Die Europäische Union reagiert auf diese Bedrohung mit NIS2 (Netzwerk- und Informationssicherheit). Die EU hat sich verpflichtet, den Schutz in verschiedenen Bereichen mit kritischer Infrastruktur deutlich zu verbessern. NIS2 soll „eine Kultur der Sicherheit in allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind“ schaffen. Zudem sollen in allen Staaten der EU einheitlich hohe Sicherheitsstandards gelten. Bereits 2022 wurde daher die sogenannte NIS2-Richtlinie eingeführt, die genau dieses Ziel verfolgt. Sie bringt deutlich mehr Verpflichtungen für betroffene Unternehmen und Organisationen mit sich als der Vorgänger. Alle EU-Staaten haben nun bis zum Oktober 2024 Zeit, die NIS2-Richtlinie in nationales Recht umzusetzen.
Was sind die Anforderungen der NIS2 Richtlinie?
Die europäische Sicherheitsrichtlinie NIS2 ersetzt die frühere Richtlinie von 2016 und verschärft die Sicherheitsanforderungen und erweitert den Anwendungsbereich auf zusätzliche Branchen. Dies führt zu einer erheblichen Zunahme der betroffenen Unternehmen. Unternehmen, die Teil internationaler Lieferketten sind, müssen bis Ende 2024 ihre Abwehrmaßnahmen gegen Angriffe verbessern.
Ab dem 18. Oktober 2024 müssen betroffene Unternehmen sich bei der nationalen Behörde registrieren, Vorfälle melden und die Einhaltung der Sicherheitsanforderungen gewährleisten. Die Einhaltung der Compliance muss regelmäßig nachgewiesen werden, andernfalls drohen empfindliche Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes.
Das Bundesministerium des Innern und für Heimat hat im vergangenen Jahr bereits einen Referentenentwurf vorgelegt. Experten gehen davon aus, dass rund 30.000 Unternehmen und Organisationen betroffen sein werden. Ein deutlicher Anstieg zur bisherigen Regelung.
Warum wurde NIS2 eingeführt?
Wie so oft gab es innerhalb der Grenzen der EU starke Unterschiede in der nationalen Umsetzung der Richtlinie. Einige Unternehmen wurden in bestimmten EU-Ländern als kritische Dienste oder Betreiber eingestuft, während dies in anderen Ländern nicht der Fall war. Die Neufassung der NIS-Richtlinie schafft nun Klarheit darüber, welche Unternehmen als kritische Dienste eingestuft werden und welche Anforderungen für sie gelten.
Unternehmen sind verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu verstärken, strengere Sicherheitsstandards zu etablieren und ihre IT-Systeme stets auf dem neuesten Stand zu halten – etwa mit Hilfe eines zukunftsfähigen Information Security Management System (ISMS).
Der neue Geltungsbereich
Die NIS2-Richtlinie geht weit über den bisherigen Geltungsbereich hinaus. Konkret wird bei NIS 2 zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden. Auch die Unternehmensgröße spielt eine Rolle dabei.
Wesentliche Einrichtungen umfassen Unternehmen aus Bereichen wie Energieversorgung, Verkehr, Wasserversorgung, digitale Infrastruktur und IT, Bank- und Finanzwesen, Gesundheitswesen, öffentliche Verwaltung sowie Rüstung und Raumfahrt.
Wichtige Einrichtungen sind Betriebe aus Branchen wie Abfallwirtschaft, Post- und Kurierdienste, Chemische Erzeugnisse, Lebensmittel, Digitale Anbieter und Forschungseinrichtungen.
Unterschieden werden mittlere und große Unternehmen:
Mittlere Unternehmen – 50 bis 250 Mitarbeiter, 10 bis 50 Millionen Euro Umsatz, Bilanzsumme kleiner als 43 Millionen Euro.
Große Unternehmen – mehr als 250 Mitarbeiter, mehr als 50 Millionen Euro Umsatz, Bilanzsumme größer als 43 Millionen Euro
Sie möchten mehr zum Thema NIS2 erfahren und Ihr Unternehmen nachhaltig absichern?
Wenden Sie sich an unser Experten-Team. Mit einem zukunftsfähigen Information Security Management System wie Proliance InfoSec sind Sie auf der sicheren Seite. Nehmen Sie jederzeit Kontakt zu uns auf.
Artikel veröffentlicht am: 29. Februar 2024
