Die NIS-2-Richtlinie der EU verfolgt das Ziel, ein hohes gemeinsames Cybersicherheitsniveau innerhalb der Europäischen Union zu etablieren. Sie löst die vorherige NIS-1-Richtlinie ab und erweitert dabei auch erheblich die Anzahl der betroffenen Unternehmen. Dieser Schritt ist eine Reaktion auf die steigenden Cyberbedrohungen und die Notwendigkeit eines koordinierten Vorgehens auf EU-Ebene. Unternehmen, die von der NIS-2-Richtlinie betroffen sind, werden sich proaktiv registrieren müssen, ohne einen offiziellen Hinweis erhalten zu haben. Wir haben für Sie zusammengefasst, wann die NIS-2-Richtilinie in Kraft tritt, wer betroffen ist und welche Anforderungen die Richtlinie stellt. 

1. Hintergrund: NIS-1 und NIS-2 – Was ist der Unterschied?
2. Wann tritt die NIS-2-Richtlinie in Deutschland in Kraft?
3. Wer ist betroffen? Erweiterung der betroffenen Sektoren und Unternehmen
4. Anforderungen der NIS-2-Richtlinie für Unternehmen
5. Handlungsempfehlungen zur Umsetzung der NIS-2-Direktive
6. Auswirkungen der NIS-2-Richtlinie auf alle Unternehmen

Hintergrund: NIS-1 und NIS-2 – Was ist der Unterschied?

Die vorherige NIS-1-Richtlinie hatte das Ziel, Cybersicherheitskapazitäten in den Mitgliedsstaaten aufzubauen und die Sicherheit in der kritischen Infrastruktur zu verbessern. Mit dem Erreichen dieser Ziele wurde jedoch deutlich, dass weitere Maßnahmen erforderlich sind, um mit den zunehmenden Cyberbedrohungen Schritt zu halten. Die NIS-2-Richtlinie strebt daher die Schaffung eines funktionierenden Binnenmarktes an, der durch einheitliche Cybersicherheitsstandards und -anforderungen unterstützt wird. Das neue IT-Sicherheitsgesetz geht somit einen Schritt weiter und legt bei deutlich mehr betroffenen Unternehmen einen verstärkten Wert auf einheitliche Standards und Verpflichtungen.

Wann tritt die NIS-2 Richtlinie in Deutschland in Kraft?

Am 27. Dezember 2022 wurde die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) im EU-Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft. Die Umsetzung der NIS 2 Richtlinie erfordert die Anpassung und Integration in das nationale Rechtssystem der EU-Mitgliedsstaaten. Die Deadline für diese Umsetzung ist der 17. Oktober 2024. Jedes Land ist verpflichtet, die Richtlinie in nationales Recht zu überführen und sicherzustellen, dass die festgelegten Anforderungen erfüllt werden.

In Deutschland wurde im Juli 2023 bereits ein Referentenentwurf des Bundesinnenministeriums zur Umsetzung vorgelegt, der als NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bekannt ist. Seit September 2023 liegt ein dritter Entwurf vor, der ursprünglich im März 2024 verabschiedet wurde. Die Verabschiedung von NIS2UmsuCG wird sich jedoch noch um einige Wochen verzögern. Es ist trotzdem ratsam, sich bereits jetzt intensiv mit NIS-2 auseinanderzusetzen und mit den Vorbereitungen zu beginnen. Dies ermöglicht es Unternehmen, frühzeitig geeignete Schutzmaßnahmen zu ergreifen und einen reibungslosen Übergang zur Einhaltung der neuen Richtlinie sicherzustellen. Zudem wird das Risiko minimiert, dass die Nachfrage kurz vor Inkrafttreten der Richtlinie zu Engpässen in Beratungsunternehmen führt – ähnlich wie es bei der DSGVO teilweise der Fall war.  

Wer ist betroffen? Erweiterung der betroffenen Sektoren und Unternehmen

Ob die NIS-2-Richtlinie greift, hängt von drei Faktoren ab: der Mitarbeiteranzahl, dem Umsatz und dem Sektor. Da nicht alle drei Faktoren erfüllt sein müssen und es auch Sonderfälle gibt, empfiehlt es sich, Expertise bei der Überprüfung der Betroffenheit einzuholen. Die Richtlinie betrifft eine Vielzahl von Sektoren und Unternehmen, die als besonders wichtige und wichtige Einrichtungen klassifiziert werden. Dazu gehören beispielsweise Bereiche wie das verarbeitende Gewerbe (z. B. Maschinenbau), Verkehr, Energie, Finanzwesen, Gesundheitswesen und digitale Infrastruktur. Die Liste der betroffenen Sektoren ist lang. Die Auswahl basiert auf Kriterien wie gesellschaftlicher und wirtschaftlicher Bedeutung sowie potenziellen Auswirkungen auf die öffentliche Ordnung und Sicherheit.  

Klein- und Kleinst-Unternehmen sind in der Regel ausgeschlossen. NIS-2 greift somit bei Organisationen mit mehr als 50 Mitarbeitenden oder wenn die Organisation mehr 10 Mio. Jahresumsatz bzw. Jahresbilanzsumme aufweist.

Anforderungen der NIS-2 Richtlinie für Unternehmen

Die Richtlinie umfasst verschiedene Aspekte der Cybersicherheit, darunter nationale Cybersicherheitsstrategien, die Rolle der Behörden bei Cybersicherheitsvorfällen, Meldepflichten bei Sicherheitsvorfällen, Risikomanagement, Sanktionen und Bußgelder. Jeder dieser Aspekte ist entscheidend für die Gewährleistung eines robusten und koordinierten Ansatzes zur Cybersicherheit auf EU-Ebene. Nachfolgend betrachten wir die Anforderungen, die für betroffene Unternehmen in Deutschland relevant sind.

Governance – Verpflichtung der Leitung

Die Leitung ist für die Umsetzung der NIS-2-Richtlinie verantwortlich. Sie muss im Unternehmen jemanden beauftragen ein Risikomanagement zu implementieren. Ebenso liegt es im Verantwortungsbereich der Leitung, dass Mitarbeitende regelmäßige Schulungen erhalten, um für die Informationssicherheit zu sensibilisieren und um Risiken besser eigenständig identifizieren zu können. Für die Geschäftsleitung bestehen erweiterte Haftungspflichten für die Umsetzung der Maßnahmen. 

Risikomanagement – Risiken identifizieren und minimieren

Ein zentraler Bestandteil der NIS-2-Richtlinie ist das Risikomanagement, das Unternehmen dazu verpflichtet, Risiken zu identifizieren und angemessen darauf zu reagieren. Dabei müssen die Assets im Unternehmen betrachtet werden und der mögliche Schaden sowie die Eintrittswahrscheinlichkeit dokumentiert und Maßnahmen zur Risikobehandlung festgelegt werden. Die NIS-2-Richtlinie fordert auch die explizite Umsetzung von Maßnahmen, wie z. B. Notfallmanagement oder 2-Faktor-Authentifizierungen. 

Sicherheit in der Lieferkette

Eigentlich ist das Risikomanagement in der Lieferkette ein Bestandteil des Risikomanagements. Hinter dieser Anforderung stecken aber größere Auswirkungen für betroffene Unternehmen. Informationssicherheitsstandards, wie die ISO 27001:2022 oder die VDA ISA/TISAX, greifen immer stärker in die Lieferkette ein und reichen ihre Anforderungen an ihre Lieferanten durch. An dieser Entwicklung orientiert sich auch die NIS-2-Richtlinie. So soll sichergestellt werden, dass Sicherheitsvorfälle bei Dienstleistern/Lieferanten nicht zu einem Stillstand im eigenen Unternehmen führen.  

Meldepflicht

Wenn ein Sicherheitsvorfall eintritt, müssen Unternehmen ein mehrstufiges Meldesystem umsetzen. Dabei müssen Frühwarnungen, aktualisierte Meldungen und abschließende Berichte innerhalb von definierten Fristen durchgeführt werden. 

Sanktionen und Bußgelder

Die Richtlinie sieht Sanktionen für Unternehmen vor, die gegen ihre Verpflichtungen verstoßen. Diese können Geldstrafen oder andere Maßnahmen umfassen und hängen von der Schwere des Verstoßes ab. Als Bußgeldobergrenze sind 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes vorgeschrieben. Das NIS-2UmsuCG sieht außerdem erweiterte Haftungspflichten für die Geschäftsleitung vor.

Registrierung

Wenn NIS-2 in Deutschland in Kraft getreten ist, werden sich Unternehmen proaktiv registrieren müssen. Dabei erhalten betroffene Unternehmen keinen offiziellen Hinweis zur Registrierung. Daher ist es unerlässlich, dass man sich als mittleres oder großes Unternehmen mit der Betroffenheit auseinandersetzt. 

Handlungsempfehlungen zur Umsetzung der NIS-2-Direktive

Es liegt bereits der dritte Entwurf des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) vor, daher sind wesentliche Änderungen in der Richtlinie unwahrscheinlich. Das NIS2UmsuCG wird nicht wie geplant im März 2024 kommen, sondern sich um ein paar Wochen oder Monate verzögern. Wer aber früh anfängt, gerät später nicht in zeitliche Not, um die organisatorischen und technischen Anforderungen im Unternehmen erfolgreich zu implementieren. Eine langfristige Informationssicherheitsstrategie und die Implementierung von Prozessen sowie Zuständigkeiten sind größere Projekte, deren Komplexität Unternehmen nicht unterschätzen sollten. Vor allem in kleineren und mittleren Unternehmen existiert häufig ein dringender Handlungsbedarf, wenn viele grundlegenden Themen in der Informationssicherheit noch nicht geklärt sind.  

Unternehmen sollten zeitnah ihre Betroffenheit überprüfen. Falls Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist, empfehlen wir eine GAP-Analyse, um einen Überblick über den Status Quo zu erhalten. Sie erhalten somit den Fahrplan zur NIS-2-Konformität und wissen, welche Anforderungen noch umzusetzen sind.

Auswirkungen der NIS-2 Richtlinie auf alle Unternehmen

Unternehmen tun sich einen Gefallen, wenn sie die NIS-2-Richtlinie nicht nur aus Angst vor Strafen umsetzen, sondern gewissenhaft und strategisch umsetzen, um vor Cyberangriffen geschützt zu sein. Die Informationssicherheitsstrategie wird ein immer wichtiger Punkt, um die eigene Wettbewerbsfähigkeit sicherzustellen. 

Diese Anforderung der NIS-2-Richtlinie, das Risiko in der Lieferkette zu minimieren, wird den ohnehin schon vorhandenen Trend verstärken, dass Unternehmen bei ihren Lieferanten ein immer stärkeres Augenmerk auf die Cybersicherheit legen. Mit der Einführung eines Informationssicherheitsmanagementsystems (ISMS) stellen Unternehmen die Basis auf, um alle relevanten Anforderungen von NIS-2 umzusetzen. Mit der Implementierung eines ISMS im Unternehmen schlagen Unternehmen drei Fliegen mit einer Klappe: Unterstützung bei der Umsetzung zur NIS-2-Konformität, Schutz vor Cyberangriffen und Verbesserung der Wettbewerbsfähigkeit. 

Wir unterstützen Sie bei der NIS-2-Richtlinie!

Unsere zertifizierten Cybersicherheits-Experten bündeln Ihr Know-How mit unserem Partner LiiDu (Rechtsanwalt mit IT-Know-How), damit Sie auf der sicheren Seite sind. In unserem kostenfreien Beratungsgespräch überprüfen wir die Betroffenheit Ihres Unternehmens und klären offene Fragen zu NIS-2.  

Wir hoffen, dass wir Ihnen mit diesem Beitrag bereits einen guten Überblick über die NIS-2-Richtlinie in Deutschland geben konnten. In unserem nächsten Beitrag im März werden wir einen Deep Dive in das Thema Risikomanagement machen. 

Informieren Sie sich jetzt zur Umsetzung der NIS-2 Richtlinie!

Wir beraten Sie mit einer fundierten rechtlichen Expertise sowie unserer langjährigen Erfahrung in der Implementierung von sicheren IT-Lösungen und Informationssicherheitsmanagementsystemen.