Wir erheben Ihre Daten gemäß Art. 6 Abs. 1 Buchst. b) und f) DSGVO zur ordnungsgemäßen Abwicklung unserer Geschäftsvorgänge sowie zur Mitteilung von Produktinformationen. Wir informieren Sie regelmäßig über aktuelle, themenbezogene, kostenpflichtige Verlagsprodukte per E-Mail, Fax, Telefon oder Post. Sie können jederzeit der Verwendung Ihrer Daten für Werbezwecke zu den ortsüblichen Basistarifen widersprechen, indem Sie den Abmeldelink nutzen, der am Ende einer jeden E-Mail enthalten ist. Oder schreiben Sie eine E-Mail an [email protected]. Weitere Informationen finden Sie in unserer Datenschutzerklärung unter akademie-herkert.de/datenschutz
Im nächsten Schritt erhalten Sie eine Bestätigungsmail an die angegebene E-Mail-Adresse. Hiermit wird geprüft, ob es sich um eine korrekte E-Mail-Adresse handelt. Um Ihnen die gewünschten Informationen zukommen lassen zu können, klicken Sie bitte jetzt den in der Bestätigungsmail enthaltenen Link. Falls die Bestätigungsmail Ihr Postfach nicht erreicht hat, kann es sein, dass diese irrtümlicherweise in Ihrem Spam-Ordner gelandet ist. Überprüfen Sie daher Ihren Spam-Ordner und Ihre Spam-Einstellungen.
Hier ist leider etwas schiefgelaufen. Bitte versuchen Sie es nochmals nachdem Sie die Seite neu geladen haben. Sollte der Fehler weiterhin bestehen, kontaktieren Sie bitte unseren Kundenservice per E-Mail an [email protected] oder unter 08233 381-123 (Mo - Do 7.30 - 17.00 Uhr, Fr 7.30 - 15.00 Uhr).
Die europäische NIS2-Richtlinie trat am 16.01.2023 in Kraft. Bis 17.10.2024 haben alle Mitgliedstaaten Zeit, diese in nationales Recht zu übertragen. Mit dem NIS2-Umsetzungsgesetz, dessen Referentenentwurf im Juli 2023 die erste Änderung widerfahren hat, kommen die rechtlichen Rahmenbedingungen zur Richtlinie zur Netz- und Informationssicherheit Teil 2 im Laufe von 2024. Im Fokus stehen die Betreiber von grundlegenden Diensten (OES) und die Anbieter von digitalen Diensten (DSP). Welche Sektoren durch NIS2 fortan zur kritischen Infrastruktur gehören und welche Änderungen auf Unternehmen zukommen, lesen Sie in unserem Fachartikel.
© momius – stock.adobe.com
Inhaltsverzeichnis
Besonders im Fokus der NIS2-Richtlinien stehen die Sicherheit von (digitalen) Lieferketten, der Schutz der europäischen Cybersecurity-Infrastruktur, Meldepflichten und -fristen, gleichmäßige Aufsicht und harmonisierte Sanktionen europaweit. Gleichzeitig sollen Bevölkerung, staatliche Institutionen und kritische Infrastruktur wie Stromerzeugung, Wasserwerke und Krankenhäuser mehr vor Cyberkriminalität geschützt werden. Wobei für KRITIS einige Änderungen anfallen, mehr dazu im Laufe dieses Artikels.
Die Argumentation ist dabei sowohl wirtschaftlich wie sozialpolitisch. Denn die Bedrohung und vor allem die Kosten durch Cyberangriffe haben teils starke Folgen für beide. So ist es auf lange Sicht erheblich günstiger, den unionsweiten Schutz um ein Vielfaches zu erweitern als unnötig hohe Schadenssummen im Falle von Cyberangriffen zu bezahlen. Bei letzterem handelt es sich nach wie vor um die lukrativste Art der digitalen Kriminalität. So sei die Monetarisierung dieser Art der Cyberkriminalität laut EU Agency for Network Information Security (ENISA) deutlich angestiegen. Das geht einher mit dem explosionsartigen Anstieg des Online-Handels und des kontaktlosen Zahlens innerhalb der letzten 3–4 Jahre.
Laut Cybersecurity Ventures hat sich die Schadenshöhe in Folge von Cyberkriminalität innerhalb der letzten Jahre mehr als verdreißigfacht. Die Mittel zum Zweck der Kriminellen waren dabei meist Hacking, Schadsoftware und größtenteils Phishing. Deshalb wurde bereits basierend auf der NIS in den meisten größeren Unternehmen Cybersecurity Awareness Trainings eingeführt. Dabei liegt der Fokus auf der Sensibilisierung der eigenen Mitarbeiter gegenüber den erwähnten möglichen Angriffsmethoden.
Eine Antwort auf diese größer werdende Bedrohung war und bleibt die Etablierung und der Ausbau länderübergreifender Organisations- und Kontrollinstanzen. So wurde bereits 2018 die NIS-Cooperation Group und das Netzwerk der Computer Security Incident Response Teams (CSIRTs) geschaffen und soll durch NIS2 noch weiter gefördert werden. Gleichzeitig soll nun vieles einfacher und unbürokratischer ablaufen, indem über Meldeplattformen Angriffe einfach und unkompliziert gemeldet werden können.
Hauptziele der NIS2-Richtlinie sind neben der Vereinheitlichung der Sicherheitsmaßnahmen der Mitgliedstaaten:
Grundsätzlich wird NIS2 alle mittleren und großen Unternehmen in die Verantwortung nehmen, die mit ihrer geschäftlichen Tätigkeit auf dem sog. Europäischen Binnenmarkt agieren. Die Größe des Unternehmens ist nur dann nicht ausschlaggebend, wenn die Unternehmen eine „hohe Kritikalität“ auszeichnet. D.h. aber, dass auch Unternehmen, die außerhalb der EU ihren Sitz haben und auf dem EU-Markt agieren, unter die NIS2 fallen.
Die Schwellenwerte, wonach die unterschiedlichen Unternehmen konformpflichtig werden lauten:
Ein Schlagwort der NIS2-Richtlinie ist Resilienz, nicht nur der kritischen Infrastruktur, sondern aller Unternehmen – gleich welcher Größe – gegenüber Cyberkriminalität. Doch was bedeutet dies für die einzelnen Unternehmen, insbesondere des Mittelstandes?
Überall dort, wo Prozesse automatisiert stattfinden und ein hohes Maß an Vernetzung herrscht, besteht ein Risiko eines Cyberangriffs. Bislang wurden Cybersicherheitsmaßnahmen vor allem in der Industrie eher pro forma durchgeführt, wenig bis gar nicht aktualisiert und überprüft. Das soll durch die NIS 2 anders werden und Unternehmen größenunabhängig konstant auf ihre Sicherheit hin überprüft werden. Sollten bei einer derartigen Bestandsaufnahme grundlegende Mängel des Cyberschutzes festgestellt werden, drohen mit Umsetzung der NIS2 erhebliche Bußgelder.
Gleichzeitig soll Unternehmen die Umsetzung eines Mindestsicherheitsstandards durch die Vorlage eines Risikomanagementkonzepts erleichtert werden. Bei Unternehmen der kritischen Infrastruktur werden Unternehmen zusätzlich dazu verpflichtet, die Cybersicherheit von Lieferketten zu gewährleisten.
→ Wichtig: In der Praxis wird IT-Sicherheit damit als noch wesentlicherer Teil der Unternehmenssteuerung auftreten.
Neu an der NIS2-Richtlinie ist, dass Sektoren künftig in essentielle und wichtige Gruppen unterteilt und damit einfacher vordefinierte Sicherheits-Maßnahmenpakete umgesetzt werden können.
Rechtskonforme Umsetzung der neuen Cybersecurity-Anforderungen
Unter die essentiellen Sektoren fallen demnach Energie, (digitale) Infrastruktur, Finanzen, Gesundheit, bürokratische Verwaltung und ein (zukünftig) stark umkämpfter Markt, der Weltraum. Wichtig aber nicht unabdingbar für eine momentane, zeitlich-begrenzte Sicherheit sind hingegen Logistik, Abfallbeseitigung, Nahrungsmittel, (chemische) Industrie, digitale Dienste (SaaS) sowie Forschung. In den ein oder anderen Teilbereichen wird es mit ziemlicher Wahrscheinlichkeit zu Schnittmengen kommen – wie diese in der Praxis ausfallen werden und was dies für die Anwendung der NIS2-Richtlinie bedeutet, wird sich zeigen.
Veranstaltungsempfehlung Mit dem Online-Live-Seminar "Die neue NIS2-Richtlinie" bereiten unsere Experten ihr Unternehmen in nur 4 Stunden auf die rechtlichen Änderungen in der Cybersicherheit vor und erarbeiten mit Ihnen zusammen entsprechende Maßnahmenpakete. Stellen sich jetzt ihr KRITIS-Unternehmen zukunftsorientiert und rechtssicher auf!
Veranstaltungsempfehlung
Mit dem Online-Live-Seminar "Die neue NIS2-Richtlinie" bereiten unsere Experten ihr Unternehmen in nur 4 Stunden auf die rechtlichen Änderungen in der Cybersicherheit vor und erarbeiten mit Ihnen zusammen entsprechende Maßnahmenpakete. Stellen sich jetzt ihr KRITIS-Unternehmen zukunftsorientiert und rechtssicher auf!
Bei dem NIS2UmsuCG handelt es sich um ein Änderungsgesetz, dass Auswirkungen auf unterschiedliche Gesetze nach sich zieht. Besonders die deutsche KRITIS-Regulierung wird durch das Umsetzungsgesetz verändert. Denn fortan werden die Sektoren der Kritischen Infrastruktur erweitert. Damit einhergehend verschwindet die Bezeichnung „im besonderen öffentlichen Interesse“ und wurde wie o.g. in essentiell und wichtig unterteilt.
Durch das Umsetzungsgesetz fallen die Pflichten für KRITIS-Unternehmen vor allem in puncto Cybersecurity und Awareness detaillierter aus als bisher. Was bislang auf starke Kritik stößt ist die geplante persönliche Haftung des Geschäftsführers bei fahrlässiger oder mutwilliger Zuwiderhandlung.
Bereits jetzt können Unternehmen eine von der NIS2 geforderte IT-Sicherheitsorganisation etablieren, um dadurch die betriebseigenen Cybersecurity-Risiken zu erkennen. Denn auf diese Weise werden bereits vor dem Stichtag des Inkrafttretens des NIS2-Umsetzungsgesetzes Risiken und Schwachstellen erkannt und können direkt behoben werden. So lassen sich Haftungsrisiken und mögliche Bußgelder vermindern/verhindern.
Denn im Falle einer unzureichenden Cybersicherheit und Nonkonformität mit NIS2 drohen Unternehmen z.T. hohe Verwaltungsstrafen. Diese können bis zu 10 Mio. Euro oder 2 Prozent des weltweit erzielten Jahresumsatzes des vorherigen Geschäftsjahrs betragen.
Augsburg, 22.03.2024Online-Redaktion AKADEMIE HERKERT
Quellen: www.europaparl.europa.eu, www.germany.representation.ec.europa.eu