+49 (0) 8441 - 495530 info@arca-consult.de

NIS-2 im Unternehmenskontext - ein Überblick

NIS steht für Netzwerk und Informationssysteme und ist eine EU-weit geltende Richtlinie.
Sie regelt verbindlich die Cybersicherheit von Unternehmen und Institutionen. Durch die darin definierten Maßnahmen wird ein gemeinsames, hohes Sicherheitsniveau in allen essenziellen Bereichen der öffentlichen Versorgung und Infrastruktur in der gesamten EU geschaffen.
Das Risikomanagement stellt dabei ein wesentliches Element dar.

Risiko vs Resilienz

* Nachstehend möchten wir Ihnen einen Überblick über die wesentlichen Inhalte der europäischen Richtlinie NIS-2 geben, die als Mindeststandard gilt.
Bitte beachten Sie, dass die zur Verfügung gestellten Informationen lediglich Ihrer Information dienen und keine individuelle juristische Beratung ersetzen.
Nationale Umsetzungsvorschläge werden in diesem Beitrag nicht beachtet. Sie bilden aber selbstverständlich den bestimmenden Maßstab unserer Beratungsleistungen.

Fakten für Unternehmen

Wann tritt NIS-2 in Kraft?

Diese europäische Richtlinie muss bis Oktober 2024 von allen Mitgliedsstaaten der EU in nationales Recht überführt werden.
Ab diesem Zeitpunkt gelten für die von NIS-2 betroffenen Unternehmen und Institutionen verpflichtende Sicherheitsmaßnahmen und Meldepflichten.
Seit Juli 2023 existiert ein erster deutscher Referentenentwurf NIS-2-Richtlinie des Bundesinnenministerium bzgl. der Umsetzung nach deutschen Vorgaben.

Roadmap

...

16.01.2023

Die Richtlinie tritt innerhalb der EU in Kraft. Sie gilt als Mindeststandard.

...

17.10.2024

Frist für alle EU-Länder, die Richtlinie hinsichtlich funktionierender und resilienter Infrastrukturen in nationales Recht umzusetzen.

...

18.10.2024

Ab diesem Zeitpunkt müssen die nationalen Vorschriften angewendet werden.

...

17.10.2027

Zeitraum bis zur Umsetzung. Danach überprüft die Kommission die Länder, alle drei Jahre, auf Umsetzung.

Wesentliche Bestandteile von NIS-2

Nationale Sicherheitsstrategie

Behördenrolle bei Cybersicherheitsvorfällen

Europäische Schwachstellendatenbank

Verpflichtung der Leitung

Risikomanagement

Meldung von Vorfällen

Sanktionen und Bußgelder

Wer ist von NIS-2 betroffen?

Die Richtlinie gilt für alle Unternehmen und Institutionen, die ihre Dienstleistungen in der EU erbringen oder dort ausüben.
Obwohl der Focus auf der kritischen Infrastruktur liegt, wirken sich die enthaltenen Verschärfungen der Neufassung vermehrt auf Betriebe im klein- und mittelständischen Bereich aus, die bisher nicht betroffen waren.
Laut dem Referentenentwurf des BMI werden in Deutschland ca. 30.000 Unternehmen von NIS-2 betroffen sein.

Betroffenheitsanalyse

Diese muss von Ihnen selbst ermittelt werden.
Von behördlicher Seite wird Ihnen nicht mitgeteilt,
ob für Sie die NIS-2-Vorgaben gelten.

Anwendungsbereich

Unternehmen werden nach NIS-2 reguliert, wenn sie aufgrund ihrer Kritikalität eine essenzielle Rolle spielen.
Jedes dieser Unternehmen ist zudem einer Größe
und einem Sektor zuzuordnen.

Des Weiteren greifen Schwellenwerte bzgl. Mitarbeiteranzahl, Jahresumsatz und Bilanzsumme im jeweiligen Sektor.
Diese Faktoren bedingen unterschiedliche Maßnahmen und beeinflussen auch die Höhe möglicher Strafen.

Sektoren mit hoher Kritikalität

Energie

Verkehr

Bankwesen

Finanzmarktinfrastrukturen

Gesundheitswesen

Trinkwasser

Abwasser

Digitale Infrastruktur

IKT-Dienste (B2B)

Öffentliche Verwaltung

Weltraum

Sonstige kritische Sektoren

Post- und Kurierdienste

Abfallbewirtschaftung

Produktion, Herstellung und Handel
mit chemischen Stoffen

Produktion, Verarbeitung und Vertrieb
von Lebensmitteln

Verarbeitendes Gewerbe / Herstellung
von Waren

Anbieter digitaler Dienste

Forschung

Sonderfälle - die Ausnahme von der Regel

Es gibt Unternehmen und Institutionen, die aufgrund ihrer hohen Kritikalität vom Anwendungsbereich NIS-2 erfasst werden, obwohl sie die genannten Schwellenwerte nicht übersteigen. Etwa wenn ein Unternehmen Auswirkungen auf die öffentliche Ordnung nimmt oder Systemrisiken sowie grenzüberschreitende Auswirkungen bestehen, falls es ausfällt.

Was bedeutet das für mich als betroffenes Unternehmen?

Sie müssen einer Reihe an Pflichten nachkommen, um den Anforderungen bezüglich

Cyberresilienz
Cyberhygiene
Risikomanagement
Business Continuity Management
Berichtspflichten

im Unternehmen gerecht zu werden und damit im Krisenfall funktionsfähig zu bleiben.

Meldepflichten

Meldungen von erheblichen Sicherheitsvorfällen an die zentrale Behörde ist verpflichtend und wird bei Nichteinhaltung mit hohen Geldstrafen belegt.

Meldung des Vorfalls innerhalb von 24 h
Detaillierte bzw. aktualisierte Meldung innerhalb von 72 h
Abschließender Bericht mit Nennung konkreter Maßnahmen innerhalb eines Monats

Strafen

Ähnlich der DSGVO werden Bußgelder genannt, die bei Nichteinhaltung von Risikomanagementmaßnahmen im Bereich Cybersicherheit und Berichtspflichten je nach Art, Schwere und Dauer drohen.

Bei besonders wichtigen Einrichtungen:
können bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes fällig werden.
Bei wichtigen Einrichtungen:
können bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes fällig werden.

Grundsätzlich können auch Sanktionsmaßnahmen gegenüber der Geschäftsleitung erhoben werden.

Pflichten der Geschäftsleitung

Risikomanagement
Ergriffene Risikomanagementmaßnahmen muss die Geschäftsleitung billigen, überwachen und kann gegen Verstöße verantwortlich gemachte werden.
Security Awareness
Mitglieder der Leitungsorgane müssen an Schulungen zum Thema Erkennen und Bewerten von Risiken sowie Managementpraktiken im Bereich Cybersicherheit teilnehmen und sie allen Mitarbeitern regelmäßig anbieten.
Zusammenarbeit mit Hochschulen und Forschungseinrichtungen
Kontinuierliche Weiterentwicklung der Cybersicherheitsstrategie durch Nutzung neuester Forschungsergebnisse. Angestrebt ist die Unterstützung und Förderung zwischen Forschung und Wirtschaft zur Weiterentwicklung von Abwehrmaßnahmen gegenüber Cyberbedrohungen.