Die NIS2-Richtlinie, die am 16. Januar 2023 in Kraft trat, ist eine überarbeitete Richtlinie zur Netzwerk- und Informationssicherheit. Sie ersetzt die vorherige NIS1-Richtlinie von 2016 und muss von den Mitgliedsstaaten der EU bis Oktober 2024 in nationales Recht umgesetzt werden. Doch was bedeutet das für Unternehmen in Deutschland? Wer ist betroffen und was muss jetzt gemacht werden?
Wer ist betroffen?
Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen deutlich. Neben den bisherigen Sektoren kommen neue hinzu, darunter Abwasser, öffentliche Verwaltung und Raumfahrt. Insgesamt gibt es nun 11 sogenannte Wesentliche Einrichtungen (Essential Entities), die von der Richtlinie betroffen sind.
Zudem sind in der NIS2-Richtlinie die meisten "Important Entities" neu. Die Kategorisierung in Wesentliche Einrichtungen und Wichtige Einrichtungen entspricht dabei einer Abstufung hinsichtlich der Kritikalität und des Grades der Abhängigkeit anderer Sektoren.
Entscheidend dafür, ob ein Unternehmen aus den oben aufgeführten Sektoren auch tatsächlich unter die Verordnung fällt, ist vor allem die Unternehmensgröße. Demnach sind alle Unternehmen ab 50 Mitarbeitenden und einem Jahresumsatz von mindestens 10 Millionen Euro von der Regulierung betroffen. Kleinere Unternehmen mit bis maximal 49 Mitarbeitenden und einem Jahresumsatz unter 10 Millionen Euro fallen nicht unter die EU-Richtlinie.
Was muss jetzt gemacht werden?
Alle Unternehmen, die unter die NIS2-Richtlinie fallen, müssen eine Reihe von Cybersecurity-Maßnahmen zum Schutz ihrer IT-Infrastruktur, Netzwerke und kritischen Dienstleistungen umsetzen. Auch unterliegen sie bestimmten Meldepflichten. Dies gilt für alle regulierten Unternehmen, unabhängig davon, in welchen Sektoren und Bereichen sie tätig sind und auch, wie bereits erwähnt, unabhängig von der Einordnung in Wesentliche oder Wichtige Einrichtungen.
Für Unternehmen und Organisationen, die bereits unter die Bestimmungen von NIS1 fallen, ändert sich hinsichtlich Cybersecurity-Maßnahmen wenig. Neu hinzugekommen ist in NIS2 die Forderung, die Sicherheit in der gesamten Lieferkette im Blick zu behalten.
Was bedeutet das für Unternehmen in Deutschland?
Deutschland muss wie alle anderen EU-Mitgliedsstaaten die NIS2-Vorgaben bis Oktober 2024 in nationales Recht umsetzen. Unternehmen, die bereits den Regularien von NIS1 unterliegen, werden dann mit schärferen Kontrollen und Nachweispflichten sowie deutlich höheren möglichen Sanktionen zu rechnen haben.
Zahlreiche Unternehmen, die bisher nicht vom IT-Sicherheitsgesetz 2.0 betroffen waren, werden ab Ende 2024 den Regularien des dann wahrscheinlich neuen IT-Sicherheitsgesetzes 3.0 unterliegen. Für alle bisher unregulierten Unternehmen und Organisationen empfiehlt sich daher zunächst eine Prüfung, ob dies auch auf sie zutrifft. Daraufhin sollten die nötigen Maßnahmen ermittelt und implementiert werden, die erforderlich sind, um die NIS2-Verpflichtungen zu erfüllen.
Ich hoffe, dieser Blogbeitrag gibt einen umfassenden Überblick über die NIS2-Richtlinie und ihre Auswirkungen auf Unternehmen in Deutschland. Es ist wichtig, dass sich Unternehmen frühzeitig mit den Anforderungen der NIS2-Richtlinie auseinandersetzen und entsprechende Maßnahmen ergreifen, um die Compliance sicherzustellen.
Mit welchen Strafen muss gerechnet werden?
Die NIS2-Richtlinie sieht erhebliche Strafen für Unternehmen vor, die die Anforderungen nicht erfüllen. Für "wesentliche Unternehmen" können die Sanktionen bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes der jeweiligen Einrichtung betragen, je nachdem, welcher Betrag höher ist.
Für "wichtige Unternehmen" können die Bußgelder bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
Es ist wichtig zu beachten, dass die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften können. Die Obergrenze für diese Haftung entspricht 2 % des globalen Jahresumsatzes des Unternehmens.
Was bedeutet NIS2 für die Lieferkette?
Die NIS2-Richtlinie legt einen besonderen Fokus auf die Sicherheit in der gesamten Lieferkette. Unternehmen, die unter die NIS2-Richtlinie fallen, sind verpflichtet, die Risiken zu bewerten, die ihre Lieferanten für die Sicherheit ihrer Netz- und Informationssysteme darstellen.
Dies bedeutet, dass Unternehmen nicht nur ihre eigenen Systeme und Prozesse sicher gestalten müssen, sondern auch sicherstellen müssen, dass ihre Lieferanten und Partner ähnliche Sicherheitsstandards einhalten. Dies kann beinhalten, dass Lieferanten aufgefordert werden, bestimmte Sicherheitsmaßnahmen zu ergreifen, Sicherheitsaudits durchzuführen oder Sicherheitszertifikate vorzulegen.
Die NIS2-Richtlinie betont die Notwendigkeit von Maßnahmen in Bereichen wie Cyber-Risikomanagement und Sicherheit in der Lieferkette. Unternehmen müssen auch Maßnahmen in Bezug auf Business Continuity Management, Verschlüsselung und Zutrittsbeschränkungen ergreifen. Darüber hinaus sind sie verpflichtet, an die Behörden zu berichten und Abhilfemaßnahmen zu ergreifen.
Es ist wichtig zu beachten, dass die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften können. Die Obergrenze für diese Haftung entspricht 2 % des globalen Jahresumsatzes des Unternehmens.
Diese Anforderungen unterstreichen die Bedeutung, die die NIS2-Richtlinie der Sicherheit in der gesamten Lieferkette beimisst. Angesichts der zunehmenden Vernetzung und Abhängigkeit von Drittanbietern kann ein Sicherheitsvorfall bei einem Lieferanten erhebliche Auswirkungen auf ein Unternehmen haben. Daher ist es wichtig, dass Unternehmen ihre Lieferketten als Teil ihrer allgemeinen Cybersicherheitsstrategie betrachten.
Wir bei 2PRO beraten Sie gerne zu diesem Thema! Unsere Erstberatung ist kostenfrei!
𝐉𝐞𝐭𝐳𝐭 𝐊𝐨𝐧𝐭𝐚𝐤𝐭 𝐚𝐮𝐟𝐧𝐞𝐡𝐦𝐞𝐧:
☎ +49 (0) 531 / 35 57 21 60
Auflistung aller Branchen:
Energie: Strom, Öl, Gas
Verkehr: Luft, Schiene, Wasser, Straße
Bankwesen
Finanzmarktinfrastrukturen
Gesundheitssektor
Trinkwasserversorgung
Digitale Infrastrukturen: Internet Exchange Points (IXPs), Domain Name System-Dienstanbieter (DNS), Top-Level-Domain-Name-Registries (TLD)
Digitale Dienstleistungen: Online-Marktplätze, Online-Suchmaschinen, Cloud-Computing-Dienste
Öffentliche Verwaltung
Raumfahrt
Abfallwirtschaft
Chemische Industrie
Lebensmittelproduktion, -verarbeitung und -vertrieb
Medizin- und Gesundheitsprodukte, -versorgung und -ausrüstung
Maschinenbau und Anlagenbau
Automobilindustrie
Papierindustrie
Versand und Verpackung
Metallindustrie
Zementindustrie
Kunststoffproduktion
Pharmazeutische Industrie
Textilindustrie
Die Aufzählung sind Beispiele und hat kein Recht auf Vollständigkeit!
Comments