Onlinekurs – Gamechanging HR. Jetzt kostenlos anmelden und die HR-Zukunft für dein Unternehmen entdecken.

NIS2 – Ein neues Kapitel der Cybersicherheit

Wie das Peter Prinzip die Leistung in Unternehmen beeinflusst und wie HR-Abteilungen dagegensteuern können

NIS2 – Ein neues Kapitel der Cybersicherheit

Ob Wasser, Strom oder öffentliche Verkehrsmittel – kritische Infrastrukturen (KRITIS) sind essenziell für das tägliche Leben und das Funktionieren unserer Gesellschaft. Doch gerade diese lebensnotwendigen Einrichtungen stehen immer häufiger im Fokus von Cyberangriffen. Die wachsenden Bedrohungen aus dem Cyberraum und die geopolitischen Entwicklungen haben dazu geführt, dass die Europäische Union die Sicherheitsanforderungen für Unternehmen und Organisationen in diesen Bereichen erheblich verschärft. Mit der neuen EU-Richtlinie NIS2 wird die Cybersicherheit auf eine neue Stufe gehoben.

Was ist NIS2?

NIS2 ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie (Network and Information Security) aus dem Jahr 2016. Während NIS1 bereits einen Grundstein für die Cybersicherheit innerhalb der EU legte, geht NIS2 deutlich weiter. Die Richtlinie soll ein hohes, einheitliches Sicherheitsniveau für Netz- und Informationssysteme in allen EU-Mitgliedstaaten sicherstellen. Ihr Ziel ist es, sowohl die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu stärken als auch den Informationsaustausch und die Zusammenarbeit zwischen den betroffenen Akteuren zu verbessern. EU-Länder müssen die NIS2-Richtlinie bis Oktober 2024 in nationales Recht umsetzen. Welche Fristen dann zur Umsetzung für betroffene Unternehmen festgelegt werden, bleibt abzuwarten.

Warum wurde NIS2 eingeführt?

Die digitale Vernetzung hat in den letzten Jahren rasant zugenommen, und mit ihr auch die Angriffsflächen für Cyberkriminelle. Die alte NIS1-Richtlinie reichte nicht aus, um die wachsenden Bedrohungen effektiv abzuwehren. Hinzu kam, dass die Umsetzung der Richtlinie in den einzelnen EU-Staaten unterschiedlich erfolgte, was zu einer uneinheitlichen Sicherheitslage führte. Mit NIS2 soll diese Lücke geschlossen werden. Es werden strengere Sicherheitsstandards eingeführt, um Cyberangriffe frühzeitig zu erkennen und abzuwehren. So sollen Unternehmen besser auf Angriffe vorbereitet und die Resilienz gegenüber Cyberbedrohungen deutlich gesteigert werden.

Welche Unternehmen sind von NIS2 betroffen?

Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen deutlich. Neben den klassischen kritischen Infrastrukturen (KRITIS) müssen sich auch Unternehmen aus zahlreichen weiteren Sektoren an die neuen Cybersicherheitsvorgaben halten. Insgesamt sind 18 Sektoren definiert, die eine wesentliche Rolle für das Funktionieren der Gesellschaft und Wirtschaft spielen. Dazu zählen:

  1. Energie (z.B. Strom- und Gasversorgung)
  2. Transport (z.B. Luft-, Schienen- und Straßenverkehr)
  3. Bankenwesen
  4. Finanzmarktinfrastrukturen
  5. Gesundheitswesen (z.B. Krankenhäuser)
  6. Trinkwasserversorgung
  7. Abwasserwirtschaft
  8. Digitale Infrastrukturen (z.B. Rechenzentren, Cloud-Provider)
  9. Öffentliche Verwaltung
  10. Weltrauminfrastruktur (z.B. Satelliten)
  11. Post- und Kurierdienste
  12. Lebensmittelproduktion und -verteilung
  13. Chemische Industrie
  14. Herstellung kritischer Produkte
  15. Digitale Dienstleister (z.B. Online-Plattformen)
  16. Abfallwirtschaft
  17. Pharmazeutische Industrie
  18. Forschungseinrichtungen

Unternehmen in diesen Sektoren müssen die Anforderungen der NIS2-Richtlinie umsetzen, wenn sie mehr als 50 Mitarbeitende beschäftigen oder einen Jahresumsatz von über 10 Millionen Euro erzielen. Kleinere Unternehmen sind in der Regel ausgenommen, es sei denn, sie spielen eine besonders kritische Rolle in einem der genannten Sektoren. Testen Sie hier, ob Ihr Unternehmen betroffen ist: https://betroffenheitspruefung-nis-2.bsi.de

Was müssen Unternehmen tun, wenn sie von NIS2 betroffen sind?

Die NIS2-Richtlinie schreibt Unternehmen umfangreiche Maßnahmen vor, um ihre Netz- und Informationssicherheit zu verbessern. Diese Maßnahmen umfassen:

  1. Risikomanagement: Unternehmen müssen ein strukturiertes Risikomanagement implementieren, das potenzielle Cyberbedrohungen identifiziert, bewertet und minimiert.

  2. Technische und organisatorische Sicherheitsmaßnahmen: Dazu gehören unter anderem Firewalls, Verschlüsselungen und strenge Zugriffskontrollen, aber auch Notfallpläne und regelmäßige Mitarbeiterschulungen.

  3. Vorfallmanagement und Berichterstattung: Unternehmen sind verpflichtet, Sicherheitsvorfälle unverzüglich zu melden und zu dokumentieren. Zudem müssen sie in der Lage sein, auf Cyberangriffe schnell und effizient zu reagieren.

  4. Audits und Prüfungen: Sowohl interne als auch externe Audits sollen sicherstellen, dass die vorgeschriebenen Sicherheitsstandards eingehalten werden.

 

Welche Sanktionen drohen bei Nichtumsetzung der NIS2-Vorschriften?

Die NIS2-Richtlinie sieht empfindliche Strafen bei Nichteinhaltung der Vorgaben vor. Unternehmen, die die Cybersicherheitsanforderungen nicht erfüllen, drohen Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Auch Geschäftsführer können persönlich zur Rechenschaft gezogen werden, wenn sie ihre Sorgfaltspflichten im Bereich Cybersicherheit vernachlässigen.

Fazit

Mit der NIS2-Richtlinie setzt die Europäische Union ein starkes Zeichen für mehr Cybersicherheit. Unternehmen, die in den betroffenen Sektoren tätig sind, müssen die neuen Anforderungen ernst nehmen und frühzeitig Maßnahmen ergreifen, um die Sicherheitsvorgaben zu erfüllen. NIS2 bietet jedoch nicht nur Schutz vor Cyberbedrohungen, sondern auch eine Chance: Die proaktive Stärkung der Cybersicherheit kann das Vertrauen von Kunden und Partnern langfristig fördern und die Resilienz des Unternehmens deutlich erhöhen.

 

Gamechanging HR
Bist du ein Gamechanger?

Du stehst noch am Anfang oder hast bereits erste Schritte unternommen, um die HR-Welt neu und digital zu denken? Wie schätzt Du deine eigene IT-Kompetenz ein? Und ist Deine Infrastruktur bereits auf digitale HR-Prozesse vorbereitet?
Nimm jetzt an unserem kostenlosen Online Kurs teil und schätze Deinen eigenen Status Quo besser ein.

Der VEDA HR Newsletter

Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig Informationen zu Themen und Trends aus dem Bereich HR:

Der VEDA HR Blog.

Verpassen Sie keine wichtigen Beiträge – Erhalten Sie Hintergrundinformationen & News zu allen spannenden Themen!

Digitale Personalakte: Vorteile, Auswahl und Einführung
Papierstapel, verlorene Dokumente und aufwendige Suchprozesse? Damit ist jetzt Schluss! Die digitale Personalakte revolutioniert die HR-Verwaltung und sorgt für mehr Effizienz, Transparenz und Sicherheit. Welche Vorteile bringt sie konkret, und worauf sollten Unternehmen achten?
Lernen macht glücklich: Warum ein LMS Ihr Unternehmen stärkt
Mitarbeitende, die sich weiterentwickeln, sind motivierter, zufriedener und leistungsfähiger. Ein Learning Management System (LMS) hilft Unternehmen, Weiterbildung effizient zu gestalten und einen echten Wettbewerbsvorteil zu sichern. Erfahre, wie du die optimale Lernplattform findest und warum blink.it: Dein Start in die Zukunft der Weiterbildung die perfekte Wahl sein könnte!
Wird die elektronische Arbeitszeit­erfassung Pflicht? Was Sie jetzt wissen müssen
Die Arbeitszeiterfassung ist ein Thema, das Unternehmen, Arbeitnehmer und die Politik in Deutschland seit einigen Jahren beschäftigt. Spätestens seit dem Urteil des Europäischen Gerichtshofs (EuGH) im Jahr 2019 steht fest, dass Arbeitgeber die Arbeitszeiten ihrer Mitarbeitenden systematisch dokumentieren müssen.
Warum VEDA

Online-Kurs: Gamechanging HR

Jetzt kostenlos anmelden und die HR-Zukunft für dein Unternehmen entdecken.