Neuigkeiten & Fachwissen
22.03.2024 | Datenschutz & IT-Sicherheit

Die europäische NIS2-Richtlinie trat am 16.01.2023 in Kraft. Bis 17.10.2024 haben alle Mitgliedstaaten Zeit, diese in nationales Recht zu übertragen. Mit dem NIS2-Umsetzungsgesetz, dessen Referentenentwurf im Juli 2023 die erste Änderung widerfahren hat, kommen die rechtlichen Rahmenbedingungen zur Richtlinie zur Netz- und Informationssicherheit Teil 2 im Laufe von 2024. Im Fokus stehen die Betreiber von grundlegenden Diensten (OES) und die Anbieter von digitalen Diensten (DSP). Welche Sektoren durch NIS2 fortan zur kritischen Infrastruktur gehören und welche Änderungen auf Unternehmen zukommen, lesen Sie in unserem Fachartikel.

NIS Forum Verlag Herkert GmbH

© momius – stock.adobe.com

Inhaltsverzeichnis

  1. NIS2 – Inhalte und Ziele
  2. Für wen gilt NIS2?
  3. Was bedeutet NIS2 für den Mittelstand?
  4. "Essentiell" und "important" als Sektorenklassifikationen
  5. NIS2 in nationales Recht: Das NIS2-Umsetzungsgesetz
  6. Fazit: Wie stellen sich Unternehmen bereits jetzt rechtskonform und zukunftsweisend auf?

NIS2 – Inhalte und Ziele? 

Besonders im Fokus der NIS2-Richtlinien stehen die Sicherheit von (digitalen) Lieferketten, der Schutz der europäischen Cybersecurity-Infrastruktur, Meldepflichten und -fristen, gleichmäßige Aufsicht und harmonisierte Sanktionen europaweit. Gleichzeitig sollen Bevölkerung, staatliche Institutionen und kritische Infrastruktur wie Stromerzeugung, Wasserwerke und Krankenhäuser mehr vor Cyberkriminalität geschützt werden. Wobei für KRITIS einige Änderungen anfallen, mehr dazu im Laufe dieses Artikels.

Die Argumentation ist dabei sowohl wirtschaftlich wie sozialpolitisch.  Denn die Bedrohung und vor allem die Kosten durch Cyberangriffe haben teils starke Folgen für beide. So ist es auf lange Sicht erheblich günstiger, den unionsweiten Schutz um ein Vielfaches zu erweitern als unnötig hohe Schadenssummen im Falle von Cyberangriffen zu bezahlen. Bei letzterem handelt es sich nach wie vor um die lukrativste Art der digitalen Kriminalität. So sei die Monetarisierung dieser Art der Cyberkriminalität laut EU Agency for Network Information Security (ENISA) deutlich angestiegen. Das geht einher mit dem explosionsartigen Anstieg des Online-Handels und des kontaktlosen Zahlens innerhalb der letzten 3–4 Jahre.

Das Risiko der Cyberkriminalität

Laut Cybersecurity Ventures hat sich die Schadenshöhe in Folge von Cyberkriminalität innerhalb der letzten Jahre mehr als verdreißigfacht. Die Mittel zum Zweck der Kriminellen waren dabei meist Hacking, Schadsoftware und größtenteils Phishing. Deshalb wurde bereits basierend auf der NIS in den meisten größeren Unternehmen Cybersecurity Awareness Trainings eingeführt. Dabei liegt der Fokus auf der Sensibilisierung der eigenen Mitarbeiter gegenüber den erwähnten möglichen Angriffsmethoden.

Eine Antwort auf diese größer werdende Bedrohung war und bleibt die Etablierung und der Ausbau länderübergreifender Organisations- und Kontrollinstanzen. So wurde bereits 2018 die NIS-Cooperation Group und das Netzwerk der Computer Security Incident Response Teams (CSIRTs) geschaffen und soll durch NIS2 noch weiter gefördert werden. Gleichzeitig soll nun vieles einfacher und unbürokratischer ablaufen, indem über Meldeplattformen Angriffe einfach und unkompliziert gemeldet werden können.

NIS2-Hauptziele

Hauptziele der NIS2-Richtlinie sind neben der Vereinheitlichung der Sicherheitsmaßnahmen der Mitgliedstaaten:

  • Widerstandsfähigkeit gegen digitale Angriffe
  • Harmonisierte europäische Mindestsicherheitsstandards und technische Regeln
  • Kriseninfrastruktur zu etablieren, die transnational schnell und unkompliziert unterstützen kann.

Für wen gilt NIS2?

Grundsätzlich wird NIS2 alle mittleren und großen Unternehmen in die Verantwortung nehmen, die mit ihrer geschäftlichen Tätigkeit auf dem sog. Europäischen Binnenmarkt agieren. Die Größe des Unternehmens ist nur dann nicht ausschlaggebend, wenn die Unternehmen eine „hohe Kritikalität“ auszeichnet. D.h. aber, dass auch Unternehmen, die außerhalb der EU ihren Sitz haben und auf dem EU-Markt agieren, unter die NIS2 fallen.

Die Schwellenwerte, wonach die unterschiedlichen Unternehmen konformpflichtig werden lauten:

  • Mehr als 50 Mitarbeiter
  • Mehr als 10 Mio. Euro Umsatz

Was bedeutet NIS2 für den Mittelstand?

Ein Schlagwort der NIS2-Richtlinie ist Resilienz, nicht nur der kritischen Infrastruktur, sondern aller Unternehmen – gleich welcher Größe – gegenüber Cyberkriminalität. Doch was bedeutet dies für die einzelnen Unternehmen, insbesondere des Mittelstandes?

Überall dort, wo Prozesse automatisiert stattfinden und ein hohes Maß an Vernetzung herrscht, besteht ein Risiko eines Cyberangriffs. Bislang wurden Cybersicherheitsmaßnahmen vor allem in der Industrie eher pro forma durchgeführt, wenig bis gar nicht aktualisiert und überprüft. Das soll durch die NIS 2 anders werden und Unternehmen größenunabhängig konstant auf ihre Sicherheit hin überprüft werden. Sollten bei einer derartigen Bestandsaufnahme grundlegende Mängel des Cyberschutzes festgestellt werden, drohen mit Umsetzung der NIS2 erhebliche Bußgelder.

Gleichzeitig soll Unternehmen die Umsetzung eines Mindestsicherheitsstandards durch die Vorlage eines Risikomanagementkonzepts erleichtert werden. Bei Unternehmen der kritischen Infrastruktur werden Unternehmen zusätzlich dazu verpflichtet, die Cybersicherheit von Lieferketten zu gewährleisten.

→ Wichtig: In der Praxis wird IT-Sicherheit damit als noch wesentlicherer Teil der Unternehmenssteuerung auftreten.

Neu an der NIS2-Richtlinie ist, dass Sektoren künftig in essentielle und wichtige Gruppen unterteilt und damit einfacher vordefinierte Sicherheits-Maßnahmenpakete umgesetzt werden können.

Rechtskonforme Umsetzung der neuen Cybersecurity-Anforderungen

Online-Live-Seminar, Dauer 4 Stunden
6 Termine ab 17.07.2024
Online

"Essentiell" und "important" als Sektorenklassifikationen

Essential Important
  • Energiewesen
  • Transportwesen
  • Bankwesen
  • Finanzmärkte
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Digitale INfrastruktur
  • ICT-Service Management (B2B)
  • Öffentliche Verwaltung
  • Weltraum
  • Post- und Kurierdienste
  • Abfallmanagement
  • Chemikalien
  • Lebensmittel
  • Industrie
  • Digitale Dienste
  • Forschung

Unter die essentiellen Sektoren fallen demnach Energie, (digitale) Infrastruktur, Finanzen, Gesundheit, bürokratische Verwaltung und ein (zukünftig) stark umkämpfter Markt, der Weltraum. Wichtig aber nicht unabdingbar für eine momentane, zeitlich-begrenzte Sicherheit sind hingegen Logistik, Abfallbeseitigung, Nahrungsmittel, (chemische) Industrie, digitale Dienste (SaaS) sowie Forschung. In den ein oder anderen Teilbereichen wird es mit ziemlicher Wahrscheinlichkeit zu Schnittmengen kommen – wie diese in der Praxis ausfallen werden und was dies für die Anwendung der NIS2-Richtlinie bedeutet, wird sich zeigen.

Veranstaltungsempfehlung

Mit dem Online-Live-Seminar "Die neue NIS2-Richtlinie" bereiten unsere Experten ihr Unternehmen in nur 4 Stunden auf die rechtlichen Änderungen in der Cybersicherheit vor und erarbeiten mit Ihnen zusammen entsprechende Maßnahmenpakete. Stellen sich jetzt ihr KRITIS-Unternehmen zukunftsorientiert und rechtssicher auf!

NIS2 in nationales Recht: das NIS2-Umsetzungsgesetz

Bei dem NIS2UmsuCG handelt es sich um ein Änderungsgesetz, dass Auswirkungen auf unterschiedliche Gesetze nach sich zieht. Besonders die deutsche KRITIS-Regulierung wird durch das Umsetzungsgesetz verändert. Denn fortan werden die Sektoren der Kritischen Infrastruktur erweitert. Damit einhergehend verschwindet die Bezeichnung „im besonderen öffentlichen Interesse“ und wurde wie o.g. in essentiell und wichtig unterteilt.

Durch das Umsetzungsgesetz fallen die Pflichten für KRITIS-Unternehmen vor allem in puncto Cybersecurity und Awareness detaillierter aus als bisher. Was bislang auf starke Kritik stößt ist die geplante persönliche Haftung des Geschäftsführers bei fahrlässiger oder mutwilliger Zuwiderhandlung.

Fazit – wie stellen sich Unternehmen bereits jetzt rechtskonform und zukunftsweisend auf?

Bereits jetzt können Unternehmen eine von der NIS2 geforderte IT-Sicherheitsorganisation etablieren, um dadurch die betriebseigenen Cybersecurity-Risiken zu erkennen. Denn auf diese Weise werden bereits vor dem Stichtag des Inkrafttretens des NIS2-Umsetzungsgesetzes Risiken und Schwachstellen erkannt und können direkt behoben werden. So lassen sich Haftungsrisiken und mögliche Bußgelder vermindern/verhindern.

Sanktionen

Denn im Falle einer unzureichenden Cybersicherheit und Nonkonformität mit NIS2 drohen Unternehmen z.T. hohe Verwaltungsstrafen. Diese können bis zu 10 Mio. Euro oder 2 Prozent des weltweit erzielten Jahresumsatzes des vorherigen Geschäftsjahrs betragen.

Augsburg, 22.03.2024
Online-Redaktion AKADEMIE HERKERT

Quellen: www.europaparl.europa.eu, www.germany.representation.ec.europa.eu

Newsletter
aktuelle Neuigkeiten
wertvolles Fachwissen
verschiedene Themengebiete