News
Warum ist NIS 2 notwendig?
Die NIS 1 (Netzwerk- und Informationssicherheit Richtlinie 2016) wurde vor knapp 10 Jahren eingeführt, doch die Welt der IT-Sicherheit hat sich rasant weiterentwickelt. Neue Bedrohungen wie Ransomware und Cyberangriffe machen es notwendig, die gesetzlichen Vorgaben anzupassen. Ziel ist es, das IT-Sicherheitsniveau auf EU-Ebene deutlich zu stärken und sicherzustellen, dass auch Unternehmen außerhalb der kritischen Infrastrukturen verpflichtet werden.
Hauptunterschiede zwischen NIS 1 und NIS 2
NIS 2 geht weit über die ursprünglichen Vorgaben hinaus: Risiken in der Lieferkette müssen nun bei der Risikobewertung berücksichtigt werden. Eine Ursachenanalyse nach Vorfällen ist Pflicht, anstatt nur reaktive Maßnahmen zu ergreifen. Weitere Neuerungen umfassen die verstärkte Pflicht zur regelmäßigen Sicherheitsprüfung (z. B. Penetrationstests) und die verstärkten Durchsetzungsbefugnisse der Aufsichtsbehörden.
Anwendbarkeit von NIS 2: Wer ist betroffen?
NIS 2 gilt für Unternehmen, die entweder eine bestimmte Größe oder Bedeutung haben. In Bezug auf die Größe gelten bestimmte Schwellenwerte für Mitarbeiterzahl und Umsatz. Darüber hinaus betrifft NIS 2 18 Sektoren, darunter Energie, Transport, Gesundheitswesen und digitale Infrastruktur. Von besonderer Bedeutung sind auch digitale Anbieter und Forschungsinstitute. Ein wesentlicher Aspekt von NIS 2 ist die Erweiterung des Fokus auf die Sicherheitsrisiken innerhalb der Lieferkette. Unternehmen müssen sicherstellen, dass ihre Lieferanten und Dienstleister ebenfalls die Anforderungen der NIS 2 erfüllen, um Sicherheitslücken zu vermeiden. In Deutschland sind davon schätzungsweise mehr als 40.000 Unternehmen betroffen.
ISO 27001 und NIS 2: Hand in Hand
ISO 27001 stellt eine solide Grundlage für Cybersicherheitsmaßnahmen dar. Unternehmen, die diesen Standard implementiert haben, sind auf einem guten Weg zur Erfüllung der NIS 2-Anforderungen. Eine Zertifizierung nach ISO 27001 bedeutet jedoch nicht automatisch, dass alle Anforderungen von NIS 2 erfüllt sind.
Neue Pflichten für wesentliche Einrichtungen
NIS 2 führt eine Reihe neuer Pflichten ein, darunter ein systematisches Risikomanagement, Krisenmanagement, die Sicherstellung der Lieferkettensicherheit und regelmäßige Sicherheitsprüfungen. Hinzu kommen Meldepflichten bei Sicherheitsvorfällen und die Schulung der Mitarbeitenden.
Aufsichtsbehörden und Sanktionen
Mit der Einführung von NIS 2 kommen auch strengere Durchsetzungsmechanismen. Die Aufsichtsbehörden haben nun erweiterte Befugnisse, einschließlich der Möglichkeit von Stichprobenprüfungen und Vor-Ort-Inspektionen. Verstöße gegen die Vorschriften können mit hohen Bußgeldern geahndet werden.
Aktueller Stand in Deutschland
In Deutschland besteht noch Anpassungsbedarf. Die EU hat bereits ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet, weil die Anforderungen von NIS 2 nicht fristgerecht umgesetzt wurden. Unternehmen sollten sich aber bereits jetzt auf die neuen Regelungen vorbereiten. Wann es zu einer Umsetzung durch den deutschen Gesetzgeber kommt, ist derzeit nicht absehbar.
Was können Unternehmen konkret tun?
- Benennung einer Kontaktstelle für Cybersicherheit
- Verbesserung des Risikomanagements und Übernahme von Verantwortung auf Managementebene
- Verbesserung der Cybersicherheit durch regelmäßige Prüfungen
- Erfüllung der Berichtspflichten und Meldung von Sicherheitsvorfällen
- Sensibilisierung der Mitarbeitenden für Cyberbedrohungen
Die Einführung von NIS 2 ist ein wichtiger Schritt hin zu einer verbesserten Cybersicherheitsstruktur in Europa. Unternehmen, die sich frühzeitig auf die neuen Anforderungen einstellen, können nicht nur hohe Strafzahlungen vermeiden, sondern auch ihre Sicherheitsstandards erheblich verbessern.
Kommen Sie gerne auf Ihren Beratenden zu, um mehr über die NIS 2-Richtlinie zu erfahren, und zu prüfen, ob Sie davon betroffen sind. Wir werden Sie über die weitere Entwicklung der gesetzlichen Rahmenbedingungen auf dem Laufenden halten.