NIS-2: Neue EU-Richtlinie für Cybersicherheit – Das müssen Sie wissen

NIS-2-Richtlinie

Cybersicherheit ist heutzutage ein zentrales Thema für Unternehmen jeder Größe und Branche: Mit der zunehmenden Digitalisierung von Geschäftsprozessen steigt auch das Risiko von Cyberangriffen. Diese können vielfältige Formen annehmen: Ransomware verschlüsselt Ihre Daten, sodass Erpresser Lösegeld fördern. Phishing-Angriffe zielen auf den unmittelbaren Diebstahl sensibler Informationen ab. Advanced Persistent Threats hingegen sind auf die langfristige Infiltration und Spionage von Systemen ausgerichtet.

Solche Angriffe stellen nicht nur für die betroffenen Unternehmen eine unmittelbare Bedrohung dar. Sie sind auch ein Risiko für Wirtschaft und Gesellschaft insgesamt. Das gilt besonders bei Attacken auf Betriebe, die in systemrelevanten Branchen aktiv sind. Deswegen hat die Europäische Union mit NIS-2 eine Richtlinie erarbeitet. Auf diese Weise will sie die Cyber-Resilienz dieser Unternehmen stärken. Eine Maßnahme, die ebenso sinnvoll wie herausfordernd ist – denn sie stellt die betroffenen Unternehmen vor große Aufgaben.

Das ist NIS-2

Die NIS-2-Richtlinie ist eine Überarbeitung und Erweiterung der ursprünglichen NIS-Richtlinie (Network and Information Systems Directive) der EU. Diese trat bereits 2016 in Kraft. Ziel ist, ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der EU sicherzustellen.

NIS-2 ist auf EU-Ebene bereits 2023 in Kraft getreten. Als Richtlinie allein ist sie jedoch nicht anwendbar. Daher muss NIS-2 von den EU-Mitgliedsländern bis Oktober 2024 in nationales Recht umgesetzt werden. Dabei dürfen die Länder auch schärfere Bestimmungen erlassen. NIS-2 beschreibt lediglich den Mindeststandard.

NIS-2 betrifft öffentliche und private Einrichtungen in 18 definierten Sektoren, die strategische Bedeutung haben. Dazu zählen unter anderen auch Lebensmittelgroßhändler und Unternehmen, die mit chemischen Stoffen handeln. NIS-2 gilt für alle Unternehmen, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz sowie eine Jahresbilanzsumme von mindestens 10 Millionen EUR haben.

Diese Unternehmen werden durch NIS-2 darauf verpflichtet, umfassende Maßnahmen für die Cybersicherheit zu implementieren. So sollen Risiken minimiert und die Auswirkungen von Sicherheitsvorfällen reduziert werden.

Diese Maßnahmen umfassen unter anderem eine umfangreiche Bewertung der Risiken. Auf dieser Grundlage müssen internen Sicherheitsrichtlinien entwickelt und implementiert werden. Der physische und der elektronische Zugriff auf kritische Systeme und Daten muss kontrolliert und beschränkt werden. Zudem müssen Unternehmen ihre Systeme durch technische Maßnahmen wie Firewalls und Verschlüsselungen sichern und überwachen. Ebenfalls zwingend vorgeschrieben ist die Entwicklung von Plänen, wie Systeme und Daten im Fall eines Angriffs schnell wiederhergestellt werden können.

Alle betroffenen Unternehmen müssen sich bei der zuständigen Behörde registrieren. Wenn es zu Sicherheitsvorfällen kommt, müssen auch diese innerhalb festgesetzter Fristen gemeldet werden.

Sicherheit ist jetzt Chefsache

Überhaupt gilt: Die Verantwortung für die Umsetzung der NIS-2-Maßnahmen liegt bei der Geschäftsführung bzw. bei den Führungskräften auf der Management-Ebene. Diese müssen die folgenden Aufgaben übernehmen, bzw. dafür Sorge tragen, dass diese Aufgaben erledigt werden:

  • Implementierung eines effektiven Risikomanagementsystems, um die Sicherheit der Systeme zu garantieren.
  • Meldung von Vorfällen innerhalb der festgelegten Fristen an das Bundesamt für Sicherheit in der Informationstechnik (BSI).
  • Teilnahme an Schulungen zum Thema IT-Sicherheit
  • Schulung und Sensibilisierung der Mitarbeitenden

Extrem scharfe Sanktionsmaßnahmen

Ein Verstoß gegen diese Auflagen kann für Unternehmen – und auch für ihre Geschäftsführer – sehr teuer werden: Gegen Unternehmen, die als ‚wesentliche Einrichtungen‘ gelten, können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher (!) ist. Für sogenannte ‚wichtige Einrichtungen‘ liegen die Maximalbußgelder immer noch bei 7 Millionen Euro bzw. 1,4 Prozent des weltweiten Jahresumsatzes: Summen, die vielen Unternehmen das Genick brechen könnten.

Doch damit nicht genug: Laut dem Gesetzesentwurf der Bundesregierung sollen Geschäftsführer und andere Leitungsorgane für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften.

Cybersicherheit in Deutschland: Die Lage ist ernst

Diese Anforderungen stellen Unternehmen vor große Herausforderungen – doch leider ist NIS-2 notwendig, denn die Lage der Cybersicherheit in Deutschland ist ernst: Laut BSI nimmt die Zahl der Cyberangriffe beständig zu. So hat das BSI im Jahr 2023 mehr als 250.000 neue Varianten von Schadprogrammen festgestellt – nicht im Jahr, sondern pro Tag.

Angesichts dieser Zahl ist es schon fast verwunderlich, dass das BSI ‚nur‘ 68 erfolgreiche Ransomware-Attacken auf Unternehmen feststellen konnte. Dabei muss man jedoch von einer entsprechenden Dunkelziffer ausgehen. Immerhin berichten Unternehmen nur ungerne von solchen Problemen, wenn sie nicht dazu verpflichtet sind.  Auch die weiteren Zahlen geben keinen Anlass dazu gelassen in die Zukunft zu sehen. So handelte es sich laut BSI bei rund zwei Drittel aller Spam-E-Mails um versuchte Cyberattacken.

Wie halten Sie es mit der Cybersicherheit?

Wie ist es um die Cybersicherheit in Ihrem Unternehmen bestellt? Sehen Sie sich dazu in der Lage, sich gegen die aktuellen Bedrohungen effizient zu schützen? Oder wünschen Sie sich Beratung und Unterstützung in Sachen IT-Security?

Als GWS sind wir sehr an den Einschätzungen unserer Kundschaft interessiert. Darum möchten wir Sie bitten, sich ein paar Minuten Zeit zu nehmen und unseren Fragebogen zum Thema auszufüllen. Nur, wenn wir Ihre Anforderungen kennen, können wir unser Portfolio auf Sie ausrichten!

Beitrag kommentieren

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

gws logo