Noch Fragen?

Sprechen Sie uns gerne an, wenn Sie erfahren möchten, wie Athereon GRC Sie bei aktuellen Governance-, Risk- und Compliance-Themen unterstützen kann.

Funktionen ansehen
Demo erhalten
20.12.2024
3 Minuten

NIS-2-Richtlinie: Neue Standards für Cyber- und Informationssicherheit in der EU

Das neue EU-Gesetz um NIS 2

Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Security 2.0, kurz: NIS 2) wurde im Dezember 2022 veröffentlicht. Seit Oktober 2024 ist die neue Fassung der erstmals 2016 aufgestellten Richtlinie für alle EU-Mitgliedsstaaten bindend. Das nationale Gesetz zur Umsetzung der NIS-2-Richtlinie wird in Deutschland zeitnah erwartet. Welche neuen Anforderungen und Sanktionen die Richtlinie mit sich bringt, was diese bezwecken und wen die Neuerungen betreffen.

Was die neue NIS-2-Richtlinie mit sich bringt

Die zweite Fassung der Network and Information Security-Richtlinie, kurz NIS 2, dient zur Stärkung der Cyberresilienz kritischer und wichtiger Infrastrukturen im öffentlichen wie privaten Sektor innerhalb der EU. Konkret beinhaltet die aktualisierte Richtlinie verschärfte Maßnahmen und Meldepflichten bei IT-Sicherheitsvorfällen für zahlreiche Unternehmen.

Von der Neuerung sind deutlich mehr Branchen und Unternehmen betroffen, als dies bei der ersten EU-Richtlinie für Netzwerk- und Informationssicherheit der Fall war. In der Mehrzahl handelt es sich um mittlere und große Unternehmen, je nach Anbindung an Lieferketten oder Verbindungen als Tochtergesellschaften können auch kleinere Firmen betroffen sein.

Wen die NIS-2-Richtlinie betrifft

Seit dem 17. Oktober 2024 gilt die EU-weite Verpflichtung für Mitgliedsstaaten, die neue NIS-2-Richtlinie durch nationales Recht umzusetzen. Zu diesem Stichtag sollten Unternehmen geklärt haben, ob sie von der aktualisierten Richtlinie betroffen sind, ihre Ressourcen geplant und entsprechende Maßnahmen umgesetzt haben.

Unternehmen sind in der Verantwortung, selbständig zu prüfen, ob sie von NIS2 betroffen sind. Es wurde von offizieller Seite keine aktive Aufforderung zur Umsetzung der neuen Anforderungen für betroffene Unternehmen veranlasst.

Die NIS-2-Richtlinie unterteilt betroffene Unternehmen in zwei Kategorien: wesentliche Einrichtungen und wichtige Einrichtungen. Welcher Kategorie ein Unternehmen angehört, hat keine Auswirkungen auf die Sicherheitsanforderungen, sondern ausschließlich auf die Höhe der drohenden Sanktionen bei Nichteinhaltung.

Wesentliche Einrichtungen
  • Zu den wesentlichen Einrichtungen gehören Firmen der Energie- und Wasserversorgung, des Transports, das Bank- und Finanzwesen sowie Dienstleister, Hersteller und Forschende aus dem Gesundheitswesen. Außerdem schließt diese Kategorie die digitale Infrastruktur sowie IT-Dienste, öffentliche Verwaltung und die Raumfahrt mit ein.
Wichtige Einrichtungen
  • Unter die Kategorie der wichtigen Einrichtungen fallen Post- und Kurierdienste, Firmen der Abfallwirtschaft, Unternehmen in den Branchen Lebensmittel und chemische Erzeugnisse, die Industrie- und Herstellungsbranche (z. B. für Computer, Medizin- und Diagnosegeräte, Elektronik, Kraftfahrzeuge) sowie digitale Anbieter (z. B. Suchmaschinen, soziale Plattformen, Online-Marktplätze). Auch zu dieser Kategorie können Forschungseinrichtungen zählen.

Bei Verstößen drohen empfindliche Sanktionen, die Vorstände und Geschäftsleitungen betreffen.

Empfindliche Sanktionen bei Verstößen

Unter der neuen NIS-2-Richtlinie drohen bei Nichteinhaltung der Anforderungen empfindliche Sanktionen in Form von Bußgeldern. Wie hoch diese konkret ausfallen, ist auch abhängig von der Art des Unternehmens, das die Verstöße begeht.

So droht für Firmen der Kategorie „wichtige Einrichtungen“ eine Geldbuße von bis zu 7 Mio. Euro, oder 1,4 % des gesamten weltweiten Vorjahresumsatzes des Gesamtunternehmens, je nach dem, welcher Betrag höher ausfällt.

Für Firmen der Kategorie „wesentliche Einrichtungen“ droht sogar eine Geldbuße von bis zu 10 Mio. Euro oder, wenn höher, 2 % des Vorjahresumsatzes.

Haftungsrisiko für Geschäftsleitung

Eine relevante Neuerung der aktualisierten Netzwerk- und Informationssicherheitsrichtlinie besteht außerdem darin, dass von nun an Geschäftsführer und Vorstände persönlich für Versäumnisse und Verstöße haften.

Verschärfte Meldepflicht

Auch neu sind die verschärften Fristen und Anforderungen zur Meldung von IT-Sicherheitsvorfällen. Dazu wurden drei Zeitfenster erhoben, innerhalb derer es konkrete Auflagen für die Dokumentation gibt:

  • Innerhalb von 24 Stunden ist ein vorläufiger Bericht sofort nach Entdeckung eines Vorfalls zu erfassen.
  • Innerhalb von 72 Stunden ist ein genauer Bericht mit einer vorläufigen Bewertung des Vorfalls zu erfassen.
  • Innerhalb eines Monats ist ein ausführlicher Abschlussbericht anzufertigen, der detaillierte Infos über die Art und Auswirkungen der Bedrohung umfasst.

Die Rolle des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist maßgeblich beteiligt an der Umsetzung der NIS-2-Richtlinie in Deutschland. Im Zuge dessen wurden seine Befugnisse und Zuständigkeiten erweitert. Das BSI ist in Zukunft befugt, Sicherheitsaudits durchzuführen und Mindestanforderungen festzulegen und durchzusetzen. Außerdem liegt das Verhängen von Sanktionen und Bußgeldern in dessen Zuständigkeit.

Was jetzt zu tun ist

Falls nicht bereits vor Oktober 2024 geschehen, sollte jedes Unternehmen nun zunächst dringend prüfen, ob es von der NIS-2-Richtlinie betroffen ist. Zum 17.01.2025 läuft die Frist zur Registrierung beim BSI aus.

Der Anwendungsbereich der Netzwerk- und Informationssicherheitsrichtlinie hat sich mit der EU-weiten Aktualisierung stark erweitert, sodass mehr Sektoren und Unternehmen betroffen sind.

Vor allem die Sicherheitsanforderungen sind mit der neuen Version der Richtlinie strenger geworden, sodass eine fortgeschrittene Sicherheitspolitik sowie neue Maßnahmen erforderlich werden.

Außerdem gelten nun strengere Richtlinien für die Meldung von Sicherheitsvorfällen. Bei Nichteinhaltung der neuen Anforderungen drohen deutlich verschärfte Sanktionen, für die nun auch Geschäftsführer und Vorstände haften können.

Fazit

Die Umsetzung der neuen NIS-2-Richtlinie erfordert technische sowie organisatorische Maßnahmen, etwa bei der Risikobewertung, dem Entwickeln von Sicherheitsrichtlinien, Überwachung und regelmäßigen Prüfungen. Außerdem gilt es, aktualisierte Mitarbeiterschulungen sowie Notfall- und Reaktionspläne zu erstellen und zuverlässige Sicherheitsdokumentation zu führen.

Die NIS-2-Richtlinie ist eine Herausforderung für eine Vielzahl von Unternehmen. Die damit verbundenen Handlungen können sich jedoch auch als Chance herausstellen, Maßnahmen zum Schutz von Daten und Informationen zu optimieren und damit das Vertrauen von Kunden und Partnern zu festigen.

Möchten Sie mehr erfahren?

Vereinbaren Sie einen unverbindlichen Demo-Termin mit unserem Team, um gemeinsam Ihren individuellen Anwendungsfall zu analysieren.

Termin vereinbaren

Ähnliche Themen

EuGH-Urteil: EU-Normen müssen für alle kostenlos zugänglich sein

EuGH-Urteil: EU-Normen müssen für alle kostenlos zugänglich sein

30.1.2025
4 Minuten
Mehr erfahren
BSI Grundschutz in Kürze: verstehen und umsetzen mit Athereon GRC

BSI Grundschutz in Kürze: verstehen und umsetzen mit Athereon GRC

20.12.2024
2 Minuten
Mehr erfahren
öffentl. Sektor
KRITIS
Medizin
IT / Tech
Energie
Automobil
Consulting
No items found.