Cybersicherheit: Was bedeutet die NIS2 Richtlinie für Unternehmen?
Bildung & Wissen // Artikel vom 08.11.2023
Die NIS2 Richtlinie ist eine neue EU-Verordnung, die die Sicherheit von Netz- und Informationssystemen verbessern soll.
Sie wurde 2022 veröffentlicht und wird die bestehende NIS Richtlinie aus dem Jahr 2016 ersetzen. Die NIS2 Richtlinie soll den Schutz vor Cyberangriffen erhöhen, die Zusammenarbeit zwischen den Mitgliedstaaten fördern und die Resilienz von kritischen Infrastrukturen stärken.
Welche Unternehmen sind betroffen?
Die NIS2 Richtlinie gilt für alle Unternehmen, die wesentliche oder wichtige Dienste in der EU anbieten oder nutzen. Wesentliche Dienste sind solche, die für das Funktionieren der Gesellschaft oder der Wirtschaft unerlässlich sind, wie z.B. Energie, Verkehr, Gesundheit oder Finanzen. Unter wichtigen Diensten versteht man beispielsweise digitale Infrastrukturen, Clouddienste, Onlinemarktplätze oder soziale Netzwerke, die einen hohen gesellschaftlichen oder wirtschaftlichen Wert haben.
Die NIS2 Richtlinie für Unternehmen erweitert den Anwendungsbereich der NIS Richtlinie, indem sie mehr Sektoren und Dienste einbezieht und auch kleine und mittlere Unternehmen (KMU) berücksichtigt. Die genauen Kriterien für die Einstufung als wesentlicher oder wichtiger Dienst werden von den Mitgliedstaaten festgelegt, basierend auf einer Liste von Faktoren, die von der Kommission vorgegeben werden. Wahrscheinlich werden allein in Deutschland etwa 30.000 Unternehmen die NIS2 Richtlinie umsetzen.
Die Onlineplattform SECJUR, die sich mit der Umsetzung gesetzlicher Vorgaben für Unternehmen beschäftigt, weist darauf hin, dass schon Firmen mit mindestens 50 MitarbeiterInnen und einem Jahresumsatz über zehn Mio. Euro von der Richtlinie betroffen sein können, insofern sie in einem der folgenden 18 Sektoren tätig sind:
- Energie
- Transport
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheit
- Trinkwasser
- Abwässer
- Digitale Infrastruktur
- IKT-Dienstleistungsmanagement (B2B)
- Öffentliche Verwaltungen
- Weltraum
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Produktion und Vertrieb von Chemikalien
- Lebensmittelproduktion, -verarbeitung und -vertrieb
- Herstellung
- Digitale Anbieter
- Forschung
Welche Pflichten haben die Unternehmen?
Die Unternehmen, die unter die NIS2 Richtlinie fallen, müssen eine Reihe von Maßnahmen ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Dazu gehören u.a.:
- Regelmäßige Risikobewertungen und die Implementierung von angemessenen technischen und organisatorischen Sicherheitsmaßnahmen. Auch bei in Firmen üblichen VPNs werden beispielsweise strengere Regeln gelten.
- Die Benennung eines Verantwortlichen für die Sicherheit der Netz- und Informationssysteme (CISO) oder eines ähnlichen Ansprechpartners.
- Die Meldung von schwerwiegenden Sicherheitsvorfällen an die zuständigen nationalen Behörden innerhalb von 24 Stunden nach deren Entdeckung.
- Die Teilnahme an Informationsaustausch- und Unterstützungsmechanismen auf nationaler und europäischer Ebene.
- Die Einhaltung von Mindeststandards für die Sicherheit von Lieferketten und Drittanbietern.
Welche Sanktionen drohen bei Verstößen?
Die Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße gegen die NIS2 Richtlinie festlegen. Diese können je nach Schweregrad des Verstoßes und der Art des betroffenen Dienstes variieren. Die Kommission schlägt vor, dass die Sanktionen bis zu zehn Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes des Unternehmens betragen können. Je nachdem, was höher ist.
Wie ist der Stand der NIS2 Richtlinie?
Die NIS2 Richtlinie ist noch nicht in Kraft getreten. Die EU-Mitgliedsstaaten haben noch bis Oktober 2024 Zeit, sie in nationales Recht umzusetzen. Das bedeutet, dass bspw. Deutschland bis dahin seine Gesetze zur Cybersicherheit so anpassen muss, dass sie den Anforderungen der NIS2 Richtlinie entsprechen. Betroffene Unternehmen wiederum müssen dann alles umsetzen, was ihnen durch die angepassten nationalen Gesetze vorgeschrieben wird.
Was können Unternehmen jetzt schon tun?
Auch wenn die NIS2 Richtlinie noch nicht verbindlich ist, sollten sich Unternehmen schon jetzt auf ihre Anforderungen vorbereiten. Dazu gehört, dass sie ihre bestehenden Sicherheitsmaßnahmen überprüfen und ggf. anpassen, ihre Sicherheitsverantwortlichen benennen oder schulen, ihre Meldeprozesse optimieren und sich über die nationalen und europäischen Informationsaustausch- und Unterstützungsmechanismen informieren.
Die NIS2 Richtlinie ist eine Chance für Unternehmen, ihre Sicherheit zu verbessern, ihr Vertrauen bei Kunden und Partnern zu stärken und ihre Wettbewerbsfähigkeit zu erhöhen. Sie sollten sie daher nicht als eine Belastung, sondern als eine Investition in ihre Zukunft sehen.
Nachricht 419 von 3445
WEITERE WISSEN & BUCH-ARTIKEL
Franz Moraller & Thoma für alle?
Bildung & Wissen // Artikel vom 21.01.2025
Vom zentralen Regimesprachrohr in Baden handelt Michael Fischers Vortrag „Franz Moraller (1903-’86) und die NS-Zeitung „Der Führer“ aus der Reihe „Lebensspuren der NS-Zeit“.
Weiterlesen … Franz Moraller & Thoma für alle?Olga Grjasnowa
Bildung & Wissen // Artikel vom 29.11.2024
Für ihr viel beachtetes Debüt „Der Russe ist einer, der Birken liebt“ wurde sie 2012 mit dem „Klaus-Michael Kühne-“ und dem „Anna-Seghers-Preis“ ausgezeichnet.
Weiterlesen … Olga GrjasnowaSt.-Dominikus-Gymnasium
Bildung & Wissen // Artikel vom 29.11.2024
Dieses zentral in Karlsruhe gelegene allgemeinbildende Gymnasium für Mädchen bietet rund 500 Schülerinnen eine moderne Lernumgebung, in der junge Menschen zu verantwortungsbewussten und selbstständigen Persönlichkeiten heranwachsen können.
Weiterlesen … St.-Dominikus-GymnasiumStefanie vor Schulte
Bildung & Wissen // Artikel vom 28.11.2024
Was bleibt, als zu fliehen, wenn Kinder plötzlich allergisch auf Erwachsene reagieren, Eltern ihre Kinder vergessen, wenn Hunde ihre Herren anfallen und die Natur des Menschen überdrüssig ist?
Weiterlesen … Stefanie vor SchulteLaura Leupi
Bildung & Wissen // Artikel vom 28.11.2024
Mit dem „Alphabet der sexualisierten Gewalt“ („3sat-Preis“ beim „Bachmannpreis“ 2023) begibt sich Laura Leupi (pronomenlos, geb. 1996 in Zürich) im Rahmen der „Orange Days Karlsruhe“ auf eine autofiktionale Spurensuche.
Weiterlesen … Laura LeupiScience Slam
Bildung & Wissen // Artikel vom 26.11.2024
Das Jubez wird wieder zur Bühne der kreativen Wissenschaftsvermittlung.
Weiterlesen … Science Slam
Einen Kommentar schreiben