anaptis-blog-sicherheit

Die neue NIS2-Richtlinie steht vor der Tür – und bringt für zahlreiche Unternehmen neue Pflichten bezüglich der Cybersicherheit. Doch was genau bedeutet das? Welche Unternehmen sind betroffen, ab wann gelten die neuen Vorschriften und was müssen Sie tun, um rechtzeitig vorbereitet zu sein? In diesem Artikel geben wir Ihnen die Antworten.

Disclaimer: Dieser Artikel dient lediglich zu Informationszwecken, erhebt keinen Anspruch auf Vollständigkeit und stellt keine Rechtsberatung dar. Er ersetzt ebenso keine professionelle Beratung durch eine/-n qualifizierte/-n Rechtsanwalt/Rechtsanwältin. Wir empfehlen, dass Sie sich für eine individuelle Beratung zu rechtlichen Fragen an einen Rechtsbeistand oder eine entsprechend spezialisierte Beratungsperson wenden.
 

 

Was besagt die NIS2-Richtlinie?

Die NIS2-Richtlinie bringt verschärfte Cybersicherheitsanforderungen für kritische Infrastrukturen und wichtige Unternehmen in der EU. Das Ziel hinter dieser Richtlinie ist es, Systeme in der Europäischen Union widerstandsfähiger gegen Cyberangriffe zu machen und so das öffentliche Leben zu schützen.
NIS2 baut auf der bisherigen EU-Cybersicherheitsrichtlinie (NIS Directive) von 2016 auf und stellt höhere Anforderungen an die IT-Sicherheit von kritischen Infrastrukturen (KRITIS). Neu ist, dass nicht nur große Unternehmen, sondern auch Dienstleister und Partner in den Lieferketten betroffen sind, sofern sie für kritische Infrastrukturen relevant sind. Damit steigen die Anforderungen an Sicherheitsmaßnahmen, Dokumentation und Meldepflichten bei Vorfällen – und bei Nichteinhaltung drohen nun höhere Strafen.

 

Wer muss NIS2 umsetzen?

18 Sektoren sind dazu verpflichtet, NIS2 umzusetzen und damit sämtlichen Sicherheitsmaßnahmen und Meldepflichten nachzukommen. Die Richtlinie nimmt auch Dienstleister und Lieferanten von kritischen Infrastrukturen (KRITIS) stärker in die Pflicht. Außerdem ist ein zentraler Bestandteil der NIS2-Richtlinie der erhöhte Fokus auf die Sicherheit entlang der gesamten Wertschöpfungskette. Das bedeutet, dass Unternehmen, die unter die Vorgaben der NIS2 fallen sicherstellen müssen, dass auch ihre Dienstleister und Zulieferer ein angemessenes Sicherheitsniveau einhalten. Für Unternehmen, die als Lieferanten oder Subunternehmer tätig sind, bringt dies zum Teil erhebliche Verpflichtungen und Anpassungskosten mit sich.
Unter dem Strich werden künftig mehr Unternehmen betroffen sein – unabhängig von ihrer Größe. Dies stellt insbesondere die Erweiterung der Richtlinie aus 2016 dar.

Folgende Sektoren mit hoher Kritikalität sind betroffen:

  1. Energie
  2. Verkehr
  3. Bankwesen
  4. Finanzmarktinfrastrukturen
  5. Gesundheitswesen
  6. Trinkwasser
  7. Abwasser
  8. Digitale Infrastruktur
  9. Verwaltung von IKT-Diensten (B2B)
  10. Öffentliche Verwaltung
  11. Weltraum

Folgende sonstige kritische Sektoren sind betroffen:

  1. Post- und Kurierdienste
  2. Abfallbewirtschaftung
  3. Produktion, Herstellung und Handel mit chemischen Stoffen
  4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  5. Verarbeitendes Gewerbe/Herstellung von Waren
  6. Anbieter digitaler Dienste
  7. Forschung

Mithilfe der NIS2-Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI) können Unternehmen prüfen, ob sie betroffen sind.

Sofern NIS2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren. Die Informationen dazu finden Sie auf der Seite des Bundesamts in der Informationstechnik.

 

Ab wann gilt NIS2?

Die NIS2-Richtlinie (EU) 2022/2555 ist seit 2023 auf EU-Ebene in Kraft, ist aber auf Landesebene als Richtlinie nicht direkt anwendbar, sondern erst in nationales Recht umzusetzen. Dazu hatten alle EU-Länder bis Oktober 2024 Zeit. Deutschland konnte diese Frist nach unserem aktuellen Kenntnisstand nicht einhalten, sodass aktuell von einem Inkrafttreten im März 2025 ausgegangen wird. Dennoch sollten Unternehmen so schnell wie möglich damit starten, die Anforderungen umzusetzen, sofern das nicht schon erfolgt ist.

 

Welche Maßnahmen müssen Unternehmen umsetzen?

Um die Anforderungen der NIS2-Richtlinie zu erfüllen, müssen Unternehmen verschiedene Cybersicherheits- und Managementmaßnahmen einführen:

  • Verstärkung von Sicherheitsmaßnahmen: Unternehmen müssen robuste IT-Sicherheitsmaßnahmen implementieren, die den aktuellen Bedrohungen standhalten. Dazu zählen beispielsweise die Multi-Faktor-Authentifizierung (MFA), Firewalls, Zugangskontrollen, Sicherheitsupdates und regelmäßige Sicherheitsüberprüfungen.
  • Risikomanagement und Schwachstellenanalyse: Ein systematisches Risikomanagement, das Cyber-Risiken regelmäßig bewertet und Schwachstellen aufdeckt, wird Pflicht. Hierzu gehört auch das Durchführen von Penetrationstests und Sicherheitsbewertungen.
  • Schnelle Meldung von Vorfällen: Sicherheitsvorfälle müssen nun in kürzeren Zeitfenstern den zuständigen Behörden gemeldet werden, um auf nationale und EU-weite Bedrohungen rechtzeitig reagieren zu können.
  • Dokumentation und Nachweise: Unternehmen müssen dokumentieren, welche Sicherheitsmaßnahmen sie eingeführt haben, um deren Wirksamkeit nachzuweisen und Prüfungen standzuhalten. Diese Dokumentation ist regelmäßig zu aktualisieren.
  • Mitarbeiterschulungen: Schulungen für Mitarbeitende zu Sicherheitsrichtlinien und zum sicheren Umgang mit IT-Systemen sind vorgeschrieben, um ein Bewusstsein für Cybersicherheitsrisiken zu schaffen.

 

Welche Meldepflichten sind einzuhalten?

Die NIS2-Richtlinie sieht folgende Fristen zur Meldung von Vorfällen vor:

  1. Frühwarnung innerhalb von 24 Stunden ab Kenntnis bei Verdacht auf rechtswidriger/böswilliger Handlung
  2. Ausführlicher Bericht ab 72 Stunden ab Kenntnis (Erste Bewertung inkl. Schweregrad, Auswirkungen)
  3. Ein Monat nach Kenntnis (Ausführliche Beschreibung inkl. Ursachen, Abhilfe, Art der Bedrohung)

 

Fazit

An erster Stelle sollten Sie sich fragen, ob Sie von NIS2 betroffen sind. Wir empfehlen allerdings auch Unternehmen, die nicht direkt von NIS2 betroffen sind, proaktiv zu handeln. Lassen Sie Ihre Sicherheitsprozesse kritisch überprüfen und passen Sie sich ggf. gegen die aktuellen Bedrohungslagen an. Machen Sie sich außerdem mit den Sicherheitsanforderungen Ihrer Partner und Zulieferer vertraut und integrieren Sie diese in eigene Prozesse. Und zuletzt schulen Sie Ihr Team und schärfen Sie so das Bewusstsein für Sicherheitsrisiken.

Wie eingangs erwähnt, stellt dieser Artikel keine Rechtsberatung dar, gar ersetzt er sie. Wir empfehlen dringend, eine fachlich fundierte Beratung hinzuzuziehen.

 
Textquellen: https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-Richtlinien/nis-richtlinie_node.html

 

Weitere beliebte Artikel