Mit der NIS-2-Richtlinie werden neue Mindeststandards für Cybersicherheit in der EU definiert. Im Vergleich zur Vorgängerrichtlinie wurde diese insbesondere in den Punkten Risikomanagement, Aufsichts- und Durchsetzungsmaßnahmen sowie Geldbußen verschärft. Erfahren Sie, welche Unternehmen von der Richtlinie adressiert werden, worauf sich Unternehmen einstellen müssen und wie durch NIS-2 das Cybersicherheitsniveau erhöht wird. Dieser Blogartikel fasst die wichtigsten Inhalte der deutschen Umsetzung der EU-Richtlinie zusammen und wird fortlaufend aktualisiert.
Die gesetzliche Initiative zur Erhöhung der Cybersicherheit
Die Gefahr von Cyberangriffen auf Unternehmen ist hoch und die Folgen enorm. Der Branchenverband Bitkom beziffert den Schaden allein für die deutsche Wirtschaft auf mehr als 200 Milliarden Euro jährlich. Durch die zunehmende Vernetzung sowie internationale Lieferketten, muss Cybersicherheit grenzüberschreitend gedacht werden. Diesem Thema hat sich nun auch die EU angenommen und mit der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (kurz: NIS-2) bestehenden Defiziten aus dem bisherigen Rechtsrahmen entgegengewirkt.
Ab Herbst 2024 sollen die Anforderung der EU-Richtlinie mit dem NIS-2-Umsetzungsgesetz in deutsches Recht überführt werden. Mit der Umsetzung ändert sich für viele Unternehmen in Deutschland so einiges.
Welche Handlungsfelder umfasst NIS-2?
Das Ziel von NIS-2 ist es, die Risiken, die durch Cyberangriffe entstehen, niedrig zu halten und die Auswirkungen von Cyberattacken zu minimieren. Um diese Ziele zu erreichen, sieht der Gesetzgeber eine Reihe von Maßnahmen vor.
Generell gelten für betroffene Unternehmen die folgenden Verpflichtungen (Stand April 2024, s. §30 Referentenentwurf):
Verpflichtende Maßnahmen
- Sicherheitsrichtlinien:
- Unternehmen müssen eine Risikoanalyse durchführen und Sicherheitskonzepte entwickeln. Das heißt, sie müssen in Ihrem Unternehmen überprüfen, welche Daten besonders wichtig und schützenswert sind. Aus dieser Analyse müssen sie ableiten, welche technischen und organisatorischen Maßnahmen getroffen werden müssen, um die Daten zu schützen.
- Geschäftskontinuität:
- Krisenbewältigung und Aufrechterhaltung des Betriebs: Unternehmen müssen Sicherheitsvorfälle bewältigen können und dabei den Betrieb aufrechterhalten. Das heißt, sie müssen ein Krisenmanagement vorweisen können, falls es zu einem Sicherheitsvorfall kommt. Sie müssen sicherstellen, dass sie den Betrieb aufrechterhalten können und dies in einem sogenannten Business Continuity Management gewährleisten. Hierbei helfen unter anderem Back-Ups und ein Back-Up-Konzept, das dabei hilft, den Betrieb schnell wieder aufzunehmen. Grundsätzlich gilt: Die Technik im Unternehmen muss dem aktuellen Stand entsprechen.
- Sicherheit der Lieferkette:
- Unternehmen müssen ihre Lieferketten absichern. Das Ziel ist es, dass die Cybersicherheit der gesamten Lieferkette gewährleistet ist. Unternehmen sollen also einen Überblick über alle Zulieferer und deren Zulieferer sowie die Beziehungen zu Dienstleistern und Subunternehmen schaffen.
- Sicherheit bei Neuanschaffungen:
- Auch bei Entscheidungen zum Erwerb und zur Entwicklung von IT-Systemen muss das Thema Cybersicherheit mitgedacht und Sicherheitsvorkehrungen getroffen werden.
- Verschlüsselung und Kryptographie:
- Unternehmen müssen Regelungen zur Nutzung von Verschlüsselungstechniken treffen und hier Richtlinien formulieren. Dies gilt sowohl beim Versand von Daten, zum Beispiel per E-Mail, als auch bei Daten, die in IT-Systemen abgelegt sind.
- Mitarbeitersensibilisierung:
- Unternehmen sind dafür verantwortlich, Mitarbeiter zu sensibilisieren und zu schulen. Hierfür braucht es ein Schulungskonzept, das vorgibt, wer wann und in welcher Form eine Schulung erhält.
- Zugangskontrolle:
- Unternehmen sollen ein Berechtigungskonzept entwickeln. Hierbei gelten die Leitsätze, dass jeder Nutzer Zugriff auf die maximal notwendigen Berechtigungen erhält. Adminrechte müssen sparsam vergeben werden.
- Passwortregeln und MFA:
- Unternehmen sollen die Nutzung von Mehr-Faktoren-Authentifizierung etablieren. Das bedeutet, dass Mitarbeitende neben ihren Passwörtern weitere Faktoren nutzen, um ihre Identität zu bestätigen. Das kann z.B. ein Fingerabdruckscanner sein, oder ein Freischaltcode vom Smartphone. Weiterhin sollen Unternehmen für die Sicherung ihrer Kommunikation sorgen. Das umfasst auch, dass Unternehmen sichere Wege zur Kommunikation im Falle eines Notfalls bereithalten müssen.
- Meldepflichten:
- Aufgrund von NIS-2 ergeben sich für Unternehmen neue Meldepflichten. Sie sind dazu verpflichtet, innerhalb von 24 Stunden nach einem Sicherheitsvorfall eine Erstmeldung abzugeben. Sie sind weiterhin dazu verpflichtet, ihre Kund:innen und teilweise die Öffentlichkeit in Kenntnis zu setzen.
Die Verpflichtungen, die sich aus NIS-2 ergeben unterscheiden sich je nach Einstufung des Sektors. So sind besonders wichtige Einrichtungen zu stärkeren Sicherheitsvorkehrungen verpflichtet als wichtige Einrichtungen. Für die Betreiber von kritischen Anlagen (KRITIS) gelten weitere, höhere Maßstäbe als für die Betreiber von wichtigen und besonders wichtigen Einrichtungen.
Welche Unternehmen sind – Stand jetzt – betroffen?
Doch nicht alle Unternehmen sind von NIS-2 betroffen. Generell ist davon auszugehen, dass zwischen 30.000 und 40.000 Unternehmen in Deutschland die Regeln von NIS-2 umsetzen müssen. Ausschlaggebend dafür ist neben der Unternehmensgröße der Sektor, in dem ihr Unternehmen tätig ist.
Dabei unterscheidet der Gesetzgeber zwischen besonders wichtigen und wichtigen Einrichtungen. In der folgenden Tabelle sehen Sie, welche Sektoren unter die besonders wichtigen und wichtigen Einrichtungen fallen.
Betroffene Unternehmen
| Besonders wichtige Einrichtungen (Essential Entities) | Wichtige Einrichtungen (Important Entities) |
| Energie | Post- und Kurierdienste |
| Verkehr | Abfallbewirtschaftung |
| Bankwesen | Produktion, Herstellung und Handel mit chemischen Stoffen |
| Finanzmarktinfrastrukturen | Produktion, Verarbeitung und Vertrieb von Lebensmitteln |
| Gesundheitsweisen | Verarbeitende Gewerbe / Herstellung von Waren |
| Trink- und Abwasser | Anbieter digitaler Dienste |
| Digitale Infrastrukturen | Forschung |
| Verwaltung von IKT-Diensten (B2B) | Mittlere Unternehmen aus besonders wichtigen Einrichtungen |
| Öffentliche Verwaltung | |
| Weltraum | |
| Anbieter öffentlicher Telekommunikationsnetze und Telekommunikationsdienste (ohne Größenbeschränkung) |
Sind Sie in einem dieser Sektoren tätig, entscheidet zusätzlich die Größe Ihres Unternehmens darüber, ob sie unter die NIS-2 Richtlinie fallen. Hier unterscheidet der Gesetzgeber zwischen zwei Größenklassen.
Mittlere Unternehmen – 50 bis 250 Mitarbeiter:innen, 10 bis 50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR
Große Unternehmen – mehr als 250 Mitarbeiter:innen, mehr als 50 Millionen EUR Umsatz, Bilanzsumme größer als 43 Millionen EUR
Ist Ihr Unternehmen kleiner als 50 Mitarbeitende, kann es trotzdem sein, dass Sie von NIS-2 betroffen sind. Das gilt für Unternehmen, die besonders kritische Tätigkeiten ausüben, deren Ausfall für Risiken im System sorgen würden. Insbesondere gilt das für kleine Unternehmen, die vorher bereits von KRITIS betroffen waren und Zulieferern von größeren Unternehmen. Die Unternehmen, die vorher von KRITIS betroffen waren, werden unter NIS-2 zu Betreibern kritischer Anlagen und gleichzeitig auch zu Betreibern einer besonders wichtigen Einrichtung.
Cybersicherheit wird zur Chefsache
Doch wieso sollten sich Unternehmen auf NIS-2 vorbereiten? Unternehmen, welche die NIS-2 Anforderungen missachten, drohen Geldstrafen von 2% des Jahresumsatzes oder maximal 10 Millionen Euro. Auch in Sachen Haftung wurde nachgesteuert. Die Unternehmensführung trägt die Verantwortung für die Umsetzung der Cybersicherheitsmaßnahmen, muss diese billigen und ist mit ihrem Privatvermögen haftbar, wenn es zu einem Verstoß kommt. Hierfür ist die Unternehmensführung verpflichtet, regelmäßig an Schulungen teilzunehmen.
Chancen für Ihr Unternehmen
Durch die Umsetzung der Maßnahmen können Cyberangriffe verhindern werden. Denn setzen Unternehmen die Anforderungen um, haben Cyberkriminelle es schwerer, erfolgreiche Angriffe durchzuführen. Somit schützen sich Unternehmen, indem sie in ihre Cybersicherheit investieren. Wird Ihr Unternehmen trotz dieser hohen Sicherheitsvorkehrungen Opfer einer Cyberattacke, so können Sie, wenn Sie NIS-2 umsetzen, schnell wieder den regulären Betrieb aufnehmen und schützen sich so vor großen wirtschaftlichen Schäden.
Nicht zuletzt stellt die Umsetzung der gesetzlichen Anforderungen einen Marktvorteil dar. Können Sie nachweisen, dass Sie sich um Ihre Cybersicherheit kümmern, erhöht sich das Vertrauen, dass mögliche Partner in Sie und Ihr Unternehmen haben.
Was können Unternehmen tun, um sich vorzubereiten?
Die Regeln und Pflichten, die durch NIS-2 auf Unternehmen zu kommen, sind umfangreich. Sie ergeben aber durchaus Sinn: Sie schützen Unternehmen effektiv, die zum Erhalt der Infrastruktur in Deutschland beitragen. Doch auch für Unternehmen, die nicht direkt von NIS-2 betroffen sind, kann es sinnvoll sein, die Kriterien von NIS-2 zu erfüllen.
Unternehmen können sich optimal auf die Einführung von NIS-2 vorbereiten, indem sie sich mit dem Thema ISMS (Informationssicherheitsmanagementsystem) auseinandersetzen. Ein ISMS beinhaltet alle Bestandteile, die auch von NIS-2 vorausgesetzt werden. Der BSI-Grundschutz bietet eine Orientierung dafür, was ein umfassendes ISMS beinhaltet.
Weiterhin ist es ratsam, dass Unternehmen sich Gedanken über ein Risikomanagement machen, und die ersten Schritte dafür gehen, ein solches einzuführen. Vollständig vorbereitet sind Unternehmen, wenn sie weiterhin ein Business Continuity Management einführen – um im Zweifel den Betrieb auch während einer Cyberattacke fortführen zu können.
Zudem ist noch nicht bekannt, wie die Verpflichtungen, die mit NIS-2 einhergehen mit existierenden Standards wie der ISO27001 übereinstimmen. Jedoch kann es sein, dass die Verpflichtungen durch NIS-2 weiter gehen als bisherige Anforderungen. Dennoch ist es für Unternehmen, die sich noch gar nicht mit dem Thema Cybersicherheit auseinandergesetzt haben, hilfreich, sich im ersten Schritt mit dem Thema ISMS auseinanderzusetzen.
Verfasst von Tamara Bayreuther
Wissenschaftliche Mitarbeiterin Evaluation
