NIS-2-Richtlinie: Vorgaben als Chance begreifen

Die ursprünglichen Cybersicherheitsvorschriften der EU, eingeführt im Jahr 2016, wurden mit der NIS-2-Richtlinie, die 2023 in Kraft trat, wesentlich modernisiert. Diese Aktualisierung war notwendig, um den Herausforderungen der voranschreitenden Digitalisierung und der sich stetig entwickelnden Bedrohungslandschaft im Bereich der Cybersicherheit effektiv zu begegnen.

Hintergrund und Ziele der NIS-2-Richtlinien

Die NIS-2-Richtlinie zielt darauf ab, das Gesamtniveau der Cybersicherheit in der EU zu erhöhen. Dies soll durch folgende Maßnahmen erreicht werden:

  • Vorbereitung der Mitgliedstaaten: Die Richtlinie fordert, dass alle Mitgliedstaaten angemessen ausgerüstet sind, unter anderem mit einem Computer Security Incident Response Team (CSIRT) und einer zuständigen nationalen Behörde für Netzwerk- und Informationssysteme (NIS).
  • Förderung der Zusammenarbeit: Durch die Einsetzung einer Kooperationsgruppe soll die strategische Zusammenarbeit und der Informationsaustausch zwischen den Mitgliedstaaten unterstützt und erleichtert werden.
  • Förderung der Sicherheitskultur: Die Richtlinie strebt an, eine Kultur der Sicherheit in allen kritischen Sektoren zu etablieren, die stark auf Informations- und Kommunikationstechnologien (IKT) angewiesen sind, darunter Energie, Verkehr, Wasserwirtschaft, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen und digitale Infrastruktur.

Schlüsselaspekte der NIS-2-Richtlinie

  • Stärkung und Vereinheitlichung der Cybersicherheit: Die Richtlinie zielt darauf ab, das Cybersicherheitsniveau in der EU durch die Einführung einheitlicher Vorgaben zu erhöhen.
  • Ausweitung der Pflichten und Sicherheitsanforderungen: Unternehmen, die unter die Kategorie der kritischen Infrastrukturen fallen, sehen sich mit erhöhten Sicherheitsanforderungen und einem mehrstufigen Meldeverfahren bei erheblichen Sicherheitsvorfällen konfrontiert.
  • Neue Grenzwerte und Sektoren: Die Anpassung der Sektoren und Grenzwerte führt dazu, dass nun auch kleine und mittlere Institutionen erfasst werden, was die Zahl der registrierungspflichtigen Institutionen signifikant erhöht.

Eintritt in Kraft und Umsetzungsfrist

Die NIS-2-Richtlinie trat Anfang 2023 EU-weit in Kraft. Die Mitgliedsstaaten der Europäischen Union sind aufgefordert, diese Richtlinie bis zum 17. Oktober 2024 in ihr nationales Recht umzusetzen. Deutschland hat bereits einen Referentenentwurf für das NIS-2-Umsetzungsgesetz vorgelegt.

Betroffene Unternehmen

Die Bestimmungen der NIS-2-Richtlinie gelten für mittlere und große Unternehmen, wobei die Größe nach Mitarbeiterzahl, Umsatz und Bilanzsumme bemessen wird. Dadurch erhöht sich die Zahl der Unternehmen, die unter die Kategorie der kritischen Infrastrukturen fallen, in Deutschland auf etwa 30.000.

Die NIS-2-Richtlinie betrifft eine erweiterte Gruppe von Unternehmen im Bereich der Cybersicherheit. Die Richtlinie unterscheidet zwischen „Besonders wichtigen Einrichtungen“ und „Wichtigen Einrichtungen“. Besonders wichtige Einrichtungen umfassen Unternehmen mit mindestens 250 Mitarbeitenden oder einem Jahresumsatz von über 50 Mio. € und einer Jahresbilanzsumme von über 43 Mio. €. Zu den Sonderfällen gehören qualifizierte Vertrauensanbieter, Top-Level-Domain-Name-Registrierungsstellen, DNS-Anbieter, TK-Anbieter, kritische Anlagen und die öffentliche Verwaltung.

Wichtige Einrichtungen sind Unternehmen mit 50 bis 249 Mitarbeitenden oder einem Jahresumsatz von über 10 Mio. € und einer Jahresbilanzsumme von über 10 Mio. €. Ein Sonderfall sind Vertrauensdienste. Neben den NIS-2-Anforderungen unterliegen kritische Anlagen zusätzlichen Regulierungen durch das Telekommunikationsgesetz (TKG), das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und das KRITIS-Dachgesetz.

Eigenverantwortliche Ermittlung der Betroffenheit

Ein besonderes Merkmal der NIS-2-Richtlinie ist, dass Unternehmen selbst ermitteln müssen, ob sie den Vorgaben unterliegen. Dies erfordert eine aktive Auseinandersetzung mit den Kriterien der Richtlinie und eine selbstständige Einschätzung der eigenen Relevanz.

Auswirkung auf Deutschland

In Deutschland wird die NIS-2-Richtlinie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt. Dieses Gesetz spiegelt die Vorgaben der NIS-2-Richtlinie wider und geht in einigen Punkten über diese hinaus, ähnlich wie das vorherige IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0). Es beinhaltet:

  • Erhöhung der Sanktionen bei Verstößen gegen die Cybersicherheitsvorgaben.
  • Persönliche Haftung der Geschäftsleitung für die Einhaltung der Risikomanagementmaßnahmen.
  • Einführung eines Chief Information Security Officers (CISO) auf Bundesebene und Ausweitung der Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Verschärfung der Sanktionsmaßnahmen

Die NIS-2-Richtlinie verschärft die Sanktionen für Unternehmen, die die Cybersicherheitsvorgaben missachten. Für wesentliche Einrichtungen können die Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen, für wichtige Einrichtungen sind es bis zu 7 Millionen EUR oder 1,4 Prozent des Jahresumsatzes. Zudem sieht der Referentenentwurf in Deutschland vor, dass Geschäftsführer und Leitungsorgane bei Nichteinhaltung mit ihrem Privatvermögen haften.

NIS - 2.0 Richtlinien als Chance begreifen

Die Landschaft der Netzwerk- und Informationssicherheit entwickelt sich ständig weiter, was für Unternehmen sowohl Herausforderungen als auch Chancen mit sich bringt. Neue Technologien wie Künstliche Intelligenz, das Internet der Dinge und Cloud-Computing eröffnen zwar neue Möglichkeiten, bringen aber auch neue Risiken mit sich, die in die Sicherheitsplanung einbezogen werden müssen.

Um sich vor wandelnden Bedrohungen zu schützen und die Vorteile neuer technologischer Möglichkeiten zu nutzen, müssen Unternehmen ihre Sicherheitsstrategien kontinuierlich anpassen. Die Umsetzung der NIS-2-Richtlinie bietet Unternehmen die Chance, ihr Risiko von Cyberangriffen zu reduzieren und ein verbessertes Management von Sicherheitsvorfällen zu etablieren.

NIS-2-Richtlinie in Ihrem Unternehmen umsetzen – mit den richtigen IT- und Rechtsexperten

Die Implementierung der NIS-2-Richtlinie stellt für viele Unternehmen eine beträchtliche Herausforderung dar, die das Fachwissen eines kompetenten Teams aus IT- und Rechtsexperten erfordert. Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen ihre Sicherheitspraktiken überprüfen und anpassen, um Compliance zu gewährleisten. Unternehmen in der Life Science Branche, die sich mit sensiblen Patientendaten, biotechnologischen Forschungen und der Entwicklung neuer Medikamente befassen, stehen unter besonderem Druck, höchste Sicherheitsstandards zu wahren. Die Zusammenarbeit mit IT-Spezialisten, die tiefgreifendes technisches Verständnis mitbringen, und Rechtsexperten, die die rechtlichen Rahmenbedingungen und Anforderungen kennen, ist entscheidend. Diese Fachleute können nicht nur dabei helfen, die aktuellen Sicherheitsprotokolle zu bewerten und Lücken zu identifizieren, sondern auch strategische Pläne für die Implementierung erforderlicher Änderungen entwickeln. Darüber hinaus können sie sicherstellen, dass diese Anpassungen im Einklang mit den rechtlichen Anforderungen stehen und somit sowohl die technische Sicherheit als auch die rechtliche Compliance verbessern.

Für unseren Newsletter anmelden
Blog teilen
Weitere Beiträge
Rufen Sie uns an!
München
Zürich
Wir freuen uns von dir zu hören!
Initiative krebskranke Kinder München e.V.

Als Mitglied der Life Science Branche ist es uns eine Herzensangelegenheit, auch einen direkten Beitrag für unsere Gesellschaft zu leisten. Die Gesundheit unserer Mitmenschen ist dabei von besonderer Bedeutung für uns und deshalb unterstützen wir die Initiative krebskranke Kinder München e.V.  

KONTAKT

Initiative krebskranke Kinder München e.V.  
Belgradstraße 34 I D- 80796 München I Deutschland I  
Tel. 089/ 534026 I Fax 089/ 531782 I  
Mail buero@krebs-bei-kindern.de I www.krebs-bei-kindern.de

APSCo Deutschland

APSCO Deutschland (Association Professional Staffing Companies) ist der deutsche Verband für die Recruitment Industrie. Mitglieder sind internationale und inländische Personalagenturen mit Sitz in Deutschland.  

Der Verband vertritt die Interessen der Mitglieder hinsichtlich Verhaltenskodex und Lobbyismus und hat sich zum Ziel gesetzt, das Berufsbild des „Personalberaters“ in Deutschland bekannter zu machen.  ARISTO ist Gründungsmitglied von APSCO Deutschland. Unsere Geschäftsführung sitzt im Vertretungssauschuss. 

KONTAKT

APSCo Deutschland GmbH  
Hanauer Landstraße 126-128 I D-60314 Frankfurt am Main I  
Deutschland I Tel. 069/ 50 95 75 591 I  
Mail tremayne.elson@apsco.org I www.apsco.de 

Bundesverband für selbständige Wissensarbeit

Die Allianz für selbständige Wissensarbeit (ADESW) vereint führende Dienstleister für den projektbasierten Einsatz hochqualifizierter, selbständiger Wissensarbeiter sowie hierzu assoziierte Partner wie z.B. den Verband für Maschinen- und Anlagenbau (VDMA). Die Mitgliedsunternehmen beschäftigen intern mehr als 4.500 festangestellte Mitarbeiter.

Der Branchenumsatz mit selbständigen Wissensarbeitern betrug im Jahr 2015 mehr als 15 Mrd. Euro. Im Jahresdurchschnitt besetzen die Allianz-Mitglieder gemeinsam mehr als 20.000 Projekte mit selbständigen Experten. Über 5.000 Kunden, darunter namhafte Dax-Unternehmen, zahlreiche KMUs und Startups sowie Bundesbehörden und andere öffentliche Auftraggeber profitieren von dieser Expertise. 

KONTAKT

Allianz für selbständige Wissensarbeit (ADESW) e.V.  
Karlplatz 7 | D-10117 Berlin | Deutschland I Tel. 030/ 847 884 100 I  
Fax 030/847 884 299 I Mailinfo(at)adesw.com I www.adesw.de