheit von Lieferketten (Supply Chain Security). Die Richtlinie fordert Unternehmen auf, die Cybersicherheit ihrer Lieferketten zu prüfen und dafür zu sorgen, dass sich auch ihre Zulieferer ausreichend vor Cyberbedrohungen schützen. Vor dem Hintergrund zurzeit häufig beobachteter Cyberangriffe auch auf große Unternehmen erhält dieser Teil der NIS2 noch einmal zusätzliches Gewicht. Denn: Ohne einen effektiven Schutz der gesamten Lieferkette nützt auch die beste Absicherung von Einzelunternehmen wenig.
Wer ist von der NIS2-Richtlinie betroffen und auf wen kommen Aufgaben zu?
Die NIS2-Richtlinie bezieht eine Vielzahl von Unternehmen und Organisationen in 11 wesentlichen und 7 wichtigen Sektoren mit ein. Im Rahmen der Richtlinie werden sie zu Maßnahmen verpflichtet, um ihre Systeme vor Cyberangriffen zu schützen und im Fall der Fälle sicherzustellen, dass sich diese möglichst schnell von Vorfällen erholen.
Folgende Einrichtungen werden in der Richtlinie genannt:
Betreiber wesentlicher Dienste (Operators of Essential Services OES): Dies sind Unternehmen, die als wesentlich für das Funktionieren von Wirtschaft und Gesellschaft angesehen werden. Dazu gehören Unternehmen der Energiebranche, der Trinkwasser- und Abwasserversorgung und Gesundheitsdienstleister. Die Größe der Organisation ist in diesem Fall irrelevant.
Anbieter digitaler Dienste (Digital Service Providers DSP): Dies sind Unternehmen, die Online-Dienste anbieten, also beispielsweise Online-Marktplätze, Cloud Computing-Anbieter und Suchmaschinen. DSPs müssen nur dann die Vorgaben der NIS2 erfüllen, wenn sie eine bestimmte Größe überschreiten. Dabei wird unterschieden zwischen:
Mittlere Unternehmen: DSPs mit 50 oder mehr Mitarbeitern und einem Jahresumsatz von mindestens 10 Millionen Euro
Große Unternehmen: DSPs mit 250 oder mehr Mitarbeitern und einem Jahresumsatz von mindestens 50 Millionen Euro
Wesentliche Sektoren |
Wichtige Sektoren |
|
|
Insgesamt trifft die NIS2 also Vorgaben für Betreiber wesentlicher und Anbieter digitaler Dienste, die bestimmte Kriterien zur Unternehmensgröße erfüllen.
Natürlich können aber auch diejenigen Unternehmen, die nicht unter die oben genannten Kriterien fallen, ihre Cybersecurity-Maßnahmen an der NIS2 ausrichten und ihre Systeme so effektiv vor Angriffen schützen.
Was fordert die NIS2-Richtlinie?
Die NIS2 orientiert sich am „All-hazard approach“ (dt. „All-Gefahren-Ansatz“). Ziel ist, alle Netzwerke, Informationssysteme und die physischen Umgebungen dieser Systeme vor Sicherheitsvorfällen zu schützen. Die Anforderungen umfassen unter anderem:
- Konzepte für Maßnahmen
- Vorfallsmanagement
- Aufrechterhaltung des Betriebs (Business Continuity)
- Sicherheit der Lieferkette (Supply Chain Security)
- Schulung und Training
- Management von Anlagen (Asset Management)
- Dokumentationspflichten
Welche Sanktionen drohen im Zusammenhang mit der NIS2?
Das Nicht-Einhalten der NIS2-Vorgaben kann empfindliche Strafen nach sich ziehen. Geldbußen in Höhe von bis zu 10 Millionen Euro bzw. 2 % des Vorjahresumsatzes (weltweit) sind möglich, je nachdem, welcher Betrag höher ist. In besonders schweren Fällen können Geldbußen bis zu 20 Millionen Euro oder 4 % des Vorjahresumsatzes weltweit verhängt werden, je nachdem, welcher Betrag höher ausfällt.
Die nationalen Behörden können zusätzlich weitere Sanktionen erlassen. Möglich sind beispielsweise Zwangsgelder, um wesentliche oder wichtige Einrichtungen dazu zu zwingen, einen festgestellten Verstoß gegen die Richtlinie zu unterlassen.
Welche Auswirkungen hat die NIS2 für deutsche Unternehmen?
Die EU-Mitgliedsstaaten haben nun 21 Monate Zeit, die Richtlinie in nationales Recht umzusetzen. Für deutsche Unternehmen heißt das: Spätestens im Herbst 2024 werden eine Vielzahl neue Regularien auf die deutsche Wirtschaft zukommen. Hier gilt es, frühzeitig Maßnahmen zu ergreifen und die Vorgaben der NIS2 – schon aus Eigeninteresse – möglichst genau umzusetzen.
Welche Vorteile hat die NIS2 für Ihr Unternehmen?
- Risikomanagement: Die NIS2 verpflichtet Unternehmen, regelmäßige Risikobewertungen ihrer IT-Systeme durchzuführen, potenzielle Risiken und Schwachstellen zu identifizieren und Abwehr- und Gegenmaßnahmen zu implementieren. Befolgen Sie diese Vorgabe, schützen Sie Ihr Unternehmen effektiv vor Cybersicherheitsrisiken und minimieren die Wahrscheinlichkeit für einen Cyberangriff.
- Vorfallsmanagement: Die Richtlinie enthält Vorgaben zum Vorfallsmanagement in Unternehmen, darunter Berichtspflichten und Reaktionspläne. Das hilft Ihrem Unternehmen, schnell und effektiv auf Sicherheitsvorfälle zu reagieren, negative Auswirkungen zu minimieren und ähnliche Vorfälle für die Zukunft zu verhindern.
- Technische und organisatorische Maßnahmen: Die Richtlinie verpflichtet Unternehmen auch, geeignete technische und organisatorische Maßnahmen für die Absicherung ihrer Netz- und Informationssysteme einzurichten. Dazu gehören Maßnahmen zur Zugriffskontrolle, Verschlüsselung und die Einführung von digitalen Überwachungssystemen. Die Umsetzung solcher Maßnahmen hilft Unternehmen, das Risiko von Cyberangriffen und Datenlecks zu verringern.
- Business Continuity: Pläne zur Aufrechterhaltung des Betriebs, darunter Backup- und Wiederherstellungspläne, helfen, den Geschäftsbetrieb auch im Fall eines Sicherheitsvorfalls fortzuführen, Ausfallzeiten zu minimieren und kritische Dienste aufrechtzuerhalten. Hier empfiehlt sich die Implementierung eines Business Continuity Managementsystems (BCM).
- Sicherheit der Lieferkette (Supply Chain Security): Die NIS2 enthält auch Vorgaben zur Absicherung der Lieferkette (Zulieferer und Dienstleister). Nehmen Unternehmen die Supply Chain Security mit in den Blick, senken sie proaktiv das Risiko von Cyberangriffen über eben diese Lieferkette.
Wie hilft die NIS2 Unternehmen, mit Cybergefahren umzugehen und die Risiken zu minimieren?
- Geringeres Risiko von Cyberangriffen: Mit der Umsetzung der NIS2-Vorgaben verringern Sie das Risiko von Cyberangriffen und Datenlecks enorm. Das ist deshalb relevant, weil solche Vorfälle nicht nur intern hohe Kosten verursachen – hinzu kommen möglicherweise Strafzahlungen von behördlicher Seite oder teure Rechtsstreitigkeiten. Je geringer das Risiko von Cyberangriffen, desto geringer das Risiko hoher Kosten.
- Besseres Management von Sicherheitsvorfällen: Die NIS2 macht Vorgaben zum Vorfallsmanagement in Unternehmen, z.B. zu Dokumentationsspflichten und Reaktionsplänen. Ein klares und durchdachtes Vorfallsmanagement hilft Unternehmen, Sicherheitsvorfälle schnell einzudämmen und ihre negativen Folgen abzumildern. Das wiederum minimiert die Kosten, die durch Ausfallzeiten, verminderte Produktivität und Reputationsschäden entstehen können.
- Verbesserte Business Continuity: Die NIS2 verpflichtet Unternehmen dazu, Pläne für die Aufrechterhaltung des Betriebes (Business Continuity-Pläne) zu entwickeln, z.B. Backup- und Wiederherstellungspläne. Robuste Business Continuity-Pläne helfen, Kosten durch Ausfallzeiten zu minimieren und sicherzustellen, dass kritische Prozesse auch im Fall eines Sicherheitsvorfalls weiterlaufen.
- Höhere Effizienz und Produktivität: Die Vorgaben der NIS2 können Unternehmen helfen, ihre Sicherheitsprozesse zu optimieren und den Aufwand für das Management der Informationssysteme zu verringern. Das wiederum steigert Effizienz und Produktivität und spart somit zusätzlich Kosten.
Wie kann DataGuard Sie bei der Umsetzung der NIS2 unterstützen?
In der modernen Unternehmenswelt läuft quasi nichts mehr ohne IT-Systeme. Regierungen reagieren auf den Einsatz neuer Technologien und Veränderungen der Bedrohungslandschaft. Das Ziel: Kritische Infrastrukturen und Informationssysteme umfassend schützen. Die neue NIS2-Richtlinie ist ein wichtiger Schritt in diese Richtung.
Wir bei DataGuard wissen, wie herausfordernd die Umsetzung der NIS2 für Unternehmen sein kann. Wir glauben, dass Cybersicherheit proaktiv angegangen werden sollte und unterstützen unsere Kunden daher bei der Umsetzung von Maßnahmen zu Cyber- und Informationssicherheit. Unsere Informationssicherheit-as-a-Service Lösung deckt dabei alles von persönlicher Beratung bis zur digitalen Überwachung und Dokumentation über unsere Plattform ab. Apropos Plattform: Diese unterstützt Sie nicht nur dabei die Vorgaben zur Cyber- und Informationssicherheit einzuhalten, sondern auch Ihre wichtigsten Assets zuverlässig zu schützen. Insbesondere im Hinblick auf die Anforderungen und Umsetzung der NIS2 können sich dadurch einige Vorteile für Sie ergeben.
Weiterhin umfasst unser Service:
- der Entwicklung und Umsetzung von Plänen für Ihr Vorfallsmanagement und die Business Continuity,
- der Aufstellung von unternehmenseigenen Richtlinien für die Informationssicherheit,
- der Schulung Ihrer Mitarbeiter und der Steigerung der unternehmensweiten Security Awareness, insbesondere in Bezug auf die Informationssicherheit. Den Aufbau eines Asset Managements, d.h. die Identifizierung und Verwaltung kritischer Assets, die potenziell Ziel von Cyberangriffen werden könnten.
Das fordert die NIS2-Richtlinie |
So hilft Ihnen DataGuard |
|
Maßnahmenkonzepte |
Unsere komfortable Plattform hilft Ihnen, Schwachpunkte zu identifizieren, bei der Risikobewertung und beim Entwickeln ISO-konformer Richtlinien. |
|
Vorfallsmanagement |
Wir entwickeln mit Ihnen einen Vorfalls-Reaktionsplan, der genau auf Ihr Unternehmen zugeschnitten ist, um schnell und effektiv auf Sicherheitsvorfälle zu reagieren. |
|
Business Continuity |
Wir entwerfen mit Ihnen einen umfassenden Business Continuity-Plan, mit dem Sie Ausfallzeiten und andere negative Folgen von Sicherheitsvorfällen minimieren. |
|
Schulung und Security Awareness |
In der DataGuard Academy finden Ihre Mitarbeitenden eine Vielzahl spannender Onlinekurse. So steigern Sie die Security Awareness im Unternehmen und verringern die Risiken, die von Social Engineering-Angriffen ausgehen. |
|
Asset Management |
Das integrierte Asset Management-Feature unserer Plattform gibt Ihnen kompletten Einblick in die Informationswerte im Unternehmen und hilft Ihnen, sie unkompliziert zu verwalten. |
Vorbereitung ist alles
Wir bei DataGuard glauben an gute Vorbereitung als zentrale Voraussetzung für langfristigen Erfolg. Unser Ziel ist es, Unternehmen bei der Einhaltung rechtlicher Anforderungen ebenso zu unterstützen wie beim Schutz vor immer neuen Cyber-Bedrohungen. Mit jeder Menge Know-how zu den rechtlichen Rahmenbedingungen helfen wir unseren Kunden, jederzeit informiert und auf Veränderungen vorbereitet zu sein.
Mit unseren Experten und der nutzerfreundlichen Informationssicherheits-Plattform helfen wir Ihnen, auch die Herausforderungen der NIS2-Richtlinie entspannt zu meistern.
NIS2: Ihre Fragen unsere Antworten
Was ist NIS2?
Die NIS 2 ist die zweite Richtlinie der Europäischen Union zur Stärkung der Cybersicherheit im europäischen Wirtschaftsraum. Sie wurde 2022 vom EU-Parlament verabschiedet und muss bis zum 18. Oktober 2024 von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Die Richtlinie gilt für Unternehmen aus insgesamt 18 Branchen.
Bin ich von NIS2 betroffen?
Die NIS2 unterscheidet zwischen zwei Arten von betroffenen Unternehmen: Essential Entities und Important Entities. Essential Entities sind Unternehmen aus 11 Wirtschaftssektoren, deren Ausfall erhebliche Auswirkungen auf Gesellschaft, Wirtschaft und Sicherheit hätte. Sie müssen mindestens 50 Mitarbeiter beschäftigen und 50 Mio. € Jahresumsatz erzielen. Important Entities sind Unternehmen aus 7 weiteren Wirtschaftssektoren, die ebenfalls strenge Sicherheitsvorgaben erfüllen müssen.
Was bedeutet NIS?
Die EU hat 2016 die NIS-Richtlinie verabschiedet, um die Cybersicherheit im europäischen Wirtschaftsraum zu stärken. Die Richtlinie wurde 2022 durch die NIS2-Richtlinie aktualisiert, um die Anforderungen an die Sicherheit von Unternehmen und Organisationen zu erhöhen.
Möchten Sie mehr darüber erfahren, wie ISO 27001 Sie bei der Umsetzung der neuen NIS2-Verordnung unterstützen kann? Vereinbaren Sie mit uns einen Termin.