Cybersicherheit: Was bedeutet die NIS2 Richtlinie für Unternehmen?
Bildung & Wissen // Artikel vom 08.11.2023
Die NIS2 Richtlinie ist eine neue EU-Verordnung, die die Sicherheit von Netz- und Informationssystemen verbessern soll.
Sie wurde 2022 veröffentlicht und wird die bestehende NIS Richtlinie aus dem Jahr 2016 ersetzen. Die NIS2 Richtlinie soll den Schutz vor Cyberangriffen erhöhen, die Zusammenarbeit zwischen den Mitgliedstaaten fördern und die Resilienz von kritischen Infrastrukturen stärken.
Welche Unternehmen sind betroffen?
Die NIS2 Richtlinie gilt für alle Unternehmen, die wesentliche oder wichtige Dienste in der EU anbieten oder nutzen. Wesentliche Dienste sind solche, die für das Funktionieren der Gesellschaft oder der Wirtschaft unerlässlich sind, wie z.B. Energie, Verkehr, Gesundheit oder Finanzen. Unter wichtigen Diensten versteht man beispielsweise digitale Infrastrukturen, Clouddienste, Onlinemarktplätze oder soziale Netzwerke, die einen hohen gesellschaftlichen oder wirtschaftlichen Wert haben.
Die NIS2 Richtlinie für Unternehmen erweitert den Anwendungsbereich der NIS Richtlinie, indem sie mehr Sektoren und Dienste einbezieht und auch kleine und mittlere Unternehmen (KMU) berücksichtigt. Die genauen Kriterien für die Einstufung als wesentlicher oder wichtiger Dienst werden von den Mitgliedstaaten festgelegt, basierend auf einer Liste von Faktoren, die von der Kommission vorgegeben werden. Wahrscheinlich werden allein in Deutschland etwa 30.000 Unternehmen die NIS2 Richtlinie umsetzen.
Die Onlineplattform SECJUR, die sich mit der Umsetzung gesetzlicher Vorgaben für Unternehmen beschäftigt, weist darauf hin, dass schon Firmen mit mindestens 50 MitarbeiterInnen und einem Jahresumsatz über zehn Mio. Euro von der Richtlinie betroffen sein können, insofern sie in einem der folgenden 18 Sektoren tätig sind:
- Energie
- Transport
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheit
- Trinkwasser
- Abwässer
- Digitale Infrastruktur
- IKT-Dienstleistungsmanagement (B2B)
- Öffentliche Verwaltungen
- Weltraum
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Produktion und Vertrieb von Chemikalien
- Lebensmittelproduktion, -verarbeitung und -vertrieb
- Herstellung
- Digitale Anbieter
- Forschung
Welche Pflichten haben die Unternehmen?
Die Unternehmen, die unter die NIS2 Richtlinie fallen, müssen eine Reihe von Maßnahmen ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Dazu gehören u.a.:
- Regelmäßige Risikobewertungen und die Implementierung von angemessenen technischen und organisatorischen Sicherheitsmaßnahmen. Auch bei in Firmen üblichen VPNs werden beispielsweise strengere Regeln gelten.
- Die Benennung eines Verantwortlichen für die Sicherheit der Netz- und Informationssysteme (CISO) oder eines ähnlichen Ansprechpartners.
- Die Meldung von schwerwiegenden Sicherheitsvorfällen an die zuständigen nationalen Behörden innerhalb von 24 Stunden nach deren Entdeckung.
- Die Teilnahme an Informationsaustausch- und Unterstützungsmechanismen auf nationaler und europäischer Ebene.
- Die Einhaltung von Mindeststandards für die Sicherheit von Lieferketten und Drittanbietern.
Welche Sanktionen drohen bei Verstößen?
Die Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße gegen die NIS2 Richtlinie festlegen. Diese können je nach Schweregrad des Verstoßes und der Art des betroffenen Dienstes variieren. Die Kommission schlägt vor, dass die Sanktionen bis zu zehn Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes des Unternehmens betragen können. Je nachdem, was höher ist.
Wie ist der Stand der NIS2 Richtlinie?
Die NIS2 Richtlinie ist noch nicht in Kraft getreten. Die EU-Mitgliedsstaaten haben noch bis Oktober 2024 Zeit, sie in nationales Recht umzusetzen. Das bedeutet, dass bspw. Deutschland bis dahin seine Gesetze zur Cybersicherheit so anpassen muss, dass sie den Anforderungen der NIS2 Richtlinie entsprechen. Betroffene Unternehmen wiederum müssen dann alles umsetzen, was ihnen durch die angepassten nationalen Gesetze vorgeschrieben wird.
Was können Unternehmen jetzt schon tun?
Auch wenn die NIS2 Richtlinie noch nicht verbindlich ist, sollten sich Unternehmen schon jetzt auf ihre Anforderungen vorbereiten. Dazu gehört, dass sie ihre bestehenden Sicherheitsmaßnahmen überprüfen und ggf. anpassen, ihre Sicherheitsverantwortlichen benennen oder schulen, ihre Meldeprozesse optimieren und sich über die nationalen und europäischen Informationsaustausch- und Unterstützungsmechanismen informieren.
Die NIS2 Richtlinie ist eine Chance für Unternehmen, ihre Sicherheit zu verbessern, ihr Vertrauen bei Kunden und Partnern zu stärken und ihre Wettbewerbsfähigkeit zu erhöhen. Sie sollten sie daher nicht als eine Belastung, sondern als eine Investition in ihre Zukunft sehen.
WEITERE WISSEN & BUCH-ARTIKEL
Eröffnungsfest: Bildungscampus Weststadt
Bildung & Wissen // Artikel vom 10.05.2025
Die Musikschule der Stadt Karlsruhe, das Badische Konservatorium, ist nach jahrelanger Standortsuche und Sanierung der Dragonerkaserne in den Sommerferien 2024 in der Kaiserallee 12 c eingezogen – und damit Teil des Bildungscampus’ Weststadt geworden, auf dem bereits die VHS und das IBZ ansässig sind.
Weiterlesen … Eröffnungsfest: Bildungscampus WeststadtWinfried Schäfer über „Wildpark, Scheichs & Voodoozauber“
Bildung & Wissen // Artikel vom 27.04.2025
Winnie Schäfer im INKA-Interview.
Weiterlesen … Winfried Schäfer über „Wildpark, Scheichs & Voodoozauber“HfG-Sommersemestereröffnung 2025
Bildung & Wissen // Artikel vom 22.04.2025
Mit einer Reihe neuer Mitarbeiter und Berufungen eröffnet die Staatliche Hochschule für Gestaltung Karlsruhe das Sommersemester 2025.
Weiterlesen … HfG-Sommersemestereröffnung 2025Sarah Lorenz
Bildung & Wissen // Artikel vom 15.04.2025
Eine literarische Liebeserklärung an eine Dichterin und die Wunder des Lebens ist Sarah Lorenz’ „Mit dir, da möchte ich im Himmel Kaffee trinken“.
Weiterlesen … Sarah LorenzImad Al Suliman
Bildung & Wissen // Artikel vom 14.04.2025
In seinem ersten Roman „Das Jasmin-Inferno“ erzählt der in Damaskus geborene und 2015 nach Deutschland gekommene Berliner Menschenrechtsaktivist Imad Al Suliman die Fluchtgeschichte von Fouad, der den Arabischen Frühling und den Bürgerkrieg in Syrien hautnah erlebt und in Europa Schutz sucht.
Weiterlesen … Imad Al SulimanZwischen Freiheit & Arrangement: Was hinter modernen Sugardaddy-Beziehungen steckt
Bildung & Wissen // Artikel vom 14.04.2025
Beziehungen waren noch nie ein starres Konstrukt.
Weiterlesen … Zwischen Freiheit & Arrangement: Was hinter modernen Sugardaddy-Beziehungen steckt
Kommentare
Einen Kommentar schreiben