Update: Die Frist zur Umsetzung der NIS2-Richtlinie in deutsches Recht wurde auf März 2025 verschoben. Unternehmen haben nun mehr Zeit, sich auf die Anforderungen vorzubereiten, sollten aber frühzeitig mit der Umsetzung beginnen, um alle Sicherheits- und Compliance-Anforderungen rechtzeitig zu erfüllen.
Die NIS2-Richtlinie, eine Aktualisierung der ursprünglichen NIS-Richtlinie von 2016, bringt strengere Sicherheitsvorgaben und bezieht zusätzliche Branchen und eine größere Anzahl von Unternehmen mit ein. Unternehmen, die Teil internationaler Lieferketten sind, müssen sich gemäß NIS2 bis Ende 2024 verstärkt gegen IT-Angriffe wappnen. Die EU-Mitgliedsstaaten sind verpflichtet, die Richtlinie bis zum 17. Oktober 2024 in ihr nationales Recht zu integrieren.
Ab dem 18. Oktober 2024 müssen sich betroffene Unternehmen bei den zuständigen nationalen Behörden anmelden, Vorfälle melden und die Einhaltung der Sicherheitsanforderungen sicherstellen. Die Unternehmen sind zudem gefordert, regelmäßig den Nachweis über die Erfüllung dieser Vorschriften zu erbringen. Bei Nichteinhaltung können empfindliche Strafen bis zu zehn Millionen Euro oder zwei Prozent des globalen Jahresumsatzes, abhängig von der Einstufung und Kritikalität des Unternehmens, verhängt werden.
16.01.2023: Inkrafttreten der NIS2-Richtlinie (EU)
27.09.2023: Dritter deutscher Entwurf zu NIS2 als Diskussionspapier zum Dialog mit der Wirtschaft
ca. März 2024: Verkündung NIS2 UmsuCG (IT-Sicherheitsgesetz); das deutsche NIS2 Umsetzungsgesetz
17.10.2024 (spätestens): Umwandlung in nationales Recht ist abgeschlossen
19.10.2024: NISUmsuCG (deutsches NIS Umsetzungsgesetz ist in Kraft und für Unternehmen verbindlich
Angesichts der weltweit steigenden Fälle von Cyberangriffen und Cyberkriminalität trat am 16. Januar 2023 die aktualisierte EU-Richtlinie NIS2 in Kraft. Diese Richtlinie aktualisiert die ursprüngliche NIS-Richtlinie von 2016 und fordert von allen 27 EU-Mitgliedsstaaten, diesen neuen Standard bis zum 17. Oktober 2024 in ihr nationales Recht zu übernehmen. Dies soll Organisationen dazu verpflichten, ein Informationssicherheits-Managementsystem (ISMS) einzuführen.
Der Anlass für diese Maßnahme ist der Schutz der Bevölkerung vor den Auswirkungen von Cyberangriffen auf kritische Infrastrukturen. Die Strafen für die Nichtbefolgung der Richtlinie sind streng; bei gravierenden Verstößen ist eine Geldbuße von „mindestens 2 Prozent des weltweiten Gesamtumsatzes des vorherigen Geschäftsjahres“ vorgesehen. Außerdem soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Befugnis erhalten, Geschäftsführer bei Bedarf temporär abzusetzen.
Ein häufiges Beispiel für Cyberbedrohungen sind Ransomware-Angriffe, die sämtliche Daten auf einem IT-System verschlüsseln und wesentliche Dienste sowie Geschäftsprozesse lahmlegen, wodurch die betroffene Organisation handlungsunfähig wird und der Geschäftsbetrieb zum Erliegen kommt.
Die NIS2-Richtlinie setzt die „Size-Cap-Regel“ um, die besagt, dass mittelständische Unternehmen mit 50 bis 250 Mitarbeitern und einem Jahresumsatz zwischen 10 und 50 Millionen Euro oder einer Bilanzsumme von bis zu 43 Millionen Euro verpflichtet sind, die Richtlinie einzuhalten. Weiterhin betrifft NIS2 Großunternehmen mit mehr als 250 Mitarbeitern und einem Jahresumsatz von mindestens 50 Millionen Euro oder einer Bilanzsumme von mindestens 43 Millionen Euro.
Kleinere und Kleinstunternehmen sind zunächst von der NIS2-Richtlinie ausgenommen. Allerdings gibt es Ausnahmen, die unabhängig von der Unternehmensgröße gelten: Unternehmen aus den Bereichen „Digitale Infrastruktur“, „Öffentliche Verwaltung“ und bestimmte Sonderfälle, deren IT- und Netzinfrastrukturen aufgrund ihrer wichtigen gesellschaftlichen Funktionen besonders schutzwürdig sind, fallen ebenfalls unter die Bestimmungen der NIS2-Richtlinie.
Falls Ihr Unternehmen die erwähnten Kriterien erfüllt, resultieren daraus verschiedene Verpflichtungen gemäß NIS2. Dazu gehören die Anmeldung bei der zuständigen nationalen Behörde und die Berichterstattung über sicherheitsrelevante Vorfälle, insbesondere solche, die ernsthafte Betriebsunterbrechungen verursachen könnten.
Des Weiteren verlangt die NIS2-Richtlinie die Implementierung von technischen und organisatorischen Maßnahmen (TOM), die dem neuesten Stand der Technik entsprechen. Dies bedeutet, dass Unternehmen und Behörden die neuesten technologischen Entwicklungen einbeziehen und Sicherheitsmaßnahmen ergreifen müssen, die der spezifischen Risikosituation angemessen sind. Zudem sind regelmäßige Nachweise der Konformität erforderlich. Allerdings stellen die erweiterten Sicherheitsanforderungen durch NIS2 möglicherweise die bedeutendste Herausforderung für Unternehmen dar.
Die Maßnahmen, die von Betreibern und Einrichtungen ergriffen werden müssen, sollten auf einem umfassenden Sicherheitsansatz basieren, der IT-Systeme, Komponenten, Prozesse und die Umgebung vor verschiedenen Sicherheitsvorfällen schützt. Dabei ist es nicht ausreichend, sich ausschließlich auf Cyberangriffe zu konzentrieren. Stattdessen ist es notwendig, präventive Maßnahmen gegen jegliche Vorfälle zu ergreifen, die die IT-Infrastruktur beeinträchtigen und somit die Erbringung zentraler Dienstleistungen gefährden könnten.
Es ist erforderlich, dass wesentliche und kritische Einrichtungen angemessene, verhältnismäßige und effektive Maßnahmen umsetzen, um ihre IT-Systeme und Prozesse zu sichern, Störungen zu verhindern und die Auswirkungen von Sicherheitsvorfällen zu minimieren.
Als Experten in IT-Sicherheit und Managed Security Services bringen wir umfangreiche Erfahrungen und tiefgreifendes Fachwissen in den Feldern IT-Sicherheit, Informationssicherheit, Datenschutz und Compliance mit. Unsere Klientel umfasst Firmen aus besonders sicherheitskritischen Sektoren (KRITIS), die spezifische Bedürfnisse in Bezug auf ihre IT-Sicherheit haben.
Unsere hoch qualifizierten IT-Spezialisten besitzen umfassendes Wissen und Erfahrung in einer Vielzahl von Branchen. Sie verfügen über das erforderliche Fachwissen für detaillierte Analysen und maßgeschneiderte Lösungen. Wir führen die notwendigen Maßnahmen durch, setzen Prozesse und Lösungen um, um Ihr Unternehmen sicher und nachhaltig aufzustellen.
Vereinbaren Sie jetzt ein unverbindliches Gespräch mit einem unserer IT-Security Experten und überzeugen Sie sich selbst.
Autor: summ-it
Click to add your own text here
Shutterstock #177258218Shutterstock #177258218Download Flyer NIS2
