ARCA-Consult GmbH
Wir sichern Unternehmenswerte
ARCA-Consult GmbH

NIS-2 im Unternehmenskontext - ein Überblick

NIS steht für Netzwerk und Informationssysteme und ist eine EU-weit geltende Richtlinie.
Sie regelt die verbindlichen Mindestanforderungen die Cybersicherheit von Unternehmen und Institutionen. Durch die darin definierten Maßnahmen wird ein gemeinsames, hohes Sicherheitsniveau in allen essenziellen Bereichen der öffentlichen Versorgung und Infrastruktur in der gesamten EU geschaffen. 
Das Risikomanagement stellt dabei ein wesentliches Element dar.

Risiko vs Resilienz

* Nachstehend möchten wir Ihnen einen Überblick über die wesentlichen Inhalte der europäischen Richtlinie NIS-2 geben, die als Mindeststandard gilt. 
Bitte beachten Sie, dass die zur Verfügung gestellten Informationen lediglich Ihrer Information dienen und keine individuelle juristische Beratung ersetzen. 
Nationale Umsetzungsvorschläge werden in diesem Beitrag nicht beachtet. Sie bilden aber selbstverständlich den bestimmenden Maßstab unserer Beratungsleistungen.


Fakten für Unternehmen

Wann tritt NIS-2 in Kraft?

Diese europäische Richtlinie sollte ursprünglich bis Oktober 2024 von allen Mitgliedstaaten der EU in nationales Recht überführt werden. Deutschland hat diese Frist jedoch nicht eingehalten, wodurch ein Vertragsverletzungsverfahren der EU-Kommission eingeleitet wurde. Eine nationale Umsetzung der NIS-2-Richtlinie wird nun frühestens im Herbst 2025 erwartet.
Seit Oktober 2023 existiert ein Regierungsentwurf zur Umsetzung der NIS-2-Richtlinie. Dieser Entwurf dient als Grundlage für die Anpassung deutscher Vorgaben an die neuen EU-Standards. Unternehmen sollten dennoch proaktiv tätig werden, um die Anforderungen der Richtlinie frühzeitig umzusetzen, da diese nach Inkrafttreten unmittelbar gelten werden.            

 

Roadmap

...

16.01.2023

Die Richtlinie tritt innerhalb der EU in Kraft. Sie gilt als Mindeststandard.
...

17.10.2024

Frist für die EU-Mitgliedstaaten, die Richtlinie in nationales Recht umzusetzen. Deutschland hat diese Frist jedoch nicht eingehalten, weshalb die Umsetzung aktuell verzögert ist.
...

18.10.2024

Ab diesem Datum müssen die nationalen Vorschriften in Kraft treten und Unternehmen die neuen Anforderungen einhalten. In Deutschland ist dies aufgrund der Verzögerung voraussichtlich erst ab Herbst 2025 zu erwarten.
...

17.10.2027

Zeitraum bis zur Umsetzung. Danach überprüft die Kommission die Länder, alle drei Jahre, auf Umsetzung.



 

Wesentliche Bestandteile von NIS-2

Nationale Sicherheitsstrategie

Behördenrolle bei Cybersicherheitsvorfällen

Europäische Schwachstellendatenbank

Verpflichtung der Leitung

Risikomanagement

Meldung von Vorfällen

Sanktionen und Bußgelder

 


Wer ist von NIS-2 betroffen?

Die Richtlinie gilt für alle Unternehmen und Institutionen, die ihre Dienstleistungen in der EU erbringen oder dort ausüben
Der Focus liegt weiterhin auf kritischen Infrastrukturen wie Energie, Verkehr und Gesundheitswesen.
Neu betroffen sind jedoch auch zahlreiche Unternehmen im klein- und mittelständischen Bereich, die bisher nicht unter die Regelungen fielen. Unternehmen mit 50 oder mehr Beschäftigten und einem Jahresumsatz von über 10 Millionen Euro sind grundsätzlich erfasst. Bestimmte Sektoren wie digitale Infrastruktur oder öffentliche elektronische Kommunikationsdienste, fallen unabhängig von Größe oder Umsatz unter die NIS-2-Richtlinie.

Betroffenheitsanalyse

Diese muss von Ihnen selbst ermittelt werden.
Von behördlicher Seite wird Ihnen nicht mitgeteilt,
ob für Sie die NIS-2-Vorgaben gelten.

Anwendungsbereich

Unternehmen werden nach NIS-2 reguliert, wenn sie aufgrund ihrer Kritikalität eine essenzielle Rolle spielen.
Jedes dieser Unternehmen ist zudem einer Größe
und einem Sektor zuzuordnen.


Des Weiteren greifen Schwellenwerte bzgl. Mitarbeiteranzahl, Jahresumsatz und Bilanzsumme im jeweiligen Sektor
Diese Faktoren bedingen unterschiedliche Maßnahmen und beeinflussen auch die Höhe möglicher Strafen.

Sektoren mit hoher Kritikalität

Energie
Verkehr
Bankwesen
Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser
Abwasser
Digitale Infrastruktur
IKT-Dienste (B2B)
Öffentliche Verwaltung
Weltraum



Sonstige kritische Sektoren

Post- und Kurierdienste
Abfallbewirtschaftung
Produktion, Herstellung und Handel
mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb
von Lebensmitteln
Verarbeitendes Gewerbe / Herstellung
von Waren
Anbieter digitaler Dienste
Forschung

Sonderfälle - die Ausnahme von der Regel

Es gibt Unternehmen und Institutionen, die aufgrund ihrer hohen Kritikalität vom Anwendungsbereich NIS-2 erfasst werden, obwohl sie die genannten Schwellenwerte nicht übersteigen. Etwa wenn ein Unternehmen Auswirkungen auf die öffentliche Ordnung nimmt oder Systemrisiken sowie grenzüberschreitende Auswirkungen bestehen, falls es ausfällt.

Was bedeutet das für mich als betroffenes Unternehmen?

 

Sie müssen einer Reihe an Pflichten nachkommen, um den Anforderungen bezüglich

  • Cyberresilienz
  • Cyberhygiene
  • Risikomanagement
  • Business Continuity Management
  • Berichtspflichten
im Unternehmen gerecht zu werden und damit im Krisenfall funktionsfähig zu bleiben.





Meldepflichten

Meldungen von erheblichen Sicherheitsvorfällen an die zentrale Behörde ist verpflichtend und wird bei Nichteinhaltung mit hohen Geldstrafen belegt.

  • Meldung des Vorfalls innerhalb von 24 h
  • Detaillierte bzw. aktualisierte Meldung innerhalb von 72 h
  • Abschließender Bericht mit Nennung konkreter Maßnahmen innerhalb eines Monats






Strafen

Ähnlich der DSGVO werden Bußgelder genannt, die bei Nichteinhaltung von Risikomanagementmaßnahmen im Bereich Cybersicherheit und Berichtspflichten je nach Art, Schwere und Dauer drohen.

  • Bei besonders wichtigen Einrichtungen:
    können bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes fällig werden.
  • Bei wichtigen Einrichtungen:
    können bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes fällig werden.
Grundsätzlich können auch Sanktionsmaßnahmen gegenüber der Geschäftsleitung erhoben werden.

Pflichten der Geschäftsleitung

  • Risikomanagement 
    Ergriffene Risikomanagementmaßnahmen muss die Geschäftsleitung billigen, überwachen und kann gegen Verstöße verantwortlich gemachte werden.

  • Security Awareness 
    Mitglieder der Leitungsorgane müssen an Schulungen zum Thema Erkennen und Bewerten von Risiken sowie Managementpraktiken im Bereich Cybersicherheit teilnehmen und sie allen Mitarbeitern regelmäßig anbieten.

  • Zusammenarbeit mit Hochschulen und Forschungseinrichtungen 
    Kontinuierliche Weiterentwicklung der Cybersicherheitsstrategie durch Nutzung neuester Forschungsergebnisse. Angestrebt ist die Unterstützung und Förderung zwischen Forschung und Wirtschaft zur Weiterentwicklung von Abwehrmaßnahmen gegenüber Cyberbedrohungen.