Die neue EU-Richtlinie für Cybersicherheit, NIS-2, ist seit dem 16.01.2023 EU-weit in Kraft getreten1. Diese Richtlinie zur Netzwerk- und Informationssicherheit muss von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden2. In Deutschland gibt es bereits einen Referentenentwurf des Bundesinnenministeriums zur Umsetzung der NIS-2-Richtlinie (NIS-2UmsuCG).
Die NIS-2-Richtlinie erweitert die Cybersicherheitsanforderungen und die Sanktionen für Unternehmen, um das Sicherheitsniveau in den Mitgliedstaaten zu harmonisieren2. Unternehmen mit mindestens 50 Mitarbeitenden und einem Jahresumsatz größer zehn Millionen Euro sind betroffen1. Deutschland hat eine geschätzte Anzahl von rund 30.000 Unternehmen, die von der NIS-Richtlinie betroffen sind, wovon über 20,000 als "wichtige Einrichtungen" eingestuft werden3.
Durch die neue Richtlinie wird die Zahl der betroffenen Unternehmen massiv ansteigen. Darüber hinaus werden an die betroffenen Unternehmen höhere Anforderungen gestellt und auch der Durchsetzungsdruck wird zunehmen − zum Beispiel durch die Androhung höherer Sanktionen und die Haftung der Managementebene. Bei Nichteinhaltung der Vorgaben riskieren Unternehmen Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Konzernumsatzes1.
Wir von MDSYSTEC sind Ihre externe IT-Abteilung. Wenn Sie über keine IT-Abteilung verfügen, mit Ihrem aktuellen IT-Verantwortlichen unzufrieden sind oder einen dringenden IT-Notfall haben, dann sind Sie bei uns genau richtig. Wir unterstützen Sie bei der Umsetzung der NIS-2-Richtlinie und stellen sicher, dass Ihr Unternehmen die Anforderungen an die Cybersicherheit erfüllt.
Wichtige Erkenntnisse
- NIS-2 ist seit dem 16.01.2023 EU-weit in Kraft und muss bis zum 17.10.2024 in nationales Recht umgesetzt werden.
- Betroffen sind Unternehmen mit mindestens 50 Mitarbeitenden und einem Jahresumsatz über 10 Millionen Euro.
- NIS-2 definiert elf wesentliche und sieben wichtige Sektoren, ähnlich den deutschen KRITIS-Sektoren.
- Bei Nichteinhaltung drohen Bußgelder bis zu 10 Millionen Euro oder 2% des Konzernumsatzes.
- Unternehmen müssen geeignete Maßnahmen zur Beherrschung von Cybersicherheitsrisiken ergreifen.
Was ist NIS-2 und wen betrifft es?
Die NIS-2-Richtlinie, die Anfang 2023 in Kraft getreten ist, regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen in der gesamten EU4. Ziel ist es, die Cybersicherheitsanforderungen innerhalb der EU-Mitgliedstaaten zu harmonisieren und ausgewogene Regulierungen basierend auf Größe und Sektor der Unternehmen zu schaffen, um die Widerstandsfähigkeit gegen Cyberbedrohungen zu verbessern5.
Mehr dazu auch hier in unserem Beitrag
NIS-2: Das neue IT-Sicherheitsgesetz für Deutschland
Definition und Anwendungsbereich
Die NIS-2-Richtlinie definiert zwei Gruppen von Einrichtungen in 18 Sektoren, die sogenannten "Besonders wichtige Einrichtungen" und "Wichtige Einrichtungen", basierend auf ihrer Größe und den kritischen Dienstleistungen, die sie erbringen4. Der Anwendungsbereich geht weit über die bekannten kritischen Infrastrukturen hinaus und betrifft Unternehmen in Sektoren wie Energie, Wasser, Gesundheit, Transport, Bankwesen, digitale Infrastruktur und öffentliche Verwaltung5.
Unter die Regulierung fallen mittlere und große Unternehmen mit mindestens 50 Beschäftigten oder einem Umsatz von 10 Millionen Euro64. Ab Oktober 2024 müssen alle betroffenen Unternehmen die Cybersicherheitsmaßnahmen umsetzen56. Die Einführung der NIS-2-Richtlinie wird die IT-Branche maßgeblich beeinflussen, wobei IT-Unternehmen Zertifizierungen benötigen werden, um den Anforderungen zu entsprechen6.
Angesichts des wirtschaftlichen Schadens von 206 Milliarden Euro durch Cyberkriminalität für deutsche Unternehmen und der Erwartung von 26% der Unternehmen, dass Angriffe auf Infrastrukturen im Zusammenhang mit IIoT und OT-Technologien deutlich zunehmen werden, ist es für betroffene Unternehmen essenziell, sich frühzeitig auf die NIS-2-Richtlinie vorzubereiten5.
Neue Anforderungen und Strafen
Mit der NIS-2-Richtlinie werden die Cybersicherheitsanforderungen für Unternehmen in Deutschland deutlich verschärft. Ab Oktober 2024 müssen Unternehmen in 18 kritischen Sektoren, die mindestens 50 Mitarbeitende und einen Jahresumsatz von 10 Millionen Euro haben, die neuen Vorgaben umsetzen78. Schätzungen zufolge sind in Deutschland zwischen 29.000 und 40.000 Unternehmen von der NIS-2-Richtlinie betroffen89.
Zu den neuen Anforderungen gehören unter anderem die Implementierung eines Informationssicherheitsmanagementsystems (ISMS), die Meldung von Sicherheitsvorfällen und die angemessene Behandlung dieser Vorfälle8. Die NIS-2-Richtlinie definiert zudem Mindestanforderungen an die Cybersicherheit, darunter Incident Management, Backup Management, Kryptografiekonzepte und Zugangskontrollen9.
Bei Verstößen gegen die NIS-2-Richtlinie drohen empfindliche Sanktionen und Bußgelder. Unternehmen müssen mit Strafen von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes rechnen, je nachdem, welcher Betrag höher ist78. Zudem birgt die Richtlinie das Potenzial, dass die Geschäftsführung persönlich haftbar gemacht werden kann, wenn sie ihre Pflichten im Bereich des Cybersicherheits-Risikomanagements vernachlässigt79.
Um die neuen Anforderungen zu erfüllen und Sanktionen zu vermeiden, sollten Unternehmen frühzeitig mit der Umsetzung beginnen. Die ISO 27001-Zertifizierung wird als strukturierter Ansatz zur Implementierung von Informationssicherheitsmaßnahmen empfohlen7. Zudem ist es wichtig, klare Zuständigkeiten für Cybersicherheit, Informationssicherheit und Business Continuity zu definieren und das Team durch regelmäßige Schulungen auf aktuelle Bedrohungen vorzubereiten7.
Wir von MDSYSTEC unterstützen Sie als externe IT-Abteilung bei der Umsetzung der NIS-2-Anforderungen. Unsere Experten helfen Ihnen bei der Betroffenheitsanalyse, der Maßnahmenplanung und der Implementierung eines effektiven Informationssicherheitsmanagementsystems. Gemeinsam stellen wir sicher, dass Ihr Unternehmen den neuen Cybersicherheitsanforderungen gerecht wird und vor Sanktionen geschützt ist.
NIS-2 guidelines für Ihr Unternehmen
Die NIS-2-Richtlinie, die im Oktober 2024 in Kraft tritt, bringt eine Reihe von Veränderungen und Herausforderungen für Unternehmen in verschiedenen Sektoren mit sich10. Um festzustellen, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist und wie Sie sich optimal darauf vorbereiten können, ist eine gründliche Betroffenheitsanalyse und die Bewertung Ihrer NIS-2-Readiness unerlässlich.
Betroffenheitsanalyse und NIS-2-Readiness
Die NIS-2-Richtlinie erweitert den Anwendungsbereich der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen zur Verbesserung der Resilienz und Reaktionskapazitäten11. Insbesondere Sektoren wie Energie, Transport, Bankwesen, Gesundheitswesen und digitale Infrastruktur sind von den Anforderungen der NIS-2-Richtlinie betroffen10. Unternehmen, die als Anbieter wesentlicher Dienste und Betreiber kritischer Infrastrukturen klassifiziert werden, einschließlich einer Vielzahl von kleinen und mittelständischen Unternehmen (KMUs) in diesen Sektoren, müssen die neuen Regelungen beachten10.
Die Betroffenheit eines Unternehmens hängt von dessen Größe und dem Sektor ab, in dem es tätig ist. Die NIS-2-Richtlinie kategorisiert betroffene Unternehmen in zwei Gruppen, basierend auf Kriterien wie Mitarbeiterzahl und Jahresumsatz12. Um Klarheit über Ihre Situation zu erlangen, empfehlen wir eine detaillierte Betroffenheitsanalyse durchzuführen.
Als erfahrener Partner unterstützt MDSYSTEC betroffene Unternehmen bei der Vorbereitung auf die NIS-2-Richtlinie. Gemeinsam beurteilen wir, ob Sie von der NIS-2-Richtlinie betroffen sind und setzen die Grundlage für Ihre NIS-2-Readiness. Dabei berücksichtigen wir die spezifischen Erwartungen an die Cybersicherheit in Ihrem Sektor12.
Es ist wichtig, dass die Führungskräfte in Ihrem Unternehmen mit den Anforderungen der Richtlinie und den Maßnahmen zum Risikomanagement vertraut sind. Denn unter NIS-2 kann das Top-Management persönlich haftbar gemacht werden, wenn die Regelungen nicht eingehalten werden12. Die Unternehmensleitung trägt die direkte Verantwortung dafür, Cyberrisiken zu erkennen, anzugehen und die Anforderungen zu erfüllen.
Unternehmen, die den NIS-2-Anforderungen nicht entsprechen, müssen mit schweren Bußgeldern und Sanktionen rechnen10. Für bedeutende Einrichtungen können die Strafen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes erreichen, während für wichtige Einrichtungen Bußgelder von bis zu sieben Millionen Euro oder 1,4 Prozent des globalen Jahresumsatzes drohen12.
Durch eine frühzeitige Auseinandersetzung mit den NIS-2-Guidelines und eine solide Betroffenheitsanalyse schaffen Sie die Basis für eine erfolgreiche NIS-2-Umsetzung in Ihrem Unternehmen. Wir von MDSYSTEC stehen Ihnen dabei als kompetenter Partner zur Seite und unterstützen Sie dabei, Ihre NIS-2-Readiness zu erreichen und die Compliance sicherzustellen.
Umsetzung und Compliance
Um die NIS-2-Richtlinie erfolgreich umzusetzen und NIS-2 Compliance zu erreichen, müssen betroffene Unternehmen eine Reihe von Maßnahmen ergreifen. Die NIS-2-Richtlinie wurde am 27.12.2022 im EU-Amtsblatt veröffentlicht und trat am 16.01.2023 in Kraft. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten die Richtlinie in nationales Recht umsetzen13. Objektiv betrachtet wird Deutschland das Inkrafttreten des NIS2UmsuCG voraussichtlich nicht zum 17. Oktober 2024 schaffen, Anfang 2025 wäre wahrscheinlicher14.
Die Richtlinie betrifft in Deutschland etwa 29.000 Unternehmen zusätzlich, darunter Betreiber kritischer Infrastrukturen (KRITIS)15. Unternehmen, die nicht direkt von NIS-2 betroffen sind, können indirekt betroffen sein, z.B. als Zulieferer14. NIS-2 sieht vor, dass Zulieferbetriebe auch einen gewissen Sicherheitsstandard erfüllen müssen14.
Maßnahmenplanung und Implementierung
Zu den erforderlichen Maßnahmen zur Informationssicherheit gehören unter anderem:
- Cyber-Risikomanagement
- Sicherheit in der Lieferkette
- Business Continuity Management
- Verschlüsselung
- Zutrittsbeschränkungen
- Berichterstattung an die Behörde und Abhilfemaßnahmen
Unternehmen, die NIS-2 erst jetzt als relevant identifiziert haben, werden es nicht rechtzeitig schaffen, den Auflagen gerecht zu werden, unabhängig ob im Oktober 2024 oder Anfang 202514. Daher müssen sich Unternehmen externer Expertise suchen, um das Projekt "NIS-2" voranzutreiben14.
Als externe IT-Abteilung hilft MDSYSTEC bei der Identifizierung der erforderlichen Maßnahmen für die Erfüllung der Richtlinien. Zudem entwickeln wir passende Meldeverfahren für Sicherheitsvorfälle und implementieren Überwachungsmechanismen, um die Wirksamkeit der umgesetzten Maßnahmen kontinuierlich zu überprüfen.
Durch eine strukturierte Herangehensweise und die Unterstützung erfahrener IT-Experten können Unternehmen die NIS-2-Richtlinie erfolgreich umsetzen und ihre Cyber-Resilienz erhöhen. Die NIS-2-Direktive verleiht der IT-Sicherheit eine gesetzliche Grundlage14 und zielt darauf ab, dass Organisationen angemessene Sicherheitsmaßnahmen umsetzen, um Cyberangriffe zu verhindern und darauf zu reagieren15.
Fazit
Die NIS-2-Richtlinie, die am 16.01.2023 in Kraft trat und bis zum 17.10.2024 von allen Mitgliedstaaten in nationales Recht übertragen werden muss, stellt Unternehmen vor neue Herausforderungen in Bezug auf ihre Cybersicherheit und IT-Sicherheit16. Betroffen sind insbesondere Betreiber von grundlegenden Diensten (OES) und Anbieter von digitalen Diensten (DSP) in Sektoren wie Energiewesen, Transport, Banken, Gesundheit, Trinkwasser und Digitale Dienste16. Um die verschärften gesetzlichen Anforderungen an die Informationssicherheit ab 2024 zu erfüllen, müssen Unternehmen frühzeitig mit der Vorbereitung auf die NIS-2-Richtlinie beginnen.
Eine gründliche Betroffenheitsanalyse ist der erste Schritt, um festzustellen, ob das eigene Unternehmen den spezifischen Schwellenwerten von mehr als 50 Mitarbeitern und mehr als 10 Mio. Euro Umsatz entspricht16. Anschließend gilt es, die erforderlichen Maßnahmen zu identifizieren und zu implementieren, wie beispielsweise ein ISO 27001-konformes Managementsystem für Informationssicherheit, Threat Intelligence-Systeme und gemanagte XDR-Systeme17. Dabei ist es wichtig, technische Maßnahmen höher zu priorisieren als organisatorische, um die Compliance mit der NIS-2-Richtlinie sicherzustellen17.
Die Unterstützung eines erfahrenen Partners wie MDSystec kann Unternehmen dabei helfen, die komplexen Anforderungen der NIS-2-Richtlinie zu bewältigen und ihre Cybersicherheit auf ein hohes Niveau zu bringen. Als externe IT-Abteilung verfügt MDSystec über die nötige Expertise, um Unternehmen bei der Umsetzung eines NIS-2-konformen IT-Sicherheitsmanagements zu begleiten und somit die Risiken von hohen Bußgeldern bei Nichteinhaltung der Vorgaben zu minimieren17. Durch die frühzeitige Vorbereitung auf die NIS-2-Richtlinie können Unternehmen nicht nur ihre Compliance sicherstellen, sondern auch ihre Widerstandsfähigkeit gegenüber Cyberangriffen stärken und somit potenzielle Schäden wie Lahmlegung von betrieblichen Prozessen und Reputationsverluste vermeiden17.
FAQ
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die am 16. Januar 2023 in Kraft getreten ist. Sie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen in den Mitgliedstaaten.
Wen betrifft die NIS-2-Richtlinie?
Die NIS-2-Richtlinie betrifft Unternehmen in 18 Sektoren, wie beispielsweise Energie, Wasser, Gesundheit, Transport, Bankwesen, digitale Infrastruktur und öffentliche Verwaltung. Es wird zwischen "Besonders wichtigen Einrichtungen" und "Wichtigen Einrichtungen" unterschieden. Unter die Regulierung sollen mittlere und große Unternehmen fallen.
Welche neuen Anforderungen und Sanktionen bringt die NIS-2-Richtlinie mit sich?
Die NIS-2-Richtlinie erweitert die Cybersicherheitsanforderungen und die Sanktionen. Unternehmen müssen sich mit Themen wie Cyber-Risikomanagement, Kontrolle und Überwachung sowie Umgang mit Zwischenfällen und Geschäftskontinuität befassen. Sanktionen können bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes betragen. Zudem werden die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit Ihrem Privatvermögen haften.
Wie können Unternehmen feststellen, ob sie von der NIS-2-Richtlinie betroffen sind?
Um festzustellen, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist, sollten Sie eine Betroffenheitsanalyse durchführen. Die Betroffenheit hängt von der Unternehmensgröße und dem Sektor ab, in dem das Unternehmen tätig ist. MDSYSTEC unterstützt betroffene Unternehmen bei der Vorbereitung auf die NIS-2-Richtlinie und hilft bei der Beurteilung der Betroffenheit.
Welche Maßnahmen müssen Unternehmen ergreifen, um die NIS-2-Richtlinie umzusetzen?
Betroffene Unternehmen müssen angemessene Maßnahmen in Bereichen wie Cyber-Risikomanagement, Sicherheit in der Lieferkette, Business Continuity Management, Verschlüsselung, Zutrittsbeschränkungen sowie Berichterstattung an die Behörde und Abhilfemaßnahmen ergreifen. MDSYSTEC hilft bei der Identifizierung der erforderlichen Maßnahmen und entwickelt passende Verfahren zur Überwachung der Wirksamkeit der umgesetzten Maßnahmen.
Bis wann muss die NIS-2-Richtlinie umgesetzt werden?
Die Mitgliedstaaten müssen die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Unternehmen, die den Schwellenwerten überschreiten und damit der NIS-2 unterliegen, müssen ab 2024 die verschärften gesetzlichen Anforderungen an die Informationssicherheit umsetzen. Es empfiehlt sich, frühzeitig mit der Vorbereitung zu beginnen.
Quellenverweise
- https://www.mittelstand-heute.com/was-ist-nis-2-und-wie-setzen-unternehmen-die-richtlinie-um
- https://www.pwc.at/de/dienstleistungen/wirtschaftspruefung/cybersecurity/europaeische-nis-2-richtlinie-implikationen-fuer-unternehmen-und-institutionen.html
- https://www.secjur.com/blog/nis2-richtlinie
- https://www.openkritis.de/eu/eu-nis-2-direktive-kritis.html
- https://www.secjur.com/blog/fur-wen-gilt-nis2
- https://mhl.de/de/wissen/nis2.php
- https://www.itsecuritycoach.com/2023/11/23/die-neue-nis2-richtlinie-betroffenen-drohen-strafen/
- https://i-unit.group/2023/12/11/ab-2024-neue-cybersicherheitsanforderungen-fuer-unternehmen-durch-nis-2-richtlinie/
- https://www.trendmicro.com/de_de/compliance/nis2-richtlinie.html
- https://cryptomator.org/de/nis-2-guideline/
- https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
- https://www.mightycare.de/nis2-richtlinie/
- https://www.pwc.de/de/cyber-security/europaeische-nis-2-richtlinie-implikationen-fuer-unternehmen-und-institutionen.html
- https://www.security-insider.de/nis-2-umsetzung-massnahmen-it-sicherheit-compliance-a-8c1e31a271a0fa931c65b38cf5c0bd5f/
- https://business-services.heise.de/security/security-management/beitrag/nis-2-ein-leitfaden-fuer-die-umsetzung-4744
- https://www.akademie-herkert.de/neuigkeiten-fachwissen/datenschutz-it-sicherheit/nis2
- https://www.acp-gruppe.com/de-de/blog/nis2-was-sie-jetzt-tun-sollten