NIS-2-Richtlinie - neue gesetzliche Anforderungen zur IT-Sicherheit: deutlich mehr Unternehmen betroffen

Mit dem Ziel, den Schutz der kritischen Infrastruktur hinsichtlich möglicher IT-Vorfälle und Cyberangriffe auszubauen, wurde 2023 auf europäischer Ebene die NIS-2-Richtlinie verabschiedet (NIS steht dabei für „Network and Information Security“). Damit vergrößert sich die Anzahl der seit 2016 mit der ersten Richtlinie betroffenen Unternehmen und Organisationen (KRITIS) deutlich. Erweitert wurden sowohl die Branchen als auch die Größen, sodass nun auch kleinere Unternehmen als bisher dazugehören sowie unter Umständen auch deren Dienstleister und Auftragnehmer (siehe Abschnitt zur Betroffenheit). Unterteilt wird nun zudem in wesentliche und wichtige Einrichtungen mit Unterschieden bei der Aufsicht und den Konsequenzen.

Ab dem 18. Oktober 2024 gelten dann Meldepflichten und Vorgaben zu notwendigen Sicherheitsmaßnahmen. Werden diese nicht eingehalten, drohen hohe Geldstrafen. Die Richtlinie wird aktuell in nationales Recht umgesetzt, wobei die Mindeststandards der Richtlinie auch erweitert werden dürfen. Umsetzungsmaßnahmen können und sollten also bereits jetzt auf Grundlage der Richtlinie begonnen werden. Eine Übersicht über die betroffenen Unternehmen finden Sie hier: https://www.ihk-hessen-innovativ.de/it-sicherheit-neue-gesetzliche-anforderungen-nis-2-richtlinie/