Der aktuelle Stand:
Als in der EU tätiges Unternehmen sollten Sie sich nun mit den Anforderungen der NIS2 auseinandersetzen, um diese zu kennen und zu wissen, welche Auswirkungen sie auf die internen und externen Abläufe haben wird.
Dieser Artikel soll Ihnen dabei helfen einen detaillierten Überblick über die NIS2-Richtlinie zu erhalten und zu erfahren, was sie fordert, wen sie betrifft und welche Aufgaben Sie nun erfüllen müssen, um richtlinienkonform zu arbeiten. Mit diesem Wissen können Sie Ihr Unternehmen dann NIS2-konform auszurichten.
Zwar hatte die ursprüngliche NIS-Richtlinie die Cybersicherheit in den EU-Mitgliedsstaaten bereits wesentlich verbessert – die Umsetzung gestaltete sich jedoch schwierig und hatte eine starke Fragmentierung des EU-Binnenmarktes zur Folge.
Die NIS2 soll nun helfen, die Cybersicherheit in der EU zu vereinheitlichen. Hierzu erhöht sie Sicherheitsanforderungen an Unternehmen, adressiert die Absicherung von Lieferketten (Supply Chain Security), erweitert Berichtspflichten und gibt den zuständigen Behörden umfassendere Aufsichts- und Durchsetzungsmechanismen an die Hand. Hierfür gibt sie beispielsweise allen EU-Mitgliedsstaaten die gleichen Sanktionsmöglichkeiten. Mit der Erweiterung des Anwendungsbereiches auf mehr Organisationen und Sektoren versucht die NIS2, das Cybersicherheitsniveau in Europa langfristig zu erhöhen.
Weitere Details zur NIS2 finden Sie auch in unserem Artikel NIS2: Wie die neue EU-Richtlinie die Cybersicherheit stärkt
Die ursprüngliche Richtlinie zur Netz- und Informationssicherheit (NIS) wurde 2016 veröffentlicht. Ziel war die Vereinheitlichung von Cybersicherheitsmaßnahmen innerhalb der EU.
Die Richtlinie stellte eine Reihe von Anforderungen an Betreiber wesentlicher Dienste (Operators of Essential Services OES) und Anbieter digitaler Dienste (Digital Service Providers DSP), darunter Berichtspflichten bei Sicherheitsvorfällen und Vorgaben zum Risikomanagement. Die NIS-Richtlinie war damit das erste EU-weite Gesetzespapier zum Thema Cybersicherheit und stellte einen wesentlichen Schritt im Kampf gegen die EU-weite Cyberbedrohungen dar.
Die Umsetzung jedoch erwies sich für viele Unternehmen als schwierig. Manche Organisationen hatten Schwierigkeiten, überhaupt zu verstehen, was die NIS von ihnen forderte, für andere war es schwierig, die komplexen Melde- und Berichtspflichten zu erfüllen. Gleichzeitig monierten Kritiker, dass die NIS nicht genug Organisationen und Sektoren in die Pflicht nähme und dadurch generell zu kurz griffe.
Klären Sie besser früher als später, ob Ihr Unternehmen auch von der NIS2 betroffen ist. So vermeiden Sie eine hektische und ressourcenaufwändige Umsetzung kurz vor knapp. Gerne geben wir Ihnen eine detaillierte Auskunft. Sprechen Sie uns an und vereinbaren Sie in Gespräch mit unsere Experten.
Um hier Abhilfe zu schaffen, entwickelte die EU-Kommission eine neue Version der NIS-Richtlinie, die NIS2. Ziel ist, auf den Erfolgen der NIS aufzubauen und zugleich ihre wichtigsten Mängel zu adressieren. Eine der wichtigsten Änderungen ist daher auch die Erweiterung des Anwendungsbereichs der NIS2. Sie bezieht nun eine viel größere Zahl an Organisationen und Sektoren mit ein, darunter kleine Unternehmen und digitale Plattformen. So soll sichergestellt werden, dass mehr Organisationen Anstrengungen unternehmen, um sich vor Cyberbedrohungen zu schützen.
NIS2 legt zusätzlich größeren Fokus auf das Risikomanagement in Unternehmen und verpflichtet sie, mögliche Risiken für die Cybersicherheit im Unternehmen zu identifizieren und zu bewerten. Nur so ist es möglich, potenzielle Bedrohungen systematisch zu verstehen und mögliche Gegenmaßnahmen zu ergreifen. NIS2 beinhaltet zudem weitere Anforderungen an die Meldung von und Reaktion auf Sicherheitsvorfälle. Das hilft Organisationen, besser mit möglichen Cyberangriffen umzugehen.
Ein weiterer wichtiger Punkt ist der Fokus auf die Sicherheit von Lieferketten (Supply Chain Security). Die Richtlinie fordert Unternehmen auf, die Cybersicherheit ihrer Lieferketten zu prüfen und dafür zu sorgen, dass sich auch ihre Zulieferer ausreichend vor Cyberbedrohungen schützen. Vor dem Hintergrund zurzeit häufig beobachteter Cyberangriffe auch auf große Unternehmen erhält dieser Teil der NIS2 noch einmal zusätzliches Gewicht. Denn: Ohne einen effektiven Schutz der gesamten Lieferkette nützt auch die beste Absicherung von Einzelunternehmen wenig.
Die NIS2-Richtlinie bezieht eine Vielzahl von Unternehmen und Organisationen in 11 wesentlichen und 7 wichtigen Sektoren mit ein. Im Rahmen der Richtlinie werden sie zu Maßnahmen verpflichtet, um ihre Systeme vor Cyberangriffen zu schützen und im Fall der Fälle sicherzustellen, dass sich diese möglichst schnell von Vorfällen erholen.
Betreiber wesentlicher Dienste (Operators of Essential Services OES): Dies sind Unternehmen, die als wesentlich für das Funktionieren von Wirtschaft und Gesellschaft angesehen werden. Dazu gehören Unternehmen der Energiebranche, der Trinkwasser- und Abwasserversorgung und Gesundheitsdienstleister. Die Größe der Organisation ist in diesem Fall irrelevant.
Anbieter digitaler Dienste (Digital Service Providers DSP): Dies sind Unternehmen, die Online-Dienste anbieten, also beispielsweise Online-Marktplätze, Cloud Computing-Anbieter und Suchmaschinen. DSPs müssen nur dann die Vorgaben der NIS2 erfüllen, wenn sie eine bestimmte Größe überschreiten. Dabei wird unterschieden zwischen:
Mittlere Unternehmen: DSPs mit 50 oder mehr Mitarbeitern und einem Jahresumsatz von mindestens 10 Millionen Euro
Große Unternehmen: DSPs mit 250 oder mehr Mitarbeitern und einem Jahresumsatz von mindestens 50 Millionen Euro
Wesentliche Sektoren |
Wichtige Sektoren |
|
|
Insgesamt trifft die NIS2 also Vorgaben für Betreiber wesentlicher und Anbieter digitaler Dienste, die bestimmte Kriterien zur Unternehmensgröße erfüllen.
Natürlich können aber auch diejenigen Unternehmen, die nicht unter die oben genannten Kriterien fallen, ihre Cybersecurity-Maßnahmen an der NIS2 ausrichten und ihre Systeme so effektiv vor Angriffen schützen.
Die NIS2 orientiert sich am „All-hazard approach“ (dt. „All-Gefahren-Ansatz“). Ziel ist, alle Netzwerke, Informationssysteme und die physischen Umgebungen dieser Systeme vor Sicherheitsvorfällen zu schützen. Die Anforderungen umfassen unter anderem:
Das Nicht-Einhalten der NIS2-Vorgaben kann empfindliche Strafen nach sich ziehen. Geldbußen in Höhe von bis zu 10 Millionen Euro bzw. 2 % des Vorjahresumsatzes (weltweit) sind möglich, je nachdem, welcher Betrag höher ist. In besonders schweren Fällen können Geldbußen bis zu 20 Millionen Euro oder 4 % des Vorjahresumsatzes weltweit verhängt werden, je nachdem, welcher Betrag höher ausfällt.
Die nationalen Behörden können zusätzlich weitere Sanktionen erlassen. Möglich sind beispielsweise Zwangsgelder, um wesentliche oder wichtige Einrichtungen dazu zu zwingen, einen festgestellten Verstoß gegen die Richtlinie zu unterlassen.
Die EU-Mitgliedsstaaten haben nun 21 Monate Zeit, die Richtlinie in nationales Recht umzusetzen. Für deutsche Unternehmen heißt das: Spätestens im Herbst 2024 werden eine Vielzahl neue Regularien auf die deutsche Wirtschaft zukommen. Hier gilt es, frühzeitig Maßnahmen zu ergreifen und die Vorgaben der NIS2 – schon aus Eigeninteresse – möglichst genau umzusetzen.
In der modernen Unternehmenswelt läuft quasi nichts mehr ohne IT-Systeme. Regierungen reagieren auf den Einsatz neuer Technologien und Veränderungen der Bedrohungslandschaft. Das Ziel: Kritische Infrastrukturen und Informationssysteme umfassend schützen. Die neue NIS2-Richtlinie ist ein wichtiger Schritt in diese Richtung.
Wir bei DataGuard wissen, wie herausfordernd die Umsetzung der NIS2 für Unternehmen sein kann. Wir glauben, dass Cybersicherheit proaktiv angegangen werden sollte und unterstützen unsere Kunden daher bei der Umsetzung von Maßnahmen zu Cyber- und Informationssicherheit. Unsere Informationssicherheit-as-a-Service Lösung deckt dabei alles von persönlicher Beratung bis zur digitalen Überwachung und Dokumentation über unsere Plattform ab. Apropos Plattform: Diese unterstützt Sie nicht nur dabei die Vorgaben zur Cyber- und Informationssicherheit einzuhalten, sondern auch Ihre wichtigsten Assets zuverlässig zu schützen. Insbesondere im Hinblick auf die Anforderungen und Umsetzung der NIS2 können sich dadurch einige Vorteile für Sie ergeben.
Weiterhin umfasst unser Service:
Das fordert die NIS2-Richtlinie |
So hilft Ihnen DataGuard |
|
Maßnahmenkonzepte |
Unsere komfortable Plattform hilft Ihnen, Schwachpunkte zu identifizieren, bei der Risikobewertung und beim Entwickeln ISO-konformer Richtlinien. |
|
Vorfallsmanagement |
Wir entwickeln mit Ihnen einen Vorfalls-Reaktionsplan, der genau auf Ihr Unternehmen zugeschnitten ist, um schnell und effektiv auf Sicherheitsvorfälle zu reagieren. |
|
Business Continuity |
Wir entwerfen mit Ihnen einen umfassenden Business Continuity-Plan, mit dem Sie Ausfallzeiten und andere negative Folgen von Sicherheitsvorfällen minimieren. |
|
Schulung und Security Awareness |
In der DataGuard Academy finden Ihre Mitarbeitenden eine Vielzahl spannender Onlinekurse. So steigern Sie die Security Awareness im Unternehmen und verringern die Risiken, die von Social Engineering-Angriffen ausgehen. |
|
Asset Management |
Das integrierte Asset Management-Feature unserer Plattform gibt Ihnen kompletten Einblick in die Informationswerte im Unternehmen und hilft Ihnen, sie unkompliziert zu verwalten. |
Wir bei DataGuard glauben an gute Vorbereitung als zentrale Voraussetzung für langfristigen Erfolg. Unser Ziel ist es, Unternehmen bei der Einhaltung rechtlicher Anforderungen ebenso zu unterstützen wie beim Schutz vor immer neuen Cyber-Bedrohungen. Mit jeder Menge Know-how zu den rechtlichen Rahmenbedingungen helfen wir unseren Kunden, jederzeit informiert und auf Veränderungen vorbereitet zu sein.
Mit unseren Experten und der nutzerfreundlichen Informationssicherheits-Plattform helfen wir Ihnen, auch die Herausforderungen der NIS2-Richtlinie entspannt zu meistern.
Die NIS 2 ist die zweite Richtlinie der Europäischen Union zur Stärkung der Cybersicherheit im europäischen Wirtschaftsraum. Sie wurde 2022 vom EU-Parlament verabschiedet und muss bis zum 18. Oktober 2024 von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Die Richtlinie gilt für Unternehmen aus insgesamt 18 Branchen.
Die NIS2 unterscheidet zwischen zwei Arten von betroffenen Unternehmen: Essential Entities und Important Entities. Essential Entities sind Unternehmen aus 11 Wirtschaftssektoren, deren Ausfall erhebliche Auswirkungen auf Gesellschaft, Wirtschaft und Sicherheit hätte. Sie müssen mindestens 50 Mitarbeiter beschäftigen und 50 Mio. € Jahresumsatz erzielen. Important Entities sind Unternehmen aus 7 weiteren Wirtschaftssektoren, die ebenfalls strenge Sicherheitsvorgaben erfüllen müssen.
Die EU hat 2016 die NIS-Richtlinie verabschiedet, um die Cybersicherheit im europäischen Wirtschaftsraum zu stärken. Die Richtlinie wurde 2022 durch die NIS2-Richtlinie aktualisiert, um die Anforderungen an die Sicherheit von Unternehmen und Organisationen zu erhöhen.
Möchten Sie mehr darüber erfahren, wie ISO 27001 Sie bei der Umsetzung der neuen NIS2-Verordnung unterstützen kann? Vereinbaren Sie mit uns einen Termin.