Securam Consulting Logo

Die NIS2-Richtlinie: Cybersicherheit für kritische Infrastrukturen stärken

Einleitung & Hintergrund zu NIS2

Die NIS2-Richtlinie stellt einen bedeutenden Schritt zur Stärkung der Cybersicherheit in der gesamten EU dar. Sie wurde entwickelt, um die Widerstandsfähigkeit kritischer Infrastrukturen zu verbessern und die Sicherheit für Branchen wie Energieversorgung, Gesundheitswesen, Transport und Finanzwesen zu erhöhen. Auch Unternehmen, die bisher nicht unter die Definition kritische Infrastruktur fielen, sind nun betroffen. Doch was genau bedeutet das für die Praxis? Diese Einführung bietet einen kompakten Überblick über die wichtigsten Aspekte von NIS2, die betroffenen Unternehmen und die konkreten Fristen, die es zu beachten gilt. Erfahren Sie, welche Schritte notwendig sind, um den neuen regulatorischen Anforderungen gerecht zu werden und wie sich Ihr Unternehmen optimal darauf vorbereiten kann.

NIS2-Unterstützung durch SECURAM Consulting

Die umfangreiche Verpflichtungen für Unternehmen aufgrund von NIS2 stellen große Herausforderungen dar. SECURAM Consulting hilft Ihnen, die Anforderungen der NIS2 zu verstehen und effektiv umzusetzen. Unsere Experten führen Sie durch den gesamten Prozess, von der Analyse bestehender Sicherheitsstrukturen über die Implementierung notwendiger Maßnahmen bis hin zur Schulung Ihrer Mitarbeitenden. Dabei legen wir besonderen Wert darauf, dass die Sicherheitslösungen nicht nur gesetzeskonform, sondern auch praxistauglich und auf Ihr Unternehmen zugeschnitten sind.

Was genau ist NIS2?

Die NIS2-Richtlinie ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie (Network and Information Security) aus dem Jahr 2016. Sie wurde entwickelt, um den steigenden Bedrohungen in der digitalen Welt gerecht zu werden und die Sicherheit der Netz- und Informationssysteme in der gesamten EU zu erhöhen. Ziel von NIS2 ist es, eine einheitliche und stärkere Cybersicherheitsbasis für alle Mitgliedsstaaten zu schaffen, indem Anforderungen an Unternehmen verschärft und Verantwortlichkeiten klar definiert werden. 

Im Vergleich zur ursprünglichen NIS-Richtlinie wurden sowohl der Anwendungsbereich als auch die Sicherheitsanforderungen ausgeweitet. Neben klassischen Betreibern kritischer Infrastrukturen wie Energie- und Wasserversorgern fallen nun auch weitere Sektoren wie Gesundheitsversorgung, digitale Dienste und öffentliche Verwaltung unter die neuen Regelungen. Die Richtlinie zielt darauf ab, die Reaktionsfähigkeit bei Sicherheitsvorfällen zu erhöhen und die Zusammenarbeit zwischen den Mitgliedsstaaten zu verbessern. Damit werden Unternehmen verpflichtet, ihre Sicherheitsmaßnahmen zu intensivieren und ein hohes Maß an Widerstandsfähigkeit gegen Cyberbedrohungen sicherzustellen. 

Wer ist von NIS2 betroffen?

Die NIS2-Richtlinie betrifft eine breite Palette von Unternehmen und Organisationen, die als Betreiber kritischer Infrastrukturen oder wichtiger Einrichtungen gelten. Dazu gehören Branchen wie Energieversorgung, Gesundheitswesen, Transport, Finanzwesen, Wasserversorgung, digitale Dienste sowie die öffentliche Verwaltung. Diese Unternehmen unterliegen besonders strengen Anforderungen, da sie für die Versorgung und Sicherheit der Gesellschaft von essenzieller Bedeutung sind. 

Die Betroffenheit wird mit Hilfe verschiedener Kriterien erfasst.

Konkrete Grenzwerte für die Betroffenheit von NIS2

Neben der Branche sind weitere Unternehmenskennzahlen zu prüfen, ob die NIS2-Richtlinie für ein Unternehmen von Relevanz sind. Für Betreiber von Telekommunikationsdiensten ist außerdem die Art der erbrachten Leistung entscheidend.

 

Kriterium 

Grenzwert 

Anzahl der Mitarbeitenden 

Mindestens 50 (für viele betroffene Branchen) 

Jahresumsatz 

Über 10 Mio. € (in bestimmten Branchen) 

Jahresbilanzsumme 

Über 10 Mio. € (in bestimmten Branchen) 

Unternehmen gemäß Anhang 1 der NIS2 

Mindestens 250 Mitarbeitende oder Jahresumsatz > 50 Mio. € und Jahresbilanzsumme > 43 Mio. € 

 

Branche 

Beschreibung 

Energieversorgung 

Betreiben besonders wichtige Energieinfrastrukturen 

Telekommunikation 

Erbringen Telekommunikationsdienste oder betreiben Telekommunikationsnetze 

Gesundheitswesen 

Erbringen essenzielle Dienstleistungen im Gesundheitssektor 

Transport 

Betreiben wichtige Transportinfrastrukturen, einschließlich Land-, Wasser- und Lufttransport 

Finanzwesen 

Erbringen Dienstleistungen im Bankwesen, Versicherungswesen und Finanzmärkten 

Wasserversorgung 

Betreiben Wasserversorgungs- und Abwassersysteme 

Digitale Dienste 

Erbringen digitale Dienstleistungen wie Cloud-Dienste, Online-Marktplätze und Suchmaschinen 

Öffentliche Verwaltung 

Betreiben öffentliche Infrastrukturen und Dienstleistungen im Rahmen der staatlichen Verwaltung 

Haftung und Verantwortung der Unternehmensführung

Für Vorstände und Geschäftsführungen bedeutet NIS2 eine erhebliche Verschärfung der Haftung. Die NIS2-Richtlinie sieht vor, dass die Unternehmensführung persönlich dafür verantwortlich ist, dass die Cybersicherheitsanforderungen eingehalten werden. Bei Verstößen drohen empfindliche Strafen, die sowohl Bußgelder als auch persönliche Haftung umfassen können. Die Unternehmensleitung muss daher sicherstellen, dass angemessene Sicherheitsmaßnahmen implementiert werden, und regelmäßig prüfen, ob diese den regulatorischen Anforderungen entsprechen. Dies erhöht den Druck auf die Geschäftsführung, Cybersicherheit als Priorität in der Unternehmensstrategie zu verankern und sicherzustellen, dass alle Mitarbeiter entsprechend sensibilisiert und geschult sind. 

Zeitplan für die Umsetzung der NIS2-Richtlinie in Deutschland 

Die Umsetzung der NIS2-Richtlinie in deutsches Recht erfolgt in mehreren Schritten. Nachdem die NIS2 im Dezember 2022 durch das EU-Parlament beschlossen wurde, sind die Mitgliedsstaaten nun verpflichtet, die Richtlinie bis Oktober 2024 in nationales Recht umzusetzen. Der aktuelle Entwurf des Umsetzungsgesetzes, bekannt als NIS2-Umsetzungsgesetz, wurde im März 2024 im Bundestag eingebracht und befindet sich nun in der finalen Abstimmungsphase. Das Inkrafttreten des Gesetzes wird für März 2025 erwartet. 

Timeline der NIS2-Umsetzung 

Dezember 2022: Verabschiedung der NIS2-Richtlinie durch das EU-Parlament. Die Richtlinie legt neue Cybersicherheitsanforderungen für eine Vielzahl von Sektoren fest.

Frühjahr 2023: Beginn der Abstimmungsphase in den Mitgliedsstaaten, in der nationale Umsetzungsgesetze erarbeitet werden. In Deutschland erfolgte die Konsultation von Interessengruppen und Experten, um spezifische Anpassungen vorzunehmen.

März 2024: Einbringung des NIS2-Umsetzungsgesetzes im Bundestag. Der Entwurf wird von den zuständigen Bundesministerien finalisiert und an die Erfordernisse der NIS2 angepasst.

Oktober 2024: Frist zur vollständigen Umsetzung der NIS2-Richtlinie in deutsches Recht. Alle Mitgliedsstaaten müssen sicherstellen, dass ihre nationalen Gesetze den Anforderungen der NIS2 entsprechen.

März 2025: Voraussichtliches Inkrafttreten des NIS2-Umsetzungsgesetzes in Deutschland, einschließlich verbindlicher Maßnahmen und Sanktionen bei Nichteinhaltung.

Aktuell befindet sich Deutschland in der finalen Phase der Anpassung der nationalen Gesetzgebung an die Anforderungen der NIS2-Richtlinie. Das NIS2-Umsetzungsgesetz wird voraussichtlich im März 2025 in Kraft treten, was Unternehmen Zeit gibt, sich auf die neuen Anforderungen vorzubereiten. 

Was müssen von NIS2-betroffene Unternehmen tun?

Unternehmen, die unter die NIS2-Richtlinie fallen, müssen spezifische Anforderungen erfüllen, um die Cybersicherheit zu gewährleisten. Zuerst ist zu klären, wo die eigene Unternehmung zur Rechtsnorm steht:

  • Gap-Analyse durchführen: Eine Gap-Analyse hilft dabei, bestehende Sicherheitslücken zu identifizieren und Maßnahmen zur Umsetzung der NIS2-Anforderungen gezielt zu planen. 
  • Risikomanagement etablieren: Einführung eines Cybersicherheits-Risikomanagements, das Risiken identifiziert, bewertet und mitigiert. 
  • Sicherheitsmaßnahmen umsetzen: Technische und organisatorische Maßnahmen ergreifen, z. B. Netzwerksicherheit, Zugriffskontrollen und Notfallpläne. 
  • Meldepflichten beachten: Sicherheitsvorfälle müssen unverzüglich an die zuständige Behörde gemeldet werden, um eine schnelle Reaktion zu ermöglichen. 
  • Überwachung und Berichterstattung: Regelmäßige Überprüfungen der Cybersicherheitsmaßnahmen und Berichterstattung an die zuständigen Behörden. 

Fazit


Die NIS2-Richtlinie setzt neue Maßstäbe für die Cybersicherheit in der EU und betrifft eine Vielzahl von Sektoren, die als kritisch eingestuft werden. Unternehmen müssen sich frühzeitig auf die verschärften Anforderungen vorbereiten, indem sie ihre Cybersicherheitsmaßnahmen überprüfen und anpassen. Ein proaktives Risikomanagement, die Umsetzung technischer Schutzmaßnahmen und das Einhalten von Meldepflichten sind zentrale Elemente, um den neuen Vorgaben gerecht zu werden. Die Unternehmensführung trägt hierbei eine besondere Verantwortung, um Haftungsrisiken zu minimieren und die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen.