NIS-2 – Gesetzesgrundlage zur Resilienz gegen Cyberangriffe kündigt sich an
Durch die fortschreitenden Digitalisierungen ist die Bedrohungslage vor Gefahren im Internet globaler geworden. Die EU hat deshalb eine neue Version der NIS-Richtlinie veröffentlicht, um europaweit einheitliche Maßnahmen gegen Cyberangriffe einzuleiten.
Etwa 30.000 bis 40.000 Unternehmen in Deutschland müssen die NIS-2 Richtlinie direkt anwenden, durch die Anforderungen an die Cybersicherheit von Lieferketten werden noch weitere Unternehmen die Richtlinie umsetzen müssen.
Ein nationales Gesetz zur Umsetzung der NIS-2-Richtlinie wird bis spätestens Oktober 2024 in Kraft treten: auf was müssen sich Unternehmen einstellen?
Ziel der NIS-2-Richtlinie
Durch die Richtlinie über Netz- und Informationssicherheit sollen wichtige und wesentliche Branchen und Dienstleistungen europaweit vor Cyberrisiken geschützt und die Resilienz gegen Cyberbedrohungen gestärkt werden.
Wer ist von der NIS-2 betroffen?
Mit der neuen NIS-2-Richtlinie wird sich die Anzahl der betroffenen Unternehmen deutlich vergrößern, welche das noch folgende nationale Gesetz umsetzen müssen.
Die Grafik zeigt die wesentlichen und wichtigen Einrichtungen, für welche die NIS-2 gelten wird.
Fällt ein Unternehmen innerhalb des Geltungsbereichs, müssen die Bestimmungen der NIS-2 erfüllt werden.
Der Geltungsbereich wird folgendermaßen definiert:
- Die Unternehmensgröße: min. 50 Mitarbeiter und Jahresumsatz übersteigt 10 Mio Euro
- Unabhängig von Größe oder Umsatz eines Unternehmens gibt es Ausnahmen
Die zu erwartenden Sanktionen bei Verstoß gegen die Richtlinien sind enorm.
Bei wesentlichen Einrichtungen drohen Bußgelder bis zu 10 Mio Euro oder 2% des Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Mio Euro oder 1,4% des Jahresumsatzes.
Was ist neu in der NIS-2?
Risikomanagement
Schwerpunkte der NIS-2 sind die Umsetzung von Risikoanalyse- und Sicherheitskonzepten, Vorfallmanagement und die Gewährleistung von Sicherheit in den Lieferketten. Dadurch sollen Unternehmen Risiken früher erkennen, angemessene Sicherheitsvorkehrungen treffen und bestmöglich auf Sicherheitsvorfälle reagieren.
Technische und organisatorische Maßnahmen (TOM)
Es wird gefordert, dass angemessene Sicherheitsvorkehrungen mit Hilfe aktueller technologischer Entwicklungen zum Schutz der digitalen Infrastruktur und Dienste angewendet werden.
Meldepflicht von Cybersicherheitsvorfällen
Vorfälle müssen innerhalb von 24 Stunden nach Bekanntwerden gemeldet werden.
Spätestens einen Monat nach Bekanntwerden des Vorfalls muss ein abschließender Bericht vorliegen.
Die strenge und zeitnahe Meldepflicht soll bei der Bekämpfung von Cybersicherheitsvorfällen helfen.
Haftung der Managementebene
Führungskräfte sollen künftig für Verstöße gegen die Vorschriften haftbar gemacht werden.
Sicher für die Zukunft
Die NIS-2 gibt keine klaren Anweisungen, wie die Richtlinie umgesetzt werden muss.
Ein etabliertes Informations-Sicherheits-Management-System (ISMS) nach der ISO27001:2022 ist eine hervorragende Grundlage für die Einhaltung der NIS-2 Anforderungen, da ein Großteil dieser bereits in der Norm abgedeckt werden.
Es bleibt nur noch ein knappes Jahr, um die Vorgaben der NIS-2 umzusetzen, im Unternehmen zu etablieren und die Mitarbeiter zu sensibilisieren. Wir empfehlen Ihnen daher dringend, sich baldmöglichst mit diesem Thema auseinanderzusetzen.
Gerne unterstützen wir Sie bei der Optimierung des Schutzes vor Cyberrisiken und der Resilienz gegen Cyberbedrohungen durch die Einführung Ihres ISMS auf Basis der ISO27001.
Haben Sie noch Fragen?
Wenn Sie Fragen haben oder Unterstützung bei der Umsetzung eines ISMS haben möchten, dann kontaktieren Sie uns gerne.