NIS-2-Richtlinie - neue gesetzliche Anforderungen zur IT-Sicherheit: deutlich mehr Unternehmen betroffen
Was ist NIS-2?
Mit dem Ziel, den Schutz der kritischen Infrastruktur hinsichtlich möglicher IT-Vorfälle und Cyberangriffe auszubauen, wurde 2023 auf europäischer Ebene das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz verabschiedet (NIS steht hierbei für „Network and Information Security“). Damit vergrößert sich die Anzahl der bisher betroffenen Unternehmen und Organisationen deutlich. Erweitert wurden sowohl die Branchen als auch die Größen, sodass nun auch kleinere Unternehmen (mindestens 50 Mitarbeiter oder 10 Mio Euro Jahresumsatz) zur Umsetzung verpflichtet sind. Unabhängig von der Unternehmensgröße gibt es auch einige Sonderfälle (wie bspw. Betreiber kritischer Anlagen, Top Level Domain Registries, DNS-Diensteanbieter), die die neue Richtlinie ebenfalls verpflichtend einhalten müssen.
Neu ist außerdem, dass unter Umständen auch die Zulieferer der betroffenen Unternehmen die Richtlinien erfüllen müssen. Unterschieden wird nun zudem zwischen wesentlichen (= hohe Kritikalität) und wichtigen (= sonstige kritische Sektoren) Einrichtungen mit Unterschieden hinsichtlich der Aufsicht und Konsequenzen.
Neu ist außerdem, dass unter Umständen auch die Zulieferer der betroffenen Unternehmen die Richtlinien erfüllen müssen. Unterschieden wird nun zudem zwischen wesentlichen (= hohe Kritikalität) und wichtigen (= sonstige kritische Sektoren) Einrichtungen mit Unterschieden hinsichtlich der Aufsicht und Konsequenzen.
Betrifft die neue NIS-2-Richtlinie Ihr Unternehmen?
Konkret sind alle Unternehmen von der neuen Richtlinie betroffen, die mehr als 50 Mitarbeiter beschäftigen oder mindestens 10 Mio. Euro Jahresumsatz erzielen und einem der unten aufgeführten Sektoren zuzuordnen sind.
Darüber hinaus betrifft die NIS-2-Richtlinie auch kleinere Unternehmen, sofern diese aufgrund ihres Tätigkeitsbereichs der kritischen Infrastruktur angehörig sind.
Prüfen Sie, ob Ihr Unternehmen in einem der nachfolgenden (Teil-)Sektoren tätig ist:
(Teil-)Sektoren mit hoher Kritikalität
Energie | -> Elektrizität |
-> Fernwärme und -kälte | |
-> Erdöl | |
-> Erdgas | |
-> Wasserstoff | |
Verkehr | -> Luftverkehr |
-> Schienenverkehr | |
-> Schifffahrt | |
-> Straßenverkehr | |
Bankwesen | |
Finanzmarktinfrastrukturen | |
Gesundheitswesen | |
Trinkwasser | |
Abwasser | |
Digitale Infrastruktur | |
Verwaltung von IKT-Diensten (Business-to-Business) | |
Öffentliche Verwaltung | |
Weltraum |
Sonstige kritische (Teil-)Sektoren
Post- und Kurierdienste | |
Abfallbewirtschaftung | |
Produktion, Herstellung und Handel mit chemischen Stoffen | |
Produktion, Verarbeitung und Vertrieb von Lebensmitteln |
Verarbeitendes Gewerbe/Herstellung von Waren | -> Herstellung von Medizinprodukten und In-vitro-Diagnostika |
-> Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen | |
-> Herstellung von elektrischen Ausrüstungen | |
-> Maschinenbau | |
-> Herstellung von Kraftwagen und Kraftwagenteilen | |
-> sonstiger Fahrzeugbau | |
Anbieter digitaler Dienste | |
Forschung |
Welche Anforderungen stellt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz an Unternehmen?
Zu den wichtigsten Anforderungen gehören:
- Festlegung von Prozessen für die Informationssicherheit, Risikoanalyse und Risikomanagement sowie die Bewältigung von Cyber-Angriffen. Die ISO 27001 bildet den Rahmen für die zu ergreifenden Maßnahmen.
- Erstellung von Wiederherstellungs- und Business Continuity-Plänen
- Einhaltung von Meldefristen im Falle eines erheblichen Vorfalls
- Unternehmensweite Verwendung von Verschlüsselungstechnik und Multi-Faktor-Authentifizierung
- Regelmäßige Teilnahme des Personals an Schulungen, die über Verhaltensregeln im Bereich der Informationssicherheit sowie über Veränderungen in der Risikolandschaft aufklären
Ab wann findet die NIS-2-Richtlinie Anwendung?
Die Meldepflichten und Vorgaben zu notwendigen Sicherheitsmaßnahmen gelten ab dem 18. Oktober 2024. Die Richtlinie wird aktuell in nationales Recht umgesetzt, wobei die durch die EU- Richtlinie vorgegebenen Mindeststandards auch erweitert werden dürfen. Umsetzungsmaßnahmen können und sollten also bereits jetzt auf Grundlage der Richtlinie begonnen werden. Es muss davon ausgegangen werden, dass ab dem Inkrafttreten der Richtlinie auch mit der Verhängung von Strafen in oben genannter Höhe zu rechnen ist.
Welche Strafen drohen bei Verstößen?
Nach Umsetzung der aktualisierten Richtlinie wird die Geschäftsführung des Unternehmens bei Verstößen (auch mit ihrem Privatvermögen) haftbar gemacht. Es liegt außerdem in der Verantwortung der Geschäftsführung, die getroffenen Maßnahmen zu überwachen, an Schulungen teilzunehmen und diese auch den Beschäftigten anzubieten.
Die zu erwartenden Strafen sind drastisch und hängen davon ab, welchem Sektor das Unternehmen zuzuordnen ist und welche Größe das Unternehmen aufweist. Die Strafen können bis zu 10 Mio. Euro (oder 2% des weltweiten Vorjahresumsatzes – je nachdem, welcher Betrag höher ist) betragen.
Darüber hinaus kann durch die zuständige Aufsichtsbehörde BSI (Bundesamt für Sicherheit in der Informationstechnik) der Geschäftsbetrieb ausgesetzt werden, sofern die Netzsicherheit von der Nichteinhaltung der Richtlinie betroffen ist.
Weiterführende Informationen:
- Richtlinie des Europäischen Parlaments und des Rates
- Referentenentwurf des Bundesministeriums des Innern und für Heimat
- Stellungnahme der Deutschen Industrie- und Handelskammer (DIHK)
- Sind Sie bereit für die neuen Cyber-Sicherheitsanforderungen? (Hessen innovativ)
Sie haben Fragen zu diesem Thema? Wenden Sie sich gerne an Herrn Frank Irmscher, Tel.: 069 2197–1515 oder per E-Mail: f.irmscher@frankfurt-main.ihk.de