Cybersicherheit: Was bedeutet die NIS2 Richtlinie für Unternehmen?

Sie wurde 2022 veröffentlicht und wird die bestehende NIS Richtlinie aus dem Jahr 2016 ersetzen. Die NIS2 Richtlinie soll den Schutz vor Cyberangriffen erhöhen, die Zusammenarbeit zwischen den Mitgliedstaaten fördern und die Resilienz von kritischen Infrastrukturen stärken.

Welche Unternehmen sind betroffen?

Die NIS2 Richtlinie gilt für alle Unternehmen, die wesentliche oder wichtige Dienste in der EU anbieten oder nutzen. Wesentliche Dienste sind solche, die für das Funktionieren der Gesellschaft oder der Wirtschaft unerlässlich sind, wie z.B. Energie, Verkehr, Gesundheit oder Finanzen. Unter wichtigen Diensten versteht man beispielsweise digitale Infrastrukturen, Clouddienste, Onlinemarktplätze oder soziale Netzwerke, die einen hohen gesellschaftlichen oder wirtschaftlichen Wert haben.

Die NIS2 Richtlinie für Unternehmen erweitert den Anwendungsbereich der NIS Richtlinie, indem sie mehr Sektoren und Dienste einbezieht und auch kleine und mittlere Unternehmen (KMU) berücksichtigt. Die genauen Kriterien für die Einstufung als wesentlicher oder wichtiger Dienst werden von den Mitgliedstaaten festgelegt, basierend auf einer Liste von Faktoren, die von der Kommission vorgegeben werden. Wahrscheinlich werden allein in Deutschland etwa 30.000 Unternehmen die NIS2 Richtlinie umsetzen.

Die Onlineplattform SECJUR, die sich mit der Umsetzung gesetzlicher Vorgaben für Unternehmen beschäftigt, weist darauf hin, dass schon Firmen mit mindestens 50 MitarbeiterInnen und​ einem Jahresumsatz über zehn Mio. Euro von der Richtlinie betroffen sein können, insofern sie in einem der folgenden 18 Sektoren tätig sind:

• Energie
• Transport
• Bankwesen
• Finanzmarktinfrastruktur
• Gesundheit
• Trinkwasser
• Abwässer
• Digitale Infrastruktur
• IKT-Dienstleistungsmanagement (B2B)
• Öffentliche Verwaltungen
• Weltraum
• Post- und Kurierdienste
• Abfallwirtschaft
• Herstellung, Produktion und Vertrieb von Chemikalien
• Lebensmittelproduktion, -verarbeitung und -vertrieb
• Herstellung
• Digitale Anbieter
• Forschung

‍Welche Pflichten haben die Unternehmen?

Die Unternehmen, die unter die NIS2 Richtlinie fallen, müssen eine Reihe von Maßnahmen ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Dazu gehören u.a.:

• Regelmäßige Risikobewertungen und die Implementierung von angemessenen technischen und organisatorischen Sicherheitsmaßnahmen. Auch bei in Firmen üblichen VPNs werden beispielsweise strengere Regeln gelten.
• Die Benennung eines Verantwortlichen für die Sicherheit der Netz- und Informationssysteme (CISO) oder eines ähnlichen Ansprechpartners.
• Die Meldung von schwerwiegenden Sicherheitsvorfällen an die zuständigen nationalen Behörden innerhalb von 24 Stunden nach deren Entdeckung.
• Die Teilnahme an Informationsaustausch- und Unterstützungsmechanismen auf nationaler und europäischer Ebene.
• Die Einhaltung von Mindeststandards für die Sicherheit von Lieferketten und Drittanbietern.

Welche Sanktionen drohen bei Verstößen?

Die Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße gegen die NIS2 Richtlinie festlegen. Diese können je nach Schweregrad des Verstoßes und der Art des betroffenen Dienstes variieren. Die Kommission schlägt vor, dass die Sanktionen bis zu zehn Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes des Unternehmens betragen können. Je nachdem, was höher ist.

Wie ist der Stand der NIS2 Richtlinie?

Die NIS2 Richtlinie ist noch nicht in Kraft getreten. Die EU-Mitgliedsstaaten haben noch bis Oktober 2024 Zeit, sie in nationales Recht umzusetzen. Das bedeutet, dass bspw. Deutschland bis dahin seine Gesetze zur Cybersicherheit so anpassen muss, dass sie den Anforderungen der NIS2 Richtlinie entsprechen. Betroffene Unternehmen wiederum müssen dann alles umsetzen, was ihnen durch die angepassten nationalen Gesetze vorgeschrieben wird.

Was können Unternehmen jetzt schon tun?

Auch wenn die NIS2 Richtlinie noch nicht verbindlich ist, sollten sich Unternehmen schon jetzt auf ihre Anforderungen vorbereiten. Dazu gehört, dass sie ihre bestehenden Sicherheitsmaßnahmen überprüfen und ggf. anpassen, ihre Sicherheitsverantwortlichen benennen oder schulen, ihre Meldeprozesse optimieren und sich über die nationalen und europäischen Informationsaustausch- und Unterstützungsmechanismen informieren.

Die NIS2 Richtlinie ist eine Chance für Unternehmen, ihre Sicherheit zu verbessern, ihr Vertrauen bei Kunden und Partnern zu stärken und ihre Wettbewerbsfähigkeit zu erhöhen. Sie sollten sie daher nicht als eine Belastung, sondern als eine Investition in ihre Zukunft sehen.