Die NIS-2-Richtlinie in Deutschland: Was Sie als Unternehmen beachten müssen

EU setzt mit NIS-2-Richtlinie neue Standards gegen Cyberbedrohungen

Die Europäische Union hat die NIS-2-Richtlinie verabschiedet, die neue Maßstäbe für Unternehmen im Kampf gegen Cyberbedrohungen setzt. Unser Leitfaden unterstützt Unternehmen in Deutschland dabei, die neuen Anforderungen zu verstehen, umzusetzen und ihre Netzwerke sowie Daten entsprechend den neuen Richtlinien zu sichern. Gerne berät, unterstützt und schult unser Team sie individuell!

NIS = Network and Information Security

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie, die 2016 in Kraft trat und die Cybersicherheit in der EU stärken sollte. Die neue Richtlinie baut auf diesen Grundlagen auf und führt tiefgreifendere Anforderungen ein, um die Sicherheit und Resilienz von Netzwerk- und Informationssystemen in der EU zu erhöhen. Neu ist die Ausweitung auf eine Vielzahl von Unternehmensgruppen, die nun strengeren Sicherheitsvorgaben unterliegen – betroffen sind jetzt auch .

Wer sind die KRITIS-Betreiber?

Die NIS-2-Richtlinie betrifft Unternehmen aus den KRITIS-Sektoren, also kritischen Infrastrukturen, bei den eine Cyberangriff zu hohen wirtschaftlichen Beträgen bis hin zu Versorgungsausfällen führen kann. Dazu zählen unter anderem Gesundheitswesen, Energie, Transport und Bankwesen. Wichtig ist, diese EU-Richtlinie auch für Lieferanten und Dienstleister dieser Unternehmen gilt. Daher ist es wichtig, dass jedes Unternehmen genau verstehet, welche Auswirkungen diese Richtlinie auf seine Geschäftsprozesse hat.

KRITIS = kritische Infrastrukturen

Betroffene Sektoren / KRITIS-System:

• Energie
• Transport
• Bankwesen
• Finanzmarktinfrastruktur
• Gesundheit
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• IKT-Dienstleistungsmanagement
• Öffentliche Verwaltungen
• Weltraum
• Post- und Kurierdienste
• Abfallwirtschaft
• Herstellung
• Produktion und Vertrieb von Chemikalien
• Lebensmittelproduktion, -verarbeitung und -vertrieb
• Herstellung
• digitale Anbieter
• Forschung

Unternehmen außerhalb dieser Sektoren, die mehr als 50 Personen beschäftigen oder einen Jahresumsatz bzw. eine Jahresbilanzsumme von über 10 Millionen Euro aufweisen, fallen ebenfalls unter die NIS-2-Richtlinie.

Auswirkungen auf die Geschäftsführung:

• Weiterbildung
  Die Unternehmensführung muss sich kontinuierlich weiterbilden, um den neuesten Sicherheitsanforderungen gerecht zu werden, beispielsweise durch Schulungen und Seminare.
• Verantwortung
  Die Geschäftsführung trägt die Verantwortung für die Einhaltung der Richtlinie und die Sicherheit der IT-Systeme.
• Haftung
  Bei Verstößen durch Sicherheitslücken, die der Geschäftsführung bewusst waren oder hätten bewusst sein müssen, haften diese auch mit ihrem Privatvermögen.

Wichtige Termine und Fristen der NIS-2-Richtlinie

Die EU-Mitgliedstaaten müssen bis zum 17. Oktober 2024 diese Richtlinie umsetzen, ab dem 18. Oktober 2024 ist sie bindend. Wir empfehlen Ihnen, frühzeitig mit den Vorbereitungen zu beginnen!

• wir bieten die notwendigen Schulungen an –  gerne können Sie sich zu einem Termin bei uns im Haus anmelden oder einen individuellen Termin für Ihr Unternehmen vereinbaren
• wir unterstützen Sie bei Umsetzung und Einhaltung der NIS-2-Richtlinie

Meldepflichten und Fristen

Sicherheitsvorfälle müssen innerhalb von 24 Stunden nach Entdeckung als vorläufiger Bericht an die zuständigen Behörden gemeldet werden, gefolgt von einer Aktualisierung und Beurteilung/Bewertung der Situation in Form eines vollständigen Berichts nach 72 Stunden. Ein ausführlicher Abschlussbericht mit einer detaillierten Beschreibung des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen muss 30 Tage nach dem Vorfall vorgelegt werden.

Alle Unternehmen, die von der NIS-2-Richtlinie betroffen sind, sind verpflichtet, sich ab dem 18. Oktober 2024 beim Bundesamt für Sicherheit in der  Informationstechnik (BIS) zu registrieren.

Verschärfung der Passwort-Sicherheit

Unternehmen müssen strenge Passwort-Richtlinien einführen, regelmäßige Aktualisierungen vornehmen und Multi-Faktor-Authentifizierung (MFA) implementieren. Die Nutzung von Passwort-Managern wird empfohlen, um die Einhaltung der Richtlinie zu gewährleisten.

Umsetzung der NIS 2-Richtlinie: Technische und organisatorische Maßnahmen

• Technische Maßnahmen: Risikoanalyse und -management, Zugriffs- und Identitätsmanagement sowie physische Sicherheitsmaßnahmen.
• Organisatorische Maßnahmen: Notfall- und Krisenmanagement, Datenschutz und Compliance.

Zusätzliche Sicherheitsmaßnahmen und bewährte Praktiken

Regelmäßige Penetrationstests und Advanced Threat Protection (ATP) helfen, fortschrittliche Bedrohungen proaktiv zu erkennen und zu blockieren.

Langfristige Cyber-Resilienz aufbauen

Die Bildung spezialisierter Incident Response Teams und regelmäßige Schulungen zur Cybersicherheit sind entscheidend, um die NIS 2-Richtlinie zu erfüllen und Sicherheitsrisiken zu minimieren.

Nationale Anpassungen der NIS-2-Richtlinie

Jedes EU-Mitgliedsland kann die NIS-2-Richtlinie im nationalen Recht weiter verschärfen. Unternehmen, die international tätig sind, müssen sich daher auch über nationale Besonderheiten informieren und diese in ihre Compliance-Strategien integrieren.

Zusammenfassung der wichtigsten Punkte zur NIS-2-Richtlinie

• Überarbeitete Version: NIS-2 ist eine verbesserte Version der ursprünglichen EU-Richtlinie
• Inkrafttreten: Die Richtlinie wurde am 27.12.2022 verabschiedet und trat am 16.01.2023 in Kraft
• Umsetzungsfrist: Die Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 umsetzen, ab dem 18. Oktober 2024 ist sie bindend
• Ziel: Schutz von Organisationen und kritischen Infrastrukturen vor Cyberbedrohungen
• Betroffene Unternehmen: Unternehmen aus KRITIS-Sektoren nebst deren Lieferanten/Zulieferer sowie Unternehmen, die bestimmte Größen- oder Umsatzkriterien erfüllen

Die Umsetzung der NIS-2-Richtlinie stellt eine Herausforderung dar, bietet jedoch die Möglichkeit, die Cybersicherheit und damit die Gesamt-Resilienz Ihres Unternehmens zu verbessern. Beginnen Sie jetzt mit den notwendigen Schritten, um Ihr Unternehmen optimal auf diese neuen Anforderungen vorzubereiten.