Bereit für NIS2? Was die neue Richtlinie fordert

3 Min. Lesezeit
6. Oktober 2023

Der Countdown läuft: Ab Oktober 2024 soll die von der europäischen Kommission im Dezember 2022 beschlossene erweiterte EU-Richtlinie NIS2 in das nationale Recht überführt sein. Das Ziel: Die Cyber-Resilienz und Gefahrenabwehr kritischer Infrastrukturen sollen europaweit gestärkt werden. Im Vergleich zu KRITIS wird der Kreis der betroffenen Unternehmen damit deutlich ausgeweitet. Was so manchem aktuell noch als Damoklesschwert am Horizont erscheint, eröffnet angesichts von mehr als 200 Milliarden Euro Schaden pro Jahr durch Cyberkriminalität allein in deutschen Unternehmen auch enorme Chancen. Erfahren Sie hier, wie Sie diese Chancen nutzen und Ihre IT-Landschaft schon jetzt fit für die Anforderungen von NIS2 machen.

 

Inhalt

NIS2 - das Wichtigste auf einen Blick
Wer muss die neuen Anforderungen erfüllen
Jetzt handeln und die eigene Cyber-Resilienz stärken

 

NIS2 – das Wichtigste auf einen Blick

NIS2 ist eine Weiterentwicklung bestehender Regelungen zum Schutz der kritischen Netz- und Informationssysteme (NIS) in Europa. Die ursprüngliche Richtlinie stammt von 2016 und wurde in Deutschland mit dem IT-Sicherheitsgesetzes 2.0 umgesetzt. Dieses schreibt Unternehmen, die den Sektoren der kritischen Infrastruktur (KRITIS) angehören sowie Unternehmen von besonderem öffentlichen Interesse (UBI) vor,  Mindestanforderungen an die IT-Sicherheit und Meldepflichten von IT-Sicherheitsvorfällen einzuhalten. Daran wird sich mit Umsetzung von NIS2 im Grundsatz nichts ändern. Allerdings wird der Adressatenkreis deutlich ausgeweitet werden. Für betroffene Unternehmen bedeutet dies:  

  • Hohe Bußgelder bei Verstößen  
    Bei Nichtumsetzung der NIS2-Vorgaben drohen hohe Bußgelder. Weitere Sanktionen können die Mitgliedstaaten im Zuge der Umsetzung noch definieren – sie müssen wirksam, verhältnismäßig und abschreckend ausfallen. 

  • Persönliche Haftung der Unternehmensverantwortlichen
    NIS2 nimmt das Management betroffener Unternehmen in die persönliche Haftung. Sprich: Werden nach Cyber-Sicherheitsvorfällen Verstöße gegen die Vorgaben von NIS2 festgestellt, haften Geschäftsführer und Vorstände für Schäden mit ihrem eigenen Vermögen.
     
  • Erhöhte Anforderungen an das Risikomanagement und die IT-Sicherheit
    NIS2-Unternehmen müssen künftig  umfassende technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Netzwerk- und Informationssysteme zu gewährleisten. Dies setzt eine ganzheitliche IT-Sicherheitsstrategie und entsprechende Lösungen voraus: dazu gehören etwa ein Informationssicherheits-Managementsystem (ISMS), Security-Schulungen, sichere Authentifizierungslösungen und KI-basierte Security-Konzepte sowie die ein Security Operation Center (SOC).


  • Verschärfte Meldepflichten und ein optimiertes Incident-Management
    Damit Unternehmen ihre Geschäftstätigkeit nach einem Sicherheitsvorfall zeitnah wieder aufnehmen können, muss ein Business Continuity Management implementiert sein – inklusive geeigneter Backup- und Recovery-Prozesse. Zudem müssen Sicherheitsvorfälle innerhalb von 24 Stunden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Hinzu kommen weitere Berichtspflichten.


  • Neue Kontrollpflichten im Hinblick auf die Lieferketten
    Ob Unternehmen ihren Geschäftstätigkeiten nachgehen können oder nicht, hängt nicht nur von deren eigener IT- und Netzwerk-Sicherheit ab. Entscheidend sind auch die Lieferketten und damit alle wesentlichen Zulieferer. Auch diese können Opfer von Cyber-Kriminalität werden. Um die Risiken zu minimieren, müssen unter NIS2 fallende Unternehmen künftig auch die Netzwerk- und Informationssicherheit ihrer Zulieferer bewerten und von diesen die Einhaltung der Standards verlangen. Durch diese Hintertür wird NIS2 einen noch mal stark erweiterten Kreis von Unternehmen erreichen.

 

Wer muss die neuen Anforderungen erfüllen?

Die neuen Vorgaben richten sich an Unternehmen aus verschiedenen Wirtschaftssektoren. Ob ein Unternehmen unter die neue Richtlinie fällt, hängt zudem von Kriterien wie der Anzahl der Beschäftigten und dem Umsatz ab.  Mehr dazu erfahren Sie hier.

Die Anforderungen von NIS2 werden in Deutschland ab Inkrafttreten der aktualisierten NIS2-Richtlinie schätzungsweise bis zu 40.000 Unternehmen erfüllen müssen. Hinzukommen dürften tausende Betriebe, die indirekt betroffen sein werden. Denn NIS2 wird deutlich über den Kreis der direkten Adressaten hinauswirken. Der Grund ist oben bereits angedeutet: NIS2-Unternehmen müssen künftig auch ihre Lieferketten auf die Netzwerk- und IT-Security hin überprüfen und letztere sicherstellen. Dazu werden sie von ihren Lieferanten die Einhaltung vergleichbar hoher Standards verlangen. Sprich: Auch wer als Unternehmen Zulieferer einer solchen Organisation ist, fällt im weiteren Sinne unter die neue EU-Richtlinie und muss die NIS2-Vorgaben erfüllen.  

 

Jetzt handeln und die eigene Cyber-Resilienz stärken

Fakt ist: NIS2 kommt und wird die Netzwerk- und Informationssicherheit der Unternehmen in Europa auf ein höheres Niveau heben. Das sind, angesichts von jährlich allein in Deutschland mehr als 200 Milliarden Euro Schaden durch Cyberkriminalität, gute Nachrichten. Die noch bessere Nachricht für Sie lautet: Wenn Sie nicht warten, bis der Gesetzgeber Fakten geschaffen hat, sondern jetzt handeln, ersparen Sie sich später unnötige Hauruck-Aktionen. Denn auch, wenn die neue Richtlinie national noch nicht verabschiedet ist, sind die geforderten technischen Maßnahmen zur Stärkung der Cyber-Resilienz klar.  

Am besten starten Sie daher noch heute mit der Umsetzung und Integration erforderlicher technischer Lösungen wie etwa einer Multi-Faktor-Authentifizierung. Damit Ihnen dies möglichst effizient und ressourcenschonend – auch im Hinblick auf die Auslastung der eigenen Fachkräfte – gelingt, stehen Ihnen die Expertinnen und Experten von ACP IT Solutions mit ihrer Expertise sowie führenden technischen Lösungen gerne Seite.  

Ihre Vorteile: Indem Sie die NIS2-Anforderungen mit ACP schon heute umsetzen, erhöhen Sie die Cybersicherheit Ihres Unternehmens. Die Umsetzung weckt und stärkt das Vertrauen von Kunden, Partnern und Lieferanten. Dadurch erschließen Sie sich neue Marktpotenziale und Geschäftsmöglichkeiten. Zudem erfüllen Sie mit einer NIS2-konformen IT-Landschaft strengste Compliance-Anforderungen und vermeiden in Zukunft etwaige rechtliche oder finanzielle Konsequenzen. 

Mehr dazu erfahren Sie bei einem persönlichen Beratungsgespräch.

 

Jetzt Beratungsgespräch vereinbaren