Die immer weiter fortschreitende Digitalisierung unserer Gesellschaft bringt nicht nur zahlreiche Vorteile mit sich, sondern auch ernsthafte Herausforderungen in Bezug auf die Sicherheit unserer digitalen Infrastrukturen. Und um diesen Herausforderungen zu begegnen, hat die Europäische Union die sogenannte NIS-2-Richtlinie eingeführt. Es handelt sich herbei um eine bedeutende legislative Initiative, welche darauf abzielt, die Cybersicherheit in der gesamten EU zu stärken.
- Der Hintergrund
Die NIS-2-Richtlinie, welche für Network and Information Systems 2 steht, ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie aus dem Jahre 2016. Ziel der Richtlinie ist es, die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber Cyberbedrohungen zu verbessern und die Zusammenarbeit zwischen den Mitgliedsstaaten zu intensivieren. - Erweiterter Anwendungsbereich
Der erweiterte Anwendungsbereich ist einer der entscheidenden Unterschiede zwischen NIS und NIS-2. Denn während die erste Richtlinie hauptsächlich auf Betreiber kritischer Infrastrukturen abzielte, wurden die Regelungen der NIS-2-Richtlinie auf eine breitere Palette von Unternehmen und Dienstleistungsanbietern ausgedehnt. So umfasst die Richtlinie nun auch digitale Dienstleister, Cloud Computing-Anbieter und Online-Marktplätze. - Verpflichtende Sicherheitsmaßnahmen
Die NIS-2-Richtlinie legt verbindliche Sicherheitsmaßnahmen fest, die von den betroffenen Organisationen umgesetzt werden müssen. Hierzu gehören unter anderem Risikomanagementverfahren, Vorfallserkennung und -bewältigung, sowie die Pflicht zur Meldung von schwerwiegenden Sicherheitsvorfällen. - Erhöhte Kooperationsanforderungen
In der NIS-2-Richtlinie wird vor allem die Zusammenarbeit zwischen den Mitgliedsstaaten der EU verstärkt betont. Dies beinhaltet insbesondere den Austausch von Informationen über aktuelle Bedrohungen und Sicherheitsvorfälle, sowie die Entwicklung gemeinsamer Leitlinien für bewährte Verfahren. - Sanktionen und Durchsetzung
Um sicherzustellen, dass die Vorschriften eingehalten werden, sieht die NIS-2-Richtlinie auch Sanktionen vor. Diese können Geldbußen oder andere geeignete Maßnahmen umfassen. Die EU-Mitgliedstaaten sind außerdem dazu verpflichtet, nationale Durchsetzungsstellen zu benennen.
Für wen gilt die NIS-2-Richtlinie?
Von der NIS-2-Richtlinie sind viele deutsche Unternehmen betroffen. Denn ab Oktober 2024 gilt in der kompletten EU ein hohes Maß an IT-Sicherheit – insbesondere für Betreiber kritischer Infrastruktur (KRITIS). Grundsätzlich gibt es zwei Kriterien, welche entscheidend sind, ob das entsprechende Unternehmen von der NIS-2-Richtlinie betroffen ist:
Kriterium Nr. 1: Die Unternehmensgröße
Unternehmen mit
- mit mind. 50 Mitarbeitenden und
- einem Jahresumsatz/einer Bilanzsumme von über 10 Millionen Euro
sind von der NIS-2-Richtlinie betroffen, wenn das nachfolgende Kriterium ebenfalls zutrifft.
Kriterium Nr. 2: Der Unternehmenssektor
Ein weiteres Kriterium, ob eine Einrichtung unter die NIS-2-Richtline fällt, ist die Zugehörigkeit zu einem der folgenden 18 Unternehmenssektoren. Sind beide Kriterien erfüllt, fällt das Unternehmen somit unter die NIS-2-Richtlinie.
Sektoren mit hoher Kritikalität (Anhang I der NIS-2):
- Energie: Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas und Wasserstoff
- Verkehr: Luftverkehr, Schienenverkehr, Schifffahrt und Straßenverkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (B2B)
- Öffentliche Verwaltung
- Weltraum
Sonstige kritische Sektoren (Anhang II der NIS-2):
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren: Herstellung von Medizinprodukten und In-vitro-Diagnostika, Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Herstellung von elektrischen Ausrüstungen, Maschinenbau, Herstellung von Kraftwagen und Kraftwagenteilen und sonstiger Fahrzeugbau.
- Anbieter digitaler Dienste
- Forschung
Ausnahmen bei der NIS2-Einstufung
Es gibt unabhängig von der Größe und des Umsatzes eines Unternehmens auch Ausnahmen, wenn beispielsweise ein Unternehmen kritische Tätigkeiten ausübt, Auswirkungen auf die öffentliche Ordnung nimmt oder Systemrisiken sowie grenzüberschreitende Auswirkungen bestehen, wenn das Unternehmen ausfällt. Solche Unternehmen können vom Anwendungsbereich der NIS2-Richtlinie erfasst sein, selbst wenn sie weniger als 50 Mitarbeiter haben oder der Jahresumsatz unter 10 Millionen Euro liegt. Hierunter fallen beispielsweise die folgenden Einrichtungen:
- Digitale Infrastruktur
- Öffentliche Verwaltung
- Sonderfälle
- Kritische und bisherige Einrichtungen
Fazit
Schlussendlich markiert die NIS-2-Richtlinie einen wichtigen Schritt in Richtung einer verbesserten IT-Sicherheit in der Europäischen Union. Indem sie den Anwendungsbereich erweitert, verbindliche Sicherheitsmaßnahmen einführt und die Kooperation zwischen den Mitgliedstaaten stärkt, trägt sie dazu bei, die digitale Resilienz in einer zunehmend vernetzten Welt zu stärken. Unternehmen sollten sich daher rechtzeitig über die Anforderungen informieren und entsprechende Maßnahmen ergreifen, um den Sicherheitsstandards gerecht zu werden und sich so vor potenziellen Cyberbedrohungen zu schützen.
Sollten bei Ihrem Unternehmen beide Kriterien zutreffen und Sie Hilfe bzgl. der Umsetzung benötigen, stehen wir Ihnen selbstverständlich gerne zur Seite. Nehmen Sie hierzu einfach Kontakt mit uns auf.