NIS2 – Ein neues Kapitel der Cybersicherheit
Ob Wasser, Strom oder öffentliche Verkehrsmittel – kritische Infrastrukturen (KRITIS) sind essenziell für das tägliche Leben und das Funktionieren unserer Gesellschaft. Doch gerade diese lebensnotwendigen Einrichtungen stehen immer häufiger im Fokus von Cyberangriffen. Die wachsenden Bedrohungen aus dem Cyberraum und die geopolitischen Entwicklungen haben dazu geführt, dass die Europäische Union die Sicherheitsanforderungen für Unternehmen und Organisationen in diesen Bereichen erheblich verschärft. Mit der neuen EU-Richtlinie NIS2 wird die Cybersicherheit auf eine neue Stufe gehoben.
Was ist NIS2?
NIS2 ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie (Network and Information Security) aus dem Jahr 2016. Während NIS1 bereits einen Grundstein für die Cybersicherheit innerhalb der EU legte, geht NIS2 deutlich weiter. Die Richtlinie soll ein hohes, einheitliches Sicherheitsniveau für Netz- und Informationssysteme in allen EU-Mitgliedstaaten sicherstellen. Ihr Ziel ist es, sowohl die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu stärken als auch den Informationsaustausch und die Zusammenarbeit zwischen den betroffenen Akteuren zu verbessern. EU-Länder müssen die NIS2-Richtlinie bis Oktober 2024 in nationales Recht umsetzen. Welche Fristen dann zur Umsetzung für betroffene Unternehmen festgelegt werden, bleibt abzuwarten.
Warum wurde NIS2 eingeführt?
Die digitale Vernetzung hat in den letzten Jahren rasant zugenommen, und mit ihr auch die Angriffsflächen für Cyberkriminelle. Die alte NIS1-Richtlinie reichte nicht aus, um die wachsenden Bedrohungen effektiv abzuwehren. Hinzu kam, dass die Umsetzung der Richtlinie in den einzelnen EU-Staaten unterschiedlich erfolgte, was zu einer uneinheitlichen Sicherheitslage führte. Mit NIS2 soll diese Lücke geschlossen werden. Es werden strengere Sicherheitsstandards eingeführt, um Cyberangriffe frühzeitig zu erkennen und abzuwehren. So sollen Unternehmen besser auf Angriffe vorbereitet und die Resilienz gegenüber Cyberbedrohungen deutlich gesteigert werden.
Welche Unternehmen sind von NIS2 betroffen?
Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen deutlich. Neben den klassischen kritischen Infrastrukturen (KRITIS) müssen sich auch Unternehmen aus zahlreichen weiteren Sektoren an die neuen Cybersicherheitsvorgaben halten. Insgesamt sind 18 Sektoren definiert, die eine wesentliche Rolle für das Funktionieren der Gesellschaft und Wirtschaft spielen. Dazu zählen:
- Energie (z.B. Strom- und Gasversorgung)
- Transport (z.B. Luft-, Schienen- und Straßenverkehr)
- Bankenwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen (z.B. Krankenhäuser)
- Trinkwasserversorgung
- Abwasserwirtschaft
- Digitale Infrastrukturen (z.B. Rechenzentren, Cloud-Provider)
- Öffentliche Verwaltung
- Weltrauminfrastruktur (z.B. Satelliten)
- Post- und Kurierdienste
- Lebensmittelproduktion und -verteilung
- Chemische Industrie
- Herstellung kritischer Produkte
- Digitale Dienstleister (z.B. Online-Plattformen)
- Abfallwirtschaft
- Pharmazeutische Industrie
- Forschungseinrichtungen
Unternehmen in diesen Sektoren müssen die Anforderungen der NIS2-Richtlinie umsetzen, wenn sie mehr als 50 Mitarbeitende beschäftigen oder einen Jahresumsatz von über 10 Millionen Euro erzielen. Kleinere Unternehmen sind in der Regel ausgenommen, es sei denn, sie spielen eine besonders kritische Rolle in einem der genannten Sektoren. Testen Sie hier, ob Ihr Unternehmen betroffen ist: https://betroffenheitspruefung-nis-2.bsi.de
Was müssen Unternehmen tun, wenn sie von NIS2 betroffen sind?
Die NIS2-Richtlinie schreibt Unternehmen umfangreiche Maßnahmen vor, um ihre Netz- und Informationssicherheit zu verbessern. Diese Maßnahmen umfassen:
- Risikomanagement: Unternehmen müssen ein strukturiertes Risikomanagement implementieren, das potenzielle Cyberbedrohungen identifiziert, bewertet und minimiert.
- Technische und organisatorische Sicherheitsmaßnahmen: Dazu gehören unter anderem Firewalls, Verschlüsselungen und strenge Zugriffskontrollen, aber auch Notfallpläne und regelmäßige Mitarbeiterschulungen.
- Vorfallmanagement und Berichterstattung: Unternehmen sind verpflichtet, Sicherheitsvorfälle unverzüglich zu melden und zu dokumentieren. Zudem müssen sie in der Lage sein, auf Cyberangriffe schnell und effizient zu reagieren.
- Audits und Prüfungen: Sowohl interne als auch externe Audits sollen sicherstellen, dass die vorgeschriebenen Sicherheitsstandards eingehalten werden.
Welche Sanktionen drohen bei Nichtumsetzung der NIS2-Vorschriften?
Die NIS2-Richtlinie sieht empfindliche Strafen bei Nichteinhaltung der Vorgaben vor. Unternehmen, die die Cybersicherheitsanforderungen nicht erfüllen, drohen Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Auch Geschäftsführer können persönlich zur Rechenschaft gezogen werden, wenn sie ihre Sorgfaltspflichten im Bereich Cybersicherheit vernachlässigen.
Fazit
Mit der NIS2-Richtlinie setzt die Europäische Union ein starkes Zeichen für mehr Cybersicherheit. Unternehmen, die in den betroffenen Sektoren tätig sind, müssen die neuen Anforderungen ernst nehmen und frühzeitig Maßnahmen ergreifen, um die Sicherheitsvorgaben zu erfüllen. NIS2 bietet jedoch nicht nur Schutz vor Cyberbedrohungen, sondern auch eine Chance: Die proaktive Stärkung der Cybersicherheit kann das Vertrauen von Kunden und Partnern langfristig fördern und die Resilienz des Unternehmens deutlich erhöhen.
Gamechanging HR
Du stehst noch am Anfang oder hast bereits erste Schritte unternommen, um die HR-Welt neu und digital zu denken? Wie schätzt Du deine eigene IT-Kompetenz ein? Und ist Deine Infrastruktur bereits auf digitale HR-Prozesse vorbereitet?
Nimm jetzt an unserem kostenlosen Online Kurs teil und schätze Deinen eigenen Status Quo besser ein.