Cybersicherheit: Was bedeutet die NIS2 Richtlinie für Unternehmen?
Bildung & Wissen // Artikel vom 08.11.2023
Die NIS2 Richtlinie ist eine neue EU-Verordnung, die die Sicherheit von Netz- und Informationssystemen verbessern soll.
Sie wurde 2022 veröffentlicht und wird die bestehende NIS Richtlinie aus dem Jahr 2016 ersetzen. Die NIS2 Richtlinie soll den Schutz vor Cyberangriffen erhöhen, die Zusammenarbeit zwischen den Mitgliedstaaten fördern und die Resilienz von kritischen Infrastrukturen stärken.
Welche Unternehmen sind betroffen?
Die NIS2 Richtlinie gilt für alle Unternehmen, die wesentliche oder wichtige Dienste in der EU anbieten oder nutzen. Wesentliche Dienste sind solche, die für das Funktionieren der Gesellschaft oder der Wirtschaft unerlässlich sind, wie z.B. Energie, Verkehr, Gesundheit oder Finanzen. Unter wichtigen Diensten versteht man beispielsweise digitale Infrastrukturen, Clouddienste, Onlinemarktplätze oder soziale Netzwerke, die einen hohen gesellschaftlichen oder wirtschaftlichen Wert haben.
Die NIS2 Richtlinie für Unternehmen erweitert den Anwendungsbereich der NIS Richtlinie, indem sie mehr Sektoren und Dienste einbezieht und auch kleine und mittlere Unternehmen (KMU) berücksichtigt. Die genauen Kriterien für die Einstufung als wesentlicher oder wichtiger Dienst werden von den Mitgliedstaaten festgelegt, basierend auf einer Liste von Faktoren, die von der Kommission vorgegeben werden. Wahrscheinlich werden allein in Deutschland etwa 30.000 Unternehmen die NIS2 Richtlinie umsetzen.
Die Onlineplattform SECJUR, die sich mit der Umsetzung gesetzlicher Vorgaben für Unternehmen beschäftigt, weist darauf hin, dass schon Firmen mit mindestens 50 MitarbeiterInnen und einem Jahresumsatz über zehn Mio. Euro von der Richtlinie betroffen sein können, insofern sie in einem der folgenden 18 Sektoren tätig sind:
- Energie
- Transport
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheit
- Trinkwasser
- Abwässer
- Digitale Infrastruktur
- IKT-Dienstleistungsmanagement (B2B)
- Öffentliche Verwaltungen
- Weltraum
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Produktion und Vertrieb von Chemikalien
- Lebensmittelproduktion, -verarbeitung und -vertrieb
- Herstellung
- Digitale Anbieter
- Forschung
Welche Pflichten haben die Unternehmen?
Die Unternehmen, die unter die NIS2 Richtlinie fallen, müssen eine Reihe von Maßnahmen ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Dazu gehören u.a.:
- Regelmäßige Risikobewertungen und die Implementierung von angemessenen technischen und organisatorischen Sicherheitsmaßnahmen. Auch bei in Firmen üblichen VPNs werden beispielsweise strengere Regeln gelten.
- Die Benennung eines Verantwortlichen für die Sicherheit der Netz- und Informationssysteme (CISO) oder eines ähnlichen Ansprechpartners.
- Die Meldung von schwerwiegenden Sicherheitsvorfällen an die zuständigen nationalen Behörden innerhalb von 24 Stunden nach deren Entdeckung.
- Die Teilnahme an Informationsaustausch- und Unterstützungsmechanismen auf nationaler und europäischer Ebene.
- Die Einhaltung von Mindeststandards für die Sicherheit von Lieferketten und Drittanbietern.
Welche Sanktionen drohen bei Verstößen?
Die Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße gegen die NIS2 Richtlinie festlegen. Diese können je nach Schweregrad des Verstoßes und der Art des betroffenen Dienstes variieren. Die Kommission schlägt vor, dass die Sanktionen bis zu zehn Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes des Unternehmens betragen können. Je nachdem, was höher ist.
Wie ist der Stand der NIS2 Richtlinie?
Die NIS2 Richtlinie ist noch nicht in Kraft getreten. Die EU-Mitgliedsstaaten haben noch bis Oktober 2024 Zeit, sie in nationales Recht umzusetzen. Das bedeutet, dass bspw. Deutschland bis dahin seine Gesetze zur Cybersicherheit so anpassen muss, dass sie den Anforderungen der NIS2 Richtlinie entsprechen. Betroffene Unternehmen wiederum müssen dann alles umsetzen, was ihnen durch die angepassten nationalen Gesetze vorgeschrieben wird.
Was können Unternehmen jetzt schon tun?
Auch wenn die NIS2 Richtlinie noch nicht verbindlich ist, sollten sich Unternehmen schon jetzt auf ihre Anforderungen vorbereiten. Dazu gehört, dass sie ihre bestehenden Sicherheitsmaßnahmen überprüfen und ggf. anpassen, ihre Sicherheitsverantwortlichen benennen oder schulen, ihre Meldeprozesse optimieren und sich über die nationalen und europäischen Informationsaustausch- und Unterstützungsmechanismen informieren.
Die NIS2 Richtlinie ist eine Chance für Unternehmen, ihre Sicherheit zu verbessern, ihr Vertrauen bei Kunden und Partnern zu stärken und ihre Wettbewerbsfähigkeit zu erhöhen. Sie sollten sie daher nicht als eine Belastung, sondern als eine Investition in ihre Zukunft sehen.
Nachricht 393 von 3419
WEITERE WISSEN & BUCH-ARTIKEL
TUM Campus Heilbronn: Studieninfotag
Bildung & Wissen // Artikel vom 22.11.2024
Durch die Verzahnung von Management und Data Science gelingt dem Technischen Universität München (TUM) als einer der forschungsstärksten Technischen Universitäten Europas der Brückenschlag „For The Digital Age“.
Weiterlesen … TUM Campus Heilbronn: StudieninfotagAlex Capus
Bildung & Wissen // Artikel vom 14.11.2024
Alex Capus bezieht in den 90ern ein einsam stehendes Weinbergsteinhaus in Italien, wo er viel Zeit mit seiner Freundin und Freunden verbringt, und die Einsamkeit sucht, um an seinem ersten Roman zu schreiben.
Weiterlesen … Alex CapusHengameh Yaghoobifarah
Bildung & Wissen // Artikel vom 13.11.2024
Eine weitere hochkarätige Lesung, die Stephanus-Buch im P8 angesetzt hat.
Weiterlesen … Hengameh YaghoobifarahEffekte: Gute Grundlage
Bildung & Wissen // Artikel vom 12.11.2024
Digitalisiert, einfach zugänglich und leicht verständlich: Die Landesanstalt für Umwelt Ba-Wü arbeitet daran, ihren umfangreichen Datenschatz noch erlebbarer zu gestalten – bspw. mit smarten Umweltdaten.
Weiterlesen … Effekte: Gute GrundlageMit der Badischen Landesbibliothek durchs Studium
Bildung & Wissen // Artikel vom 11.11.2024
Die Badische Landesbibliothek ist Teil der Karlsruher Bildungslandschaft und eine der ersten Adressen für Studenten vom Studienbeginn bis zum Abschluss.
Weiterlesen … Mit der Badischen Landesbibliothek durchs StudiumThorsten Nagelschmidt
Bildung & Wissen // Artikel vom 10.11.2024
März 2020, eine abgeschiedene Lodge in dem kolumbianischen Dschungeldorf „Soledad“.
Weiterlesen … Thorsten Nagelschmidt
Einen Kommentar schreiben