machCon Logo

machCon Logo

Was ist NIS2?

Was ist NIS2? Die Zukunft der Cybersicherheit in Europa

In einer Ära, in der die digitale Transformation unaufhaltsam voranschreitet, rückt die Sicherheit unserer digitalen Infrastrukturen immer stärker in den Fokus. Die Europäische Union hat diese Herausforderung erkannt und mit der Richtlinie über Netz- und Informationssicherheit, kurz NIS-2, einen bedeutenden Meilenstein für die verbesserte Cybersicherheit in Europa gesetzt. Die Grundlagen für NIS-2 wurden bereits 2016 mit der Einführung der ersten NIS-Richtlinie gelegt. Ihr Hauptziel ist es, die Widerstandsfähigkeit der europäischen Mitgliedstaaten gegenüber Cyberbedrohungen zu stärken und gleichzeitig die Reaktionsfähigkeit auf Cyberangriffe zu verbessern. Die zunehmende Vernetzung von kritischen Infrastrukturen erfordert eine umfassende und koordinierte Herangehensweise an die Cybersicherheit. Die NIS-2 Richtlinie ist zwar bereits am 16. Januar 2023 in Kraft getreten, allerdings haben die Unternehmen noch bis zum 17. Oktober 2024 Zeit, diese umzusetzen. Der Entwurf für Deutschlands Umsetzungsgesetz ist bereits Ende Juli veröffentlicht worden. Es wird also höchste Zeit für europäische Unternehmen, sich mit diesem Thema zu beschäftigen, wenn sie dies nicht bereits getan haben.

Inhalt der NIS2 EU Richtlinie

 

Erweiterter Anwendungsbereich – Wer ist von NIS2 betroffen?

NIS-2 weitet den Anwendungsbereich der ersten Richtlinie aus, um sicherzustellen, dass nicht nur Betreiber von wesentlichen Diensten wie unter anderem Energieversorger, Verkehrseinrichtungen und Gesundheitsdienstleister, sondern auch zum Beispiel Anbieter digitaler Dienste und bestimmter Plattformen in den Geltungsbereich fallen. Neben der Branche wird auch der Umsatz und die Mitarbeiterzahl als Bestimmungsmerkmal verwendet. Dies bedeutet, dass eine breitere Palette von Unternehmen und Organisationen nun verpflichtet ist, angemessene Sicherheitsmaßnahmen zu ergreifen.

Die wesentlichen Branchen:
  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarkt
  • Weltraum
  • Verwaltung
  • Gesundheit
  • Trinkwasser
  • Digitale Infrastrukturen
  • Abwasser
  • Verwaltung von IKT-Diensten

 

Die wichtigen Branchen:
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemikalien
  • Lebensmittel
  • Forschungseinrichtungen
  • Verarbeitendes Gewerbe
  • Digitale Dienste

Betroffen sind also große Unternehmen (>250 Beschäftigte mit >50 Mio. EUR Jahresumsatz oder >43 Mio. Jahresbilanz) und mittelgroße Unternehmen (>50 Beschäftigte mit >10 Mio. EUR Jahresumsatz oder >10 Mio. Jahresbilanz). Kleine Unternehmen sind nur dann betroffen, wenn sie kritische Tätigkeiten ausführen oder ihre Tätigkeiten Auswirkungen grenzüberschreitend oder auf die öffentliche Sicherheit haben. Sollten Sie von NIS-2 betroffen sein, so müssen Sie sich bei der nationalen Behörde registrieren. Zur Registrierung sind bisher noch keine genauen Informationen veröffentlicht worden. Neuigkeiten hierzu werden auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) preisgegeben.

Verpflichtende Sicherheitsvorkehrungen:

NIS-2 legt spezifische Sicherheitsanforderungen fest, die von den betroffenen Organisationen erfüllt werden müssen. Dazu gehören Maßnahmen wie Risikomanagement, Lieferketten-Sicherheit, Vorfallserkennung und -reaktion sowie die Sicherung von Kommunikationsnetzen. Was sollten betroffene Unternehmen also tun?

  • Risikoanalyse & Sicherheitskonzept aufstellen
  • Sicherheitsvorfälle erkennen und die verstärkte Meldepflicht einhalten
  • Risikomanagement & Maßnahmenplanung einführen
  • Business Continuity Management etablieren und somit Krisenmanagement betreiben
  • Kryptografie und Multi-Faktoren-Authentifizierung einführen
  • Security Awareness der Mitarbeiter steigen (durch Phishing Simulationen oder Mitarbeiterschulungen)
  • Operational Security
  • Zugangs- und Zugriffskontrolle von Assets betreiben
  • Regelmäßige Audits zur Prüfung der IT-Sicherheit einführen

 

Zusammenarbeit und Informationsaustausch:

Die Richtlinie fördert die Zusammenarbeit zwischen den Mitgliedstaaten und verlangt einen verbesserten Informationsaustausch über Cyberbedrohungen und Vorfälle. Dies ist entscheidend, um schnelle und gut koordinierte Reaktionen auf Bedrohungen zu gewährleisten.

Verschärfte Sanktionen:

Gemäß der NIS-2-Richtlinie werden bei Verstößen hohe Strafen verhängt, die in ihrer Struktur und Härte an die Bestimmungen der DSGVO erinnern. Die Geldbußen können in manchen Fällen bis zu 10 Millionen Euro oder 2 % des Umsatzes des vorangegangenen Geschäftsjahres betragen, abhängig davon welcher Betrag der höhere ist. Die genaue Definition der betroffenen Unternehmen und Organisationen sowie die spezifischen Anforderungen können je nach den nationalen Umsetzungen der NIS-2-Richtlinie in den Mitgliedstaaten der Europäischen Union variieren. Es ist wichtig, dass die betroffenen Parteien die nationalen Gesetze und Vorschriften genau prüfen, um festzustellen, ob sie den Anforderungen von NIS-2 entsprechen. Laut Art. 1 § 38 im NIS2UmsuCG-Entwurf muss die Geschäftsführung an Schulungen teilnehmen, die geforderten Maßnahmen umsetzen und die Umsetzung überwachen. Ansonsten haftet sie für Verstöße nach den Regeln des jeweiligen Gesellschaftsrechts.

Herausforderungen und Chancen

Obwohl NIS-2 zweifellos eine wichtige Initiative für die Stärkung der europäischen Cybersicherheit darstellt, bringt diese auch Herausforderungen mit sich. Es müssen einheitliche Standards definiert und durchgesetzt werden und es ist entscheidend, sicherzustellen, dass die Anforderungen nicht nur einmalig erfüllt, sondern auch kontinuierlich gepflegt und aktualisiert werden. Die Richtlinie bietet jedoch auch Chancen. Sie schafft ein Umfeld, in dem Unternehmen und Organisationen in der gesamten EU zusammenarbeiten können, um bewährte Verfahren und Erfahrungen auszutauschen. Dies fördert nicht nur die individuelle Sicherheit, sondern stärkt auch die gesamte regionale Cybersicherheitslandschaft.

Fazit

NIS-2 ist ein bedeutender Schritt hin zu einer sichereren digitalen Zukunft für Europa. Die ständige Weiterentwicklung von Cybersicherheitsrichtlinien ist entscheidend, um mit den sich ständig verbessernden Bedrohungen Schritt zu halten. Durch die Einbindung von Unternehmen, Organisationen und Regierungen in einen gemeinsamen Ansatz, trägt NIS-2 dazu bei, Europa widerstandsfähiger gegenüber Cyberbedrohungen zu machen und die Grundlagen für eine sichere digitale Gesellschaft zu legen.

Sind Sie sich noch nicht sicher, ob Sie von NIS-2 betroffen sind?

Informieren Sie sich jetzt in einem kostenfreien, unverbindlichem Erstgespräch mit unseren Experten.

Möchten Sie weitere Informationen zu NIS-2?

Auf unserer NIS-2 Seite finden Sie weitere Informationen zu der von uns empfohlenen Vorgehensweise. Sollte dies nicht reichen, können Sie sich weiter über eine kostenfreie, unverbindliche Erstberatung mit unseren Experten informieren und Antworten auf Ihre Fragen finden.

Christian Herbst - CEO, IT-Security, NIS-2, Projektmanagement und Datenschutz

Christian Herbst

Chief Executive Officer

contact@machcon.com