Zum Inhalt springen

NIS 2-Richtlinie: Die neuen EU-Cybersicherheits­anforderungen

0

Die NIS 2-Richtlinie, welche am 16. Januar 2023 in Kraft getreten ist, stellt eine umfassende Überarbeitung der ursprünglichen NIS-Richtlinie dar und zielt darauf ab, das Cybersicherheitsniveau in der Europäischen Union signifikant zu erhöhen. Die ab Oktober 2024 geltende neue Richtlinie erweitert den Anwendungsbereich erheblich und legt strengere Sicherheitsanforderungen für Unternehmen und Organisationen fest. Prüfen Sie jetzt, ob auch Ihr Unternehmen den Anforderungen unterliegt, und lesen Sie in diesem Artikel alle wichtigen Informationen, um sich entsprechend vorzubereiten!

NIS 2-Richtlinie: Relevanz und Hintergrund

Mit der fortschreitenden Vernetzung und Digitalisierung innerhalb der Europäischen Union wächst auch die Gefahr von Cyberangriffen. Um diesen Bedrohungen zu begegnen, hat die EU die NIS-2-Richtlinie verabschiedet, die die ursprüngliche NIS-Richtlinie von 2016 erweitert und modernisiert. Diese Richtlinie, bekannt als „Network and Information Security (NIS) Directive“, wurde am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht und trat am 16. Januar 2023 in Kraft. Sie setzt neue Standards für die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Die EU-Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen.

In Deutschland existiert seit Juli 2023 ein Referentenentwurf des Bundesinnenministeriums zur Umsetzung, bekannt als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG). Diese neue Richtlinie wird die Anzahl der betroffenen Unternehmen erheblich erhöhen. Zudem werden strengere Anforderungen an diese Unternehmen gestellt, und der Druck zur Durchsetzung wird durch die Androhung höherer Sanktionen und die Haftung der Führungsebene verstärkt.

Wer ist von der NIS-2-Richtlinie betroffen?

Die NIS-2-Richtlinie unterscheidet zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Der wesentliche Unterschied besteht darin, dass für „wichtige Einrichtungen“ niedrigere Geldstrafen vorgesehen sind und sie einer reaktiven Aufsicht durch die Behörden unterliegen, während „besonders wichtige Einrichtungen“ proaktiv überwacht werden. In der EU sollen keine unterschiedlichen Mindestschwellenwerte mehr gelten, sondern die Betroffenheit nach einheitlichen Kriterien ermittelt werden. Unter die Regulierung fallen mittlere und große Unternehmen:

  1. Mittelgroß: 50-249 Beschäftigte oder 10-50 Millionen Euro Umsatz, weniger als 43 Millionen Euro Bilanzsumme
  2. Groß: mindestens 250 Mitarbeitende oder mindestens 50 Millionen Euro Umsatz

Dadurch wird der Anwendungsbereich in Deutschland erheblich erweitert.

Die Zugehörigkeit eines Unternehmens zu den unter die NIS-2-Richtlinie fallenden Organisationen wird für Betreiber kritischer Infrastrukturen (KRITIS) weiterhin durch bestimmte Schwellenwerte bestimmt, während für Unternehmen von besonderer oder grundlegender Bedeutung hauptsächlich der Sektor, die Umsatzzahlen und die Mitarbeiterzahl entscheidend sind. Die NIS-2-Richtlinie betrifft eine breitere Palette von Branchen und Sektoren als ihr Vorgänger. Neben wesentlichen Einrichtungen wie Energieversorgern und Gesundheitsdiensten sind nun auch Anbieter digitaler Dienste und Produkthersteller betroffen.

Rechtliche Pflichten und Strafen im Rahmen der NIS-2-Richtlinie

Die NIS-2-Richtlinie bringt weitreichende, verpflichtende Aktionen für Unternehmen und öffentliche Einrichtungen in der EU mit sich. Hier ein Überblick über die wichtigsten rechtlichen Pflichten:

  1. Erweiterte Meldepflichten

Unternehmen müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden und innerhalb von 72 Stunden detailliertere Informationen bereitstellen. Diese verschärften Meldepflichten sollen eine schnellere Reaktion auf Cyberbedrohungen ermöglichen.

  1. Umfassendere Sicherheitsmaßnahmen

Die Richtlinie verpflichtet Unternehmen, umfangreichere Maßnahmen zum Schutz vor Cyberangriffen zu implementieren und deren Wirksamkeit regelmäßig zu überprüfen. Dies umfasst:

  • Die Entwicklung und Umsetzung von Richtlinien für Risiko- und Informationssicherheit,
  • die Implementierung eines Business Continuity Managements (BCM) und
  • die Durchführung regelmäßiger Risikoanalysen und Penetrationstests.
  1. Selbsteinstufung und Registrierung

Betroffene Unternehmen müssen sich selbst einstufen und bei der zuständigen Behörde registrieren. Dies erfordert eine genaue Kenntnis der eigenen Geschäftstätigkeit und der relevanten Schwellenwerte.

Die NIS-2-Richtlinie sieht zudem deutlich verschärfte Sanktionen für Verstöße gegen die Pflichten vor:

Für besonders wichtige Einrichtungen und kritische Anlagen

  • Bußgelder bis zu 10 Millionen Euro oder
  • mindestens 2 Prozent des Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Für wichtige Einrichtungen

  • Bußgelder bis zu 7 Millionen Euro oder
  • mindestens 1,4 Prozent des Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Diese Strafen orientieren sich an den Sanktionen der EU-Datenschutz-Grundverordnung (DSGVO) und unterstreichen die Bedeutung der Cybersicherheit für die EU.

Wichtig:Gemäß dem Entwurf des Bundesinnenministeriums werden die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften. Die Obergrenze für diese Haftung entspricht zwei Prozent des globalen Jahresumsatzes des Unternehmens.

Praktische Umsetzung der NIS-2-Richtlinie

Die Umsetzung der NIS 2-Richtlinie bietet Unternehmen die Chance, ihre Cybersicherheit umfassend zu verbessern und sich gegen zunehmende Bedrohungen zu wappnen. Um die NIS-2-Richtlinie umzusetzen, sollten Unternehmen:

  1. Kritische Dienstleistungen, Anlagen und Komponenten identifizieren,
  2. ein umfassendes Risikomanagement implementieren,
  3. regelmäßige Sicherheitsaudits und -tests durchführen,
  4. Incident-Response-Pläne entwickeln und testen sowie
  5. Mitarbeiter:innen regelmäßig schulen und für das Thema sensibilisieren.

Laut einer Studie von PwC waren bereits 30 Prozent der befragten Unternehmen Opfer von Datenverlusten im Millionenbereich aufgrund von Cyberangriffen. Eine proaktive Umsetzung der Richtlinie kann daher nicht nur rechtliche Konsequenzen vermeiden, sondern auch erhebliche wirtschaftliche Schäden abwenden.

Proaktive Sicherheitsstrategien: Unternehmen bewegen sich zunehmend weg von reaktiven Sicherheitsmaßnahmen hin zu proaktiven Ansätzen, die Prävention, Erkennung und Abwehr kombinieren. Diese Entwicklung wird durch den wachsenden Bedarf an umfassenderen Sicherheitslösungen und die zunehmende Komplexität von Cyberbedrohungen vorangetrieben.

Cybersicherheit: Zukunftstrends und Entwicklungen

Regierungen weltweit entwickeln umfassende Cybersicherheitsstrategien, um die digitale Souveränität zu stärken und die Infrastruktur zu schützen. Diese Strategien beinhalten die Zusammenarbeit zwischen Staat, Wirtschaft und Wissenschaft sowie die Entwicklung von Regularien zur Kennzeichnung synthetischer Inhalte. Die Zukunft der Cybersicherheit wird von mehreren bedeutenden Trends und Entwicklungen geprägt, die sowohl Chancen als auch Herausforderungen für Unternehmen und Einzelpersonen darstellen.

Künstliche Intelligenz und maschinelles Lernen: Künstliche Intelligenz (KI) und maschinelles Lernen spielen eine zunehmend wichtige Rolle in der Cybersicherheit. Diese Technologien ermöglichen eine schnellere und präzisere Erkennung von Bedrohungen und unterstützen die Automatisierung von Sicherheitsprozessen. Allerdings nutzen auch Cyberkriminelle KI, um raffiniertere Angriffe zu entwickeln, was die Notwendigkeit einer ausgewogenen und verantwortungsvollen Nutzung von KI in der Cybersicherheit unterstreicht.

Zero-Trust-Architektur (ZTA): Die Zero-Trust-Architektur ist ein weiteres wichtiges Konzept, das an Bedeutung gewinnt. Diese Sicherheitsstrategie geht davon aus, dass Bedrohungen sowohl innerhalb als auch außerhalb des Netzwerks existieren, und erfordert daher eine kontinuierliche Überprüfung und Authentifizierung von Nutzer:innen und Geräten, um den Zugriff auf Ressourcen zu kontrollieren.

Quantencomputing: Quantencomputing stellt eine potenzielle Bedrohung für bestehende Verschlüsselungsmethoden dar, da es in der Lage ist, komplexe mathematische Probleme, die der traditionellen Kryptografie zugrunde liegen, schnell zu lösen. Dies erfordert die Entwicklung von quantenresistenten Kryptografieverfahren, um zukünftige IT-Infrastrukturen zu schützen.

Fazit und Ausblick:

Insgesamt zeigt sich, dass die Cybersicherheit ein dynamisches Feld ist, das kontinuierliche Anpassungen und Innovationen erfordert, um den sich ständig weiterentwickelnden Bedrohungen wirksam begegnen zu können. Es ist zu erwarten, dass die NIS-2-Richtlinie in den kommenden Jahren stets weiterentwickelt wird, um neuen Bedrohungen gerecht zu werden.

Unternehmen sollten daher stets auf dem Laufenden bleiben und ihre Sicherheitsstrategien kontinuierlich anpassen. Sie sollten die Umsetzung zudem als Chance begreifen, ihre Sicherheitsmaßnahmen zu überprüfen und zu verbessern. Eine frühzeitige und gründliche Vorbereitung ist entscheidend, um die Anforderungen zu erfüllen und von den langfristigen Vorteilen einer verbesserten Cybersicherheit zu profitieren.

Unsere Empfehlung

NIS 2-Richtlinie und NIS2UmsuCG

Wappnen Sie sich vor Cyberkriminalität und sichern Sie sich jetzt einen Platz in unserem Seminar „NIS 2-Richtlinie und NIS2UmsuCG“. Es konzentriert sich auf die kompakte Analyse und Besprechung der aktuellen Gesetzeslage.


Seminar: NIS 2-Richtlinie und NIS2UmsuCG
Teilen Sie den Beitrag auf:

Über den:die Autor:in

Daniel Antoniutti

Produktmanager für Qualifizierungsangebote, Seminare & Trainings bei der Haufe Akademie.

Zur Themenübersicht Recht und Datenschutz