NIS-2-Richtlinien erklärt – Umsetzung in Deutschland lässt auf sich warten
Lesezeit: 5 Minuten
Inhalt
Was Unternehmen erwartet
Bereits Anfang 2023 ist die zweite Fassung der Richtlinie zur Netzwerk- und Informationssicherheit, die NIS-2 EU-weit in Kraft getreten. Eigentlich hatten die Mitgliedsstaaten bis zum 17. Oktober 2024 Zeit diese nun auch in nationales Recht umzusetzen.
Der Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) wurde jetzt diskutiert. Auch wenn dieser nicht direkt umgesetzt wurde, sollten Unternehmen wissen, was im NIS-2 festgelegt wurde und was auf sie zukommen wird.
Blog-Tipp: Sicherheitsrisiken bei der Nutzung von KI-Systemen für Unternehmen und Steuerkanzleien
Cybersicherheit – Vorgaben im NIS-2
Breits im Jahr 2016 wurde die Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU eingeführt, womit diese Vorschriften zur Cybersicherheit eingeführt hatte. Dabei sollen die Mitgliedstaaten sogenannte Betreiber „kritischer Dienste“ ermitteln. Darüber hinaus sollen für diese Verfahren zur Cybersicherheit und Meldepflichten für Sicherheitsvorfälle implementiert werden. In Deutschland wurden solche in den KRITIS-Betreibern verortet, KRITIS steht dabei für Kritische Infrastrukturen.
Ein schwieriger Punkt bei der Umsetzung von NIS-1 ist dabei vor allem die unterschiedliche Bewertung von Unternehmen je nach EU-Mitgliedsstaat. Dabei soll die NIS-2 nun neue Klarheit bringen. Dies versucht die EU durch eine genaue Festlegung welche Unternehmen zu den kritischen Diensten gehören und welche Anforderungen hier gelten.
Betroffene Unternehmen werden in der NIS-2 verpflichtet, die entsprechenden Maßnahmen zum Schutz vor Cyberangriffen zu erhöhen. Dabei müssen sie auch strengere Sicherheitsstandards umsetzen und die IT-Systeme durchgängig auf dem neusten Stand halten.
Blog-Tipp: Warum Compliance ein wichtiger Baustein bei der sicheren Nutzung von IT-Anwendungen ist
Geltungsbereiche von NIS-2
Die neue Richtlinie für die NIS bewertet dabei die Schlüsselunternehmen neu. Bei der kritischen Infrastruktur geht die Richtlinie weiter als bisher festgelegt und definiert weitere Unternehmen, dabei entscheidet sie zwischen sogenannten „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“.
Wesentliche Einrichtungen – genannt Essential Entities – sind Unternehmen aus folgenden Bereichen:
- Energie
- Straßen-, Schienen-, Luft- und Schiffsverkehr
- Wasser
- Digitale Infrastruktur und IT-Dienste
- Bank- und Finanzwesen
- Gesundheit
- Öffentliche Verwaltung
- Raumfahrt
Wichtige Einrichtungen – sogenannte Important Entities – sind Unternehmen aus folgenden Bereichen:
- Abfallwirtschaft
- Post- und Kurierdienste
- Chemische Erzeugnisse
- Lebensmittel
- Hersteller
- Digitale Anbieter
- Forschungseinrichtungen
Blog-Tipp: MID-Digitale Sicherheit – Ministerium stärkt KMU mit Förderung
Welche Unternehmen müssen NIS-2 umsetzen?
Bei der Umsetzung der Richtlinie kommt es zusätzlich auf die Größe des Unternehmens an. Dabei unterscheidet die NIS-2-Richtlinie zwischen mittleren Unternehmen (50-250 Mitarbeiter, 10-50 Mio € Umsatz, Bilanzsumme kleiner als 43 Mio €) und großen Unternehmen (mehr als 250 Mitarbeiter, mehr als 50 Mio € Umsatz, Bilanzsumme größer als 43 Mio €).
Durch Änderungen – mehr Unternehmen in kritischer Infrastruktur
Dadurch, dass sich vor allem die Angaben zur Unternehmensgröße stark konkretisieren, werden deutlich mehr Unternehmen, zu denen der kritischen Infrastruktur zählen. Die Bewertung, ob das Unternehmen von der NIS-Richtlinie betroffen ist, muss jedes Unternehmen selbst durchführen. Eine Mitteilung von behördlicher Seite gibt es dabei nicht.
Auch die aus den Richtlinien hervorgehenden Maßnahmen, muss jedes Unternehmen selbst umsetzen und somit sicherstellen, dass es die Vorgaben erfüllt. Dabei wird die Meldepflicht bei Störungen, Vorfällen und Cyber Threads für Unternehmen verschärft. Folgender Vorgang in drei Stufen muss dabei eingehalten werden:
- Übermittlung eines vorläufigen Berichtes innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls.
- Vollständiger Bericht mit erster Bewertung des Vorfalls innerhalb von 72 Stunden.
- Abschlussbericht innerhalb eines Monats mit detaillierter Beschreibung, Art der Bedrohung und grenzüberschreitenden Auswirkungen.
Schärfere Sanktionen
Neben der Anpassung der Meldepflicht bei einem entsprechenden Vorfall, werden auch die Sanktionen bei Nicht-Einhaltung der NIS-Richtlinien angepasst. Das bedeutet, dass Bußgelder bis zu zehn Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes anfallen können – je nachdem welcher der Beträge höher ist. Dies gilt für die wesentlichen Einrichtungen.
Bei den wichtigen Einrichtungen ist das Bußgeld auf max. sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes festgesetzt.
NIS-2 Umsetzung kommt
Auch wenn sich in Deutschland noch keine endgültige Einigung auf die Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) gefunden hat, so kann man sicher sein, dass diese Umsetzung kommt und das vermutlich zeitnah.
Unternehmen sollten sich daher schon jetzt damit auseinandersetzen, was die Vorgaben der Richtlinien sind, um darauf vorbereitet zu sein. Dazu gehört eine Einstufung des Unternehmens in die entsprechende Kategorie, als auch die nötigen Vorgaben zur Cybersicherheit zu implementieren und die Meldestufen sicherzustellen.
Das Team von MC-Netzwerke betreut Steuerberater, Unternehmen und andere Organisationen bundesweit im Bereich Digitalisierung und unterstützt diese auch im Bereich IT-Sicherheit und Cloud-Lösungen. Nehmen Sie einfach mit uns Kontakt auf und wir erstellen Ihnen gerne ein praxisnahes und individuelles Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Sollten Sie sich unsicher sein, ob Ihre IT-Lösung Schwachstellen hat, nehmen Sie gerne mit uns Kontakt auf.