Die NIS2 Richtlinie ist Ihnen höchstwahrscheinlich bekannt aber wissen Sie genau, was sie beinhaltet und welche Konsequenzen die Neuerungen auch für Ihr Unternehmen haben?
"Mit der NIS-2-Richtlinie hat der europäische Gesetzgeber ein umfassendes Regelwerk zur Cybersicherheit in Unternehmen geschaffen. Sowohl der Anwendungsbereich als auch die Pflichten wurden deutlich ausgeweitet. Insbesondere für mittelständische Unternehmen ergeben sich neue Anforderungen an das Risikomanagement im Bereich der Cybersicherheit." so Rechtsanwalt Stefan Hessel, LL.M. ist Salary Partner und Head of Digital Business bei reuschlaw in Saarbrücken. Er berät Unternehmen zu komplexen Fragestellungen in den Bereichen Datenschutz, Cybersicherheit und IT-Recht. Er ist zertifizierter Datenschutzbeauftragter (TÜV) und zertifizierter ISMS-Auditor nach ISO/IEC 27001 (ICO).
Daher ist es von größter Wichtigkeit, jetzt aktiv zu werden und die erforderlichen Maßnahmen zu ergreifen. Wir stehen Ihnen dabei zur Seite und erklären Ihnen verständlich, was zu tun ist, um ein hohes gemeinsames Cyber-Sicherheits-Niveau zu gewährleisten.
Was die NIS2-Richtlinie ist
Die NIS2-Richtlinie ist eine EU-Richtlinie zur Erhöhung der Cybersicherheit in der Europäischen Union. Die Abkürzung "NIS" steht für "Network and Information Systems" (Netzwerk- und Informationssysteme). Die am 28.11.22 im Rat der EU verabschiedete NIS2-Richtlinie ist eine Aktualisierung der ersten NIS-Richtlinie aus dem Jahr 2016. Dabei wird erstmalig in “essential” (wesentlich) und “important” (wichtig) unterschieden. Alle EU-Mitgliedstaaten haben seit der Aktualisierung im November 2022 knapp 2 Jahre (21 Monate) Zeit zur Umsetzung der Vorgaben. Bis spätestens Herbst 2024 sollen die angedachten Regelungen zur Cybersicherheit gelten.
Die NIS2-Richtlinie legt die Mindestanforderungen an die Cybersicherheit von Netzen und Informationssystemen in der EU fest. Sie zielt darauf ab, die Sicherheit „kritischer Infrastrukturen“ in Europa zu erhöhen. Dabei sollen Unternehmen, die diese Infrastrukturen betreiben, verpflichtet werden, entsprechende Schutzmaßnahmen zu ergreifen. Da die Umsetzungszeit für Unternehmen relativ kurzgehalten wurde, ist es wichtig, dass Sie sich umfassend über die erforderlichen Maßnahmen für Ihre Firma informieren. Unser Blogartikel unterstützt Sie dabei.
Auf welcher Basis die NIS 2 Richtlinie entstanden ist
Die NIS2-Richtlinie wurde als Reaktion auf die wachsende Bedrohung durch Cyberangriffe auf kritische Infrastrukturen wie Energienetze, Verkehrssysteme und Finanzinstitute in der EU erstellt. Diese Art von Angriffen kann schwerwiegende Folgen haben, einschließlich der Unterbrechung wesentlicher Dienste, finanzieller Verluste und der schwerwiegenden Bedrohung der nationalen Sicherheit. Die NIS2-Richtlinie baut auf der ersten NIS-Richtlinie auf, die als Teil der europäischen Strategie für Cybersicherheit entwickelt wurde.
Die NIS2-Richtlinie wurde außerdem auf Grundlage von Empfehlungen des Europäischen Parlaments und des Rates sowie der Ergebnisse von Konsultationen mit Experten und Interessengruppen ausgearbeitet. Sie beruht auf bewährten Praktiken in Bezug auf Cybersicherheit und ist auf die Erhöhung der Sicherheit von Netzwerken und Informationssystemen in der gesamten EU ausgerichtet.
Wann die NIS2-Richtlinie in Kraft tritt
Die EU-Mitgliedstaaten müssen die Vorschriften der NIS2-Richtlinie bis spätestens Sommer / Herbst 2024 in nationales Recht umsetzen und anwenden. Der erste Entwurf wird schon im Sommer 2023 erwartet. Es ist jedoch zu beachten, dass bestimmte Bestimmungen der NIS2-Richtlinie, wie beispielsweise die Anforderungen an die Meldung von schwerwiegenden Vorfällen, bereits ab dem Tag des In-Kraft-Tretens der Richtlinie (November 2022) anwendbar sind. Unternehmen, die von der NIS2-Richtlinie betroffen sind, sollten daher sicherstellen, dass sie die erforderlichen Maßnahmen ergreifen, um die Vorschriften der Richtlinie einzuhalten und die Sicherheit ihrer Netzwerke und Informationssysteme zu gewährleisten.
Welche Sektoren die NIS2-Richtlinie betrifft und für wen sie interessant ist
Die NIS2-Richtlinie gilt nicht nur für Unternehmen, die „kritische Infrastrukturen“ betreiben (KRITIS), sondern auch für digitale Dienstleister, die als Teil der EU-weiten Strategie für Cybersicherheit als entscheidend für die Wahrung der Sicherheit von Netzwerken und Informationssystemen angesehen werden. Es sind 18 definierte NIS2 Sektoren die den KRITIS-Sektoren ähnlich sind:
Was der Unterschied zwischen einer Richtlinie und einem Gesetz ist
Eine Richtlinie und ein Gesetz sind zwei unterschiedliche Arten von Rechtsvorschriften, die von Regierungen und Behörden erlassen werden.
Eine Richtlinie ist eine Art von Rechtsakt, der von der Europäischen Union erlassen wird. Sie gibt den Mitgliedstaaten der Europäischen Union Anweisungen, wie sie eine bestimmte politische Zielsetzung erreichen können. Das bedeutet, dass die EU-Richtlinien verbindliche Vorgaben für die nationalen Gesetzgeber der Mitgliedstaaten darstellen, die diese in nationales Recht umsetzen müssen. Richtlinien haben zunächst keinen unmittelbaren rechtlichen Effekt auf Einzelpersonen oder Unternehmen, sondern sind vielmehr an die Mitgliedstaaten gerichtet, die verpflichtet sind, die Richtlinien umzusetzen.
Ein Gesetz hingegen ist eine formelle Rechtsvorschrift, die von einer staatlichen Stelle erlassen wird. Gesetze können von verschiedenen staatlichen Organen erlassen werden, darunter Parlamente, Regierungen, Verwaltungsbehörden oder Gerichte. Gesetze sind verbindliche Vorschriften, die für alle Bürgerinnen und Bürger sowie Unternehmen gelten und von diesen befolgt werden müssen.
Insgesamt kann man sagen, dass eine Richtlinie eine Vorgabe für die Umsetzung von politischen Zielen darstellt, während ein Gesetz eine formelle Rechtsvorschrift ist, die unmittelbar und verbindlich für alle gilt.
Die NIS2-Richtlinie ist eine seit November 2022 geltende europäische Rechtsvorschrift, die von allen EU-Mitgliedstaaten bis 2024 in nationales Recht umgesetzt werden muss. Jedes Land hat jedoch die Möglichkeit, seine eigene nationale Gesetzgebung zur Umsetzung der Richtlinie zu erlassen.
Dyrisk Expertentipp: Zwar ist die Richtlinie noch kein Gesetz, aber indem Sie die erhöhten Anforderungen an Ihre IT-Sicherheit kennen, haben Sie schon frühzeitig die Möglichkeit, sich mit ihrem betroffenen Unternehmen auf die Neuerungen vorzubereiten und Zeitdruck zu vermeiden.
Was das für Ihr Unternehmen bedeutet? Jetzt Termin vereinbaren:
Welche Maßnahmen durch die NIS2-Richtlinie erforderlich werden
Die NIS 2-Richtlinie legt Anforderungen an betroffene Betreiber und Dienstleister fest, um deren Sicherheit und Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen. Die Einhaltung der Anforderungen soll die Geschäftsführung von Betreibern gemäß nationaler Gesetzgebung überwachen. Die Geschäftsführung soll bei Nichteinhaltung der Anforderungen zudem haftbar gemacht werden.
Zu den Maßnahmen gehört unter anderem:
- Richtlinien für Risiken und Informationssicherheit
- Prävention, Detektion und Bewältigung von Cyber Incidents
- Sicherheit in der Lieferkette bis zur sicheren Entwicklung bei Zulieferern
- Vorgaben zur Messung von Cyber und Risiko Maßnahmen
- Asset Management
- Einsatz gesicherter Notfall-Kommunikations-Systeme
Zukunftsausblick und detaillierte Maßnahmen
Was genau hinsichtlich des Cyber Risk Managements und der NIS2-Richtlinie zu tun ist?
Im Folgenden sind 11 Punkte aufgeführt, die Sie als Unternehmen in Bezug auf das Cyber Risk Management und die NIS 2-Richtlinie beachten sollten:
"Bereits Unternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz oder einer Jahresbilanzsumme von mehr als 10 Millionen Euro müssen aktiv werden, wenn sie einem der kritischen Sektoren angehören." so Rechtsanwalt Stefan Hessel. Auch neue Sektoren wie beispielsweise Abwasserwerke oder IKT-Verwaltungsdienste gehören seit Inkrafttreten der neuen Richtlinie dazu. Selbiges gilt für die „wichtigen Sektoren“, zu denen zukünftig auch die Warenherstellung (z.B. PC-Produktion) oder Branchen wie Gesundheitswesen, Maschinenbau und Mobility gehören.
Führen Sie eine Risikobewertung durch, um potenzielle Risiken für ihre Netz- und Informationssysteme zu identifizieren. Hierbei sollten Sie nicht nur Ihre technische Infrastruktur, sondern auch Ihre Mitarbeiter und deren Kompetenzen berücksichtigen. In Art. 21 der NIS2-Richtlinie wird festgelegt, dass Sie als betroffene Einrichtung Ihre Sicherheitsstandards überprüfen und dementsprechend operative Maßnahmen zur Beherrschung der Cybersicherheitsrisiken ergreifen müssen, um Sicherheitsvorfälle zu vermeiden. Die folgend aufgeführten Punkte gehören dazu.
Führen Sie in Ihrer Firma ein Informationssicherheits-Management-System (ISMS) ein, mit dem Sie geeignete Sicherheitsmaßnahmen treffen und Ihre potenziellen Risiken minimieren. Dazu gehören: Risikoanalysen und Sicherheitskonzepte, die Bewältigung von Sicherheitsvorfällen, ein Backup- und Krisenmanagement, die Gewährleistung Cder Sicherheit in der Lieferkette, Cybersicherheits-Schulungen und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen.
Dafür ist ein Incident Management System denkbar.
Etablieren Sie in Ihrem Unternehmen ein Incident-Management-Verfahren. So reagieren Sie im Falle eines Cyberangriffs schnell und effektiv. Definieren Sie einen klaren Prozess dafür, um mögliche Schäden zu begrenzen und die Wiederherstellung der Systeme zu erleichtern. Ein gutes Incident Management beinhaltet alle organisatorischen, rechtlichen und technischen Abläufe als Reaktion auf mögliche Sicherheitsstörungen inklusive der Ergreifung aller nötigen Maßnahmen. Oberstes Ziel ist stets die Wiederherstellung der Services.
Erstellen Sie einen Notfallplan. Im Falle eines Cyberangriffs oder anderer Störungen gibt Ihr Notfallplan einen klaren Handlungsablauf vor. Bedenken Sie verschiedene Szenarien und geben Sie spezifische Anweisungen.
Implementieren Sie in Ihrer Firma ein Verfahren zur Meldung von Sicherheitsvorfällen. So reagieren Sie im Falle eines Angriffs schnell und minimieren die Auswirkungen.
Beachten Sie, dass die zentrale Verantwortung für das Risikomanagement nach der NIS2-Richtlinie bei den leitenden Positionen Ihres Unternehmens liegt. Sie sind für die Umsetzung der Sicherheitsmaßnahmen im Bereich IT-Security verantwortlich. Nehmen Sie als Führungskraft an IT-Schulungen teil.
Schulen Sie weiterhin Ihre Mitarbeitenden in Bezug auf die NIS2-Richtlinie und schaffen Sie Awareness. So schaffen sie Bewusstsein und stellen sicher, wann wer welche Maßnahmen im Unternehmen zu ergreifen hat.
Überprüfen Sie regelmäßig Ihre Netz- und Informationssysteme. Nur so stellen Sie sicher, dass Sie den Anforderungen der NIS 2-Richtlinie entsprechend und ausreichend geschützt sind.
Jeden Sicherheitsvorfall mit erheblichen Auswirkungen auf Ihre Dienste müssen Sie melden. Wiegt Ihr Sicherheitsvorfall besonders schwer, müssen Sie die Nutzer Ihrer Dienstleistungen umgehend benachrichtigen, möglicherweise sogar die Öffentlichkeit. Schaffen Sie deshalb eine effiziente Krisenkommunikation in Ihrem Haus und proben Sie den Ernstfall.
Zukünftig wird es weitere Kontroll- und Sanktionsmaßnahmen seitens der nationalen Behörden geben, die Sie vermeiden sollten. Dazu gehören:
- Vor-Ort-Kontrollen
- Sicherheitsprüfungen
- Anweisungen oder
- Anordnungen.
Bei Verstößen werden bis zu 10 Mio. € Bußgeld möglich sein, alternativ 2% des gesamten Jahresumsatzes weltweit. Derzeit ist das Bundesamt für Sicherheit zwar schon befugt, Produktwarnungen auszusprechen, künftig wird es aber auch häufiger öffentliche Warnungen geben. Vermeiden Sie diese Belastung für Ihr Unternehmen.
Dyrisk Expertentipp: Aufgrund des engen Zeitfensters zur Umsetzung der Maßnahmen der NIS2-Richtlinien bis 2024 ist es bereits jetzt sinnvoll, sich mit den hier aufgeführten Schritten zu beschäftigen. Starten Sie frühzeitig mit allen Maßnahmen. Holen Sie sich dafür professionelle Dienstleister zur Umsetzung und Einhaltung Ihrer IT-Sicherheitsmaßnahmen an Bord.
Nichts mehr verpassen und rund um das Thema NIS2-Richtlinie informiert bleiben?
Jetzt den Dyrisk Newsletter abonnieren:
