Hintergrund: Was ist NIS2?
Mit der NIS2-Richtlinie reagiert die EU auf die zunehmenden Gefahren durch Cyberangriffe und entwickelt die bisher geltende NIS-Richtlinie (Network and Information Security-Richtlinie) von 2016 weiter. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten die neue Richtlinie in nationales Recht umsetzen. Auf viele Unternehmen in Deutschland kommen damit zahlreiche neue Pflichten und erhöhte Bußgelder im Zusammenhang mit IT-Sicherheit zu.
Mehr zu den Hintergründen und Anforderungen erfahren Sie in unserem kompakten NIS2-Überblick.
Das ändert sich mit NIS2
Ziel der NIS2 ist es, Unternehmen und Einrichtungen in der gesamten EU im Kampf gegen Cyberbedrohungen zu stärken und die Zusammenarbeit zwischen den Mitgliedsstaaten und Unternehmen zu fördern. Deshalb sieht die neue Richtlinie unter anderem höhere Sicherheitsstandards als bisher vor.
Zum anderen sind ab Herbst 2024 noch mehr Wirtschaftssektoren und Unternehmen betroffen als von der alten Richtlinie: Experten schätzen, dass sich der Kreis der betroffenen Unternehmen und öffentlichen Einrichtungen allein in Deutschland um rund 30.000 Unternehmen erweitert. Für sie bringt NIS2 verschärfte Meldepflichten und Sicherheitsmaßnahmen mit sich. Gehört Ihr Unternehmen dazu?
Wer fällt unter NIS2?
Ob öffentliche und private Einrichtungen in den Anwendungsbereich der NIS2-Richtlinie fallen, hängt maßgeblich von zwei Kriterien ab:
- Sie gehören einer von 18 in der Richtlinie festgelegten Branchen an.
- Sie übersteigen eine bestimmte Unternehmensgröße.
Außerdem sind Unternehmen auch indirekt von der NIS2-Richtlinie betroffen, wenn sie Dienstleister oder Lieferanten von betroffenen Einrichtungen sind.
Für welche Branchen gilt NIS2?
Die Richtlinie unterscheidet zwischen 18 Sektoren. 11 davon gelten als „wichtige“ und 7 als „wesentliche“ Sektoren, also als besonders wichtig. Die Zugehörigkeit einer der beiden Gruppen entscheidet darüber, wie streng die Behörden die Unternehmen beaufsichtigen und wie hoch die Strafen bei Missachtung der Richtlinie oder bei Zuwiderhandlungen ausfallen. Welche Einrichtungen im Einzelnen von der NIS2 Directive betroffen sind, ist in der Richtlinie im Detail in Anhang I und II spezifiziert. Die folgende Auflistung gibt Ihnen einen Überblick über die Branchen, für die bald strengere Sicherheitsanforderungen in Bezug auf IT-Security gelten werden.
Besonders wichtige Einrichtungen mit hoher Kritikalität
Zu den wesentlichen Einrichtungen gehören Unternehmen und Betreiber aus den folgenden Bereichen:
- Öffentliche Verwaltung
- Energie
- Transport und Verkehr
- Bankensektor
- Finanzmarkt
- Gesundheitswesen
- Trinkwasserversorgung
- Abwasserwirtschaft
- Digitale Infrastruktur
- IKT
- Raumfahrt
Wichtige Einrichtungen
Zu den wichtigen Einrichtungen gehören Unternehmen und Betreiber, die in einem der folgenden Bereiche tätig sind:
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Produktion und Vertrieb von chemischen Stoffen
- Herstellung, Produktion und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe (inkl. Medizinprodukte)
- Digitale Dienstleistungen
- Forschung
Unterschiede bei Aufsicht und Bußgeldern
- Wichtige Einrichtungen werden nur anlassbezogen beaufsichtigt, bei wesentlichen Einrichtungen erfolgt die Aufsicht proaktiv, also ohne Anlass.
- Die Pflichten aus NIS2 sind für alle Sektoren gleich. Bei Sanktionen wird nicht zwischen besonders wichtigen Einrichtungen und kritischen Anlagen, sondern zwischen fahrlässigem und vorsätzlichem Verschulden.
- Für Organisationen aus diesen Sektoren drohen bei Verstößen gegen NIS2 Bußgelder von bis zu 10 Millionen Euro oder mindestens zwei Prozent des weltweiten Jahresumsatzes betragen. Maßgeblich ist der höhere Betrag.
- Bei den wichtigen Einrichtungen können die Bußgelder im Zusammenhang mit NIS2 bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Wert der höhere ist.
Ab welcher Unternehmensgröße gilt NIS2?
Die NIS2-Richtlinie gilt für wichtige Unternehmen,
- die mehr als 50 Mitarbeiter beschäftigen, oder
- deren Jahresumsatz 10 Millionen Euro übersteigt, oder
- die eine Jahresbilanzsumme von weniger als 43 Millionen Euro haben.
Bei den besonders wichtigen Einrichtungen sind Unternehmen betroffen, die
- über 250 Mitarbeitende beschäftigen, oder
- einen Jahresumsatz von mehr als 50 Millionen Euro haben, oder
- eine Jahresbilanzsumme von mehr als 43 Millionen Euro haben.
Es gibt Organisationen, die vom Anwendungsbereich ausgenommen sein können oder die aufgrund ihrer Größe nicht unter die NIS2-Richtlinie fallen. Umgekehrt gibt es eine Reihe von Einrichtungen, die unabhängig von ihrer Größe immer unter der NIS2-Richtlinie reguliert werden. Bei den Sonderfällen handelt es sich um Betreiber, bei denen ein Cyberangriff besonders großen Schaden anrichten kann und deren Ausfall ein erhöhtes Risiko für Bereiche wie Sicherheit oder Gesundheit darstellen. Beispiele sind Vertrauensdiensteanbieter oder kritische Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene.
Warum von NIS2 betroffene Unternehmen jetzt handeln müssen
Ab Oktober 2024 müssen mehr Unternehmen als zuvor – darunter Cloud-Anbieter und zahlreiche digitale Dienstleister – Maßnahmen zum Schutz vor Cyberattacken ergreifen. Verstoßen Unternehmen gegen diese Pflicht, haften unter der neuen Richtlinie auch Führungskräfte und Verantwortliche für die Auswirkungen eines Angriffs.
Damit Geschäftsführer nicht in die Security-Falle tappen, die mit empfindlichen Bußgeldern für sie verbunden ist, verpflichtet die NIS2 Führungskräfte dazu, Cybersicherheitsschulungen für ihre Mitarbeiter anzubieten und selbst daran teilzunehmen.
Die NIS2-Richtlinie bedeutet für Unternehmen verschärfte Sicherheitsanforderungen. Bei Nichtbeachtung drohen höhere Bußgelder als in der alten Richtlinie und ein Haftungsrisiko für Geschäftsführer. Außerdem sind erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an Behörden zu melden.
Bereiten Sie sich jetzt auf NIS2 vor
NIS2 hat weitreichende Auswirkungen auf die Compliance und IT-Sicherheitsmaßnahmen von Unternehmen und nimmt künftig mehr Organisation als zuvor samt ihren Verantwortlichen in die Pflicht. Um ihre IT-Sicherheit ganzheitlich auf die bevorstehenden Änderungen anzupassen und um herauszufinden, welche Anforderungen konkret auf Ihr Unternehmen zukommen, beraten wir Sie gern.
Finden Sie heraus, ob Sie von NIS2 betroffen sind.
Lassen Sie sich unverbindlich von uns beraten. Wir unterstützen Sie dabei, die NIS2-Vorgaben rechtzeitig umsetzen und Sanktionen zu vermeiden.
Artikel veröffentlicht am: 02.05.2024