Anforderungen an Unternehmen nach der NIS-2-Richtlinie
Mit der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) hat die Europäische Union die Vorschriften zur Cybersicherheit für Unternehmen erheblich verschärft. Die Richtlinie verpflichtet eine größere Anzahl von Organisationen, umfassende Sicherheitsmaßnahmen zu implementieren, um die Resilienz gegen Cyberangriffe zu stärken.
Wer ist betroffen?
Die NIS-2-Richtlinie betrifft wesentliche und wichtige Einrichtungen aus zahlreichen kritischen Sektoren. Dazu gehören Unternehmen der Energieversorgung, darunter Elektrizitäts-, Öl-, Gas- und Wasserstoffversorger, sowie der Verkehrssektor. Banken und die Finanzmarktinfrastrukturen sowie das gesamte Gesundheitswesen unterliegen den neuen Vorgaben. Digitale Infrastrukturen wie Cloud-Computing-Dienste, Rechenzentren, Telekommunikationsanbieter und DNS-Dienstleister müssen ebenfalls erhöhte Sicherheitsmaßnahmen implementieren.
Zusätzlich sind öffentliche Verwaltungen auf staatlicher und kommunaler Ebene, Wasserversorger sowie Unternehmen der Abwasserentsorgung betroffen. Auch die Lebensmittelproduktion und der Vertrieb, die Herstellung und der Handel mit kritischen Produkten wie Chemikalien, Arzneimittel, Medizingeräte und Elektronik sowie Post- und Kurierdienste, aber auch Maschinenbauer und Automobilzulieferer fallen unter die NIS-2-Richtlinie. Die Aufzählung der betroffenen Unternehmen ist nicht abschließend. Teilweise sind Unternehmen ab 50 Mitarbeitenden oder einem Jahresumsatz von über 10 Millionen Euro betroffen. Für eine Selbsteinstufung verweisen wir auf die Seite des BSI (Bundesamt für Sicherheit und Informationstechnik) , wo eine Einstufung vorgenommen werden kann: www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html
Zentrale Anforderungen
Unternehmen müssen ein umfassendes Risikomanagement etablieren und technische sowie organisatorische Maßnahmen zur Cybersicherheit umsetzen. Dazu gehören Zugriffskontrollen, Verschlüsselung und Notfallpläne, um die Widerstandsfähigkeit gegen Angriffe zu verbessern. Darüber hinaus besteht eine Meldepflicht für Sicherheitsvorfälle, sodass Unternehmen Cyberangriffe innerhalb von 24 Stunden der nationalen Behörde, in Deutschland ist das BSI zuständig, melden müssen innerhalb von 72 Stunden muss zudem ein detaillierter Bericht über den Vorfall vorliegen. Ein weiteres zentrales Element ist die Sicherheit der Lieferkette; Unternehmen müssen sicherstellen, dass auch ihre Zulieferer und Dienstleister angemessene Cybersicherheitsstandards einhalten, um Schwachstellen in der gesamten Wertschöpfungskette zu vermeiden. Zudem trägt die Geschäftsleitung eine persönliche Verantwortung für die Einhaltung der NIS-2-Anforderungen. Verstöße gegen die Richtlinie können hohe Geldstrafen nach sich ziehen, die bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen können.
Aktueller Stand der Umsetzung in Deutschland
Die EU-Mitgliedsstaaten waren verpflichtet, die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Deutschland wurde im Juli 2024 der Regierungsentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) verabschiedet. Aufgrund der vorgezogenen Bundestagswahlen im Februar 2025 konnte das parlamentarische Verfahren jedoch nicht abgeschlossen werden. Daher wird die Umsetzung der NIS-2-Richtlinie in Deutschland voraussichtlich erst im Laufe des Jahres 2025 erfolgen.
Unternehmen sollten sich dennoch frühzeitig auf die kommenden Anforderungen vorbereiten, um ihre Cybersicherheit zu stärken und zukünftige gesetzliche Verpflichtungen zu erfüllen.
Wenn Sie Unterstützung beim Informationssicherheitsmanagement benötigen oder Fragen zur Umsetzung der NIS-2-Richtlinie haben, melden Sie sich Sie gerne bei uns!