Die neue Richtlinie der EU für mehr Cybersicherheit. Wer ist betroffen? Was ist jetzt zu tun? Die wichtigsten Antworten.
NIS2 steht für Network and Information Security Directive 2. Die EU-Richtlinie hat das Ziel, die Cybersicherheit in der Europäischen Union zu stärken. Sie erweitert den Anwendungsbereich der vorherigen NIS-Richtlinie und betrifft kritische Infrastrukturen (wie beispielsweise Energie- und Verkehrssysteme) ebenso wie wichtige digitale Dienstleister. Betroffene Organisationen müssen strenge Sicherheitsmaßnahmen umsetzen und werden zu Risikobewertungen verpflichtet.
Welche Neuerungen kommen auf Sie zu? Ab wann gelten die Änderungen? Was müssen Sie jetzt tun, um vorbereitet zu sein? Wir geben Antworten auf die wichtigsten Fragen zur NIS-2-Richtlinie.
Die NIS2-Richtlinie ist seit dem 16. Januar 2023 in Kraft und löst die bisher geltende Richtlinie ab.
Da es sich um eine Richtlinie handelt, muss sie von den Mitgliedstaaten erst in nationales Recht umgesetzt werden. Die ursprüngliche Frist für die Umsetzung war der 17. Oktober 2024. Deutschland hat zwar einen Gesetzesentwurf (NIS2UmsuCG) vorgelegt, jedoch wurde dieser aufgrund politischer Unstimmigkeiten nicht verabschiedet. Nach dem Scheitern der Ampelkoalition im Jahr 2024 wird die Umsetzung voraussichtlich nicht vor Herbst 2025 erfolgen.
Trotz dieser Verzögerung bleibt die Richtlinie relevant. Da eine Umsetzung in nationales Recht nur eine Frage der Zeit ist,
sollten Unternehmen die Zeit nutzen, um sich auf die Anforderungen vorzubereiten.
"Cybersecurity und Penetrationtests werden wichtiger, aber auch viele technische und organisatorische Maßnahmen, die wir aus dem Datenschutz kennen."
Eberhard Häcker
Berater für Datenschutz und Cybersicherheit
Unternehmen müssen selbst klären, ob die NIS2-Richtlinie für sie gilt.
Die Kriterien im Überblick:
Branchenzugehörigkeit: Wenn Ihr Unternehmen zu einem der 18 betroffenen Sektoren gehört.
Unternehmensgröße: Ab 50 Mitarbeitenden oder einem Umsatz von mindestens 10 Mio. Euro (bzw. einer Jahresbilanzsumme von mindestens 10 Mio. Euro).
Sonderfälle: Bestimmte Organisationen wie qualifizierte Vertrauensdienste, TLD-Registries und DNS-Dienste sind unabhängig von ihrer Größe betroffen.
Sie galten auch bisher schon als KRITIS-Unternehmen? Dann sind Sie von NIS2 betroffen.
Sie haben mindestens 50 Mitarbeitende
oder mindestens 10 Mio. Euro Umsatz
oder eine Jahresbilanzsumme von mindestens 10 Mio. Euro.
Die NIS-2-Richtlinie unterscheidet zwischen "Besonders wichtigen Einrichtungen" und "Wichtigen Einrichtungen".
Was ist der Unterschied? "Wichtigen Einrichtungen" drohen geringere Geldstrafen, die Behördenaufsicht erfolgt reaktiv. "Besonders wichtige Einrichtungen" müssen mit empfindlicheren Geldstrafen rechnen. Sie werden proaktiv überwacht.
Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff
Energie
Krankenhäuser, Labore, Forschung und Entwicklung, Pharmazeutika, Medizingerätehersteller
Gesundheit
Luft, Schiene, Wasser, Straße
Verkehr
Banken, Kreditwesen, Handel, Markt, Infrastruktur und Versicherungswesen
Bank- und Finanzwesen
Unternehmen der Trink- und Abwasserversorgung
Wasser
Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten und Anbieter öffentlicher elektronischer Kommunikaitonsnetze und -dienste
Digitale Infrastruktur und IT-Dienste
Öffentliche Verwaltung
Öffentliche Verwaltung
Raumfahrt
Raumfahrt
Unternehmen der Abfallwirtschaft
Abfallwirtschaft
Postunternehmen und Kurierdienste
Post- und Kurierdienste
Produktion und Vertrieb chemischer Erzeugnisse
Chemische Erzeugnisse
Produktion und Vertrieb von Lebensmitteln
Lebensmittel
"Da eine Umsetzung in nationales Recht nur eine Frage der Zeit ist, sollten Unternehmen die Zeit nutzen, um sich auf die Anforderungen vorzubereiten."
Die NIS2-Richtlinie ersetzt die bisherige NIS-Richtlinie von 2016 und bringt folgende Schlüsseländerungen mit sich.
Die Anzahl betroffener Unternehmen steigt erheblich: Die Zahl der von NIS2 erfassten Sektoren erhöht sich auf 18. Sieben neue "Important Entities" kommen hinzu, die Schwellenwerte werden gesenkt.
Unternehmen müssen Cyberrisiken in ihrer gesamten Lieferkette bewerten.
Unternehmen sind nun zum Einsatz eines Cyberrisikomanagements verpflichtet.
Unternehmen müssen regelmäßige Schulungen und Audits der Cybersicherheit durchführen.
Geschäftsführer haften persönlich für Cybersicherheitsmängel.
Es werden strenge Meldepflichten eingeführt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt die Aufsicht.
Bei Nichteinhaltung der NIS2-Richtlinie drohen hohe Geldstrafen.
EU-Mitgliedsstaaten müssen Computer-Notfallteams einrichten (Computer Security Incident Response Team = CSIRT). In Deutschland übernimmt das voraussichtlich das BSI. Die CSIRTs werden länderübergreifend zusammenarbeiten und an die zentrale koordinierende Cybersecurity-Behörde ENISA (European Union Agency for Cybersecurity) berichten.
Die NIS2-Richtlinie verpflichtet Unternehmen, erhebliche Störungen, Vorfälle und Cyberbedrohungen unverzüglich ihrer nationalen Cyber Security Authority zu melden. In Deutschland ist das das Bundesamt für Sicherheit in der Informationstechnik (BSI). Hierfür sieht NIS2 drei Stufen vor:
Als Zulieferer betrifft die NIS2-Richtlinie Ihr Unternehmen indirekt. Diese Vorschrift legt für KRITIS-Betreiber sowie besonders bedeutende und wichtige Einrichtungen in den 18 Sektoren fest, dass sie die Cybersicherheit in ihrer Lieferkette in Betracht ziehen müssen. Wenn Sie künftig Aufträge erhalten möchten, sollten Sie sich darauf einstellen, dass Cybersicherheit in Vertragsverhandlungen zukünftig zum Thema wird. Unternehmen müssen zunehmend mit vertraglichen Verpflichtungen zu Sicherheitsmaßnahmen rechnen, um weiterhin als Zulieferer oder Dienstleister tätig sein zu können.
Die ursprüngliche NIS-Richtlinie (Network and Information Systems) wurde als Reaktion auf die wachsenden Bedrohungen für die Netz- und Informationssysteme innerhalb der EU verabschiedet. Sie war die erste EU-weite Gesetzgebung zur Verbesserung der Cybersicherheit und zielte darauf ab, ein hohes gemeinsames Sicherheitsniveau der Netz- und Informationssysteme in der EU zu gewährleisten.
Die NIS2-Richtlinie ist eine überarbeitete und erweiterte Version dieser ursprünglichen Richtlinie. Sie zielt darauf ab, frühere Schwächen zu beheben, den Geltungsbereich auf mehr Sektoren und Unternehmen zu erweitern und stärkere Vorschriften für das Risikomanagement sowie für die Meldung von Cybersicherheitsvorfällen einzuführen.
Um festzustellen, ob Sie aufgrund der Zahl Ihrer Mitarbeitenden unter die NIS-2-Richtlinie fallen, ermitteln Sie die Zahl der Personen, die Ihre Organisation in der Europäischen Union beschäftigt. Dazu zählen auch Teilzeitkräfte, Zeitarbeitskräfte und Saisonpersonal.
Der Gesetzesentwurf zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) wurde in dieser Legislaturperiode nicht verabschiedet. Aufgrund politischer Unstimmigkeiten konnte kein Kompromiss erzielt werden. Damit gibt es aktuell keine nationale Umsetzung der NIS2-Richtlinie in Deutschland.
Dennoch bleibt die NIS2-Richtlinie auf EU-Ebene gültig. Unternehmen sollten sich weiterhin auf die Anforderungen vorbereiten, da eine Umsetzung zu einem späteren Zeitpunkt erfolgen wird. Zudem können Unternehmen bereits jetzt vertragliche Verpflichtungen oder branchenspezifische Sicherheitsanforderungen treffen, die sich aus der NIS2-Richtlinie ableiten.
Obwohl die nationale Umsetzung in Deutschland verschoben wurde, bleibt NIS2 eine verbindliche EU-Richtlinie. Unternehmen sollten jetzt handeln, um sich auf kommende Gesetzesänderungen vorzubereiten und ihre Cybersicherheit zu stärken.
Frühzeitige Maßnahmen minimieren Risiken und sichern langfristig die Compliance.
Fragen?
Wir sind da.
Die mit * markierten Angaben benötigen wir, um Ihre Anfrage zu bearbeiten und Ihnen zu antworten. Das möchten Sie genauer wissen? Mehr verrät Ihnen unsere Datenschutzerklärung.
Team Datenschutz
Langjährige Erfahrung. Zielgerichtete Lösungen. Zufriedene Kunden. In Deutschland. In Europa. Weltweit. Willkommen bei
Team
Datenschutz.
Kontakt
Wir sind für Sie da.
Am Hagelsrech 14
66806 Ensdorf
+49 6831 7689 777
Tipps & News
Praxistipps, Events, Aktuelles & mehr
Newsletter
Immer up to date im Datenschutz.
Copyright © 2024 Team Datenschutz