Zum Inhalt springen

Informationssicherheit

Die NIS-2 Richtlinie - was sie für Unternehmen bedeutet

Wer ist von NIS2 betroffen? Lesen Sie hier mehr zu den wichtigsten Änderungen in der Richtlinie sowie neuen Risiken und Bedrohungen.

Zum Blog Wissen kompakt
Zwei IT-Fachkräfte prüfen mit Laptop und Klemmbrett Server in einem Rechenzentrum.
20. Dezember 2023

NIS-2 Richtlinie nimmt Unternehmen in die Pflicht

„Die Bedrohung im Cyberraum ist so hoch wie nie zuvor.“ Zu diesem Schluss kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI). In seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2023 betont es, dass Cyberangriffe nicht nur zunehmend professioneller werden. Sie treffen auch immer öfter kleine und mittlere Organisationen, Kommunen und staatliche Institutionen. Hinzu kommen vollkommen neue Risiken durch künstliche Intelligenz.  

Die NIS-2 Richtlinie ist eine Antwort der EU auf diese Bedrohungslage. Sie soll „eine Kultur der Sicherheit in allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind“, gewährleisten. Dazu nimmt sie Unternehmen in die Pflicht, und zwar deutlich mehr als ihr Vorgänger. 

Wir haben uns mit Rechtsanwalt und Cyber-Security-Berater Alexander Forssman darüber unterhalten, 

  • wer von der NIS-2 betroffen ist,
  • worin die wichtigsten Änderungen der Richtlinie bestehen und
  • warum Cybersicherheit bei vermeintlich einfachen Dingen anfängt. 

Worum handelt es sich bei der NIS-2 Richtlinie?

Bei NIS-2 handelt es sich um eine Cyber-Security-Richtlinie der EU, die am 16. Januar 2023 in Kraft trat. Sie folgt auf die 2016 eingeführte NIS-Richtlinie beziehungsweise NIS-1 Richtlinie. Die Abkürzung NIS steht für Network and Information Security beziehungsweise Netzwerk und Informationssicherheit. Die Hauptziele der NIS-2 Richtlinie, ebenso wie die ihrer Vorgängerin, sind es, wichtige Einrichtungen in den EU-Mitgliedstaaten vor Cyberangriffen zu schützen und ein europaweit einheitliches Schutzniveau zu schaffen. 

Die EU-Mitgliedstaaten müssen die Richtlinie bis 17. Oktober 2024 in nationales Recht überführen. In Deutschland existieren bisher zwei Referentenentwürfe und ein Diskussionspapier für das NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Diese geben schon einen Ausblick darauf, was betroffene Unternehmen erwartet. 

Wichtig: Die NIS-2 gibt den Rahmen vor, hinter dem das deutsche Gesetz nicht zurückbleiben wird. Über die Details der Umsetzung durch den deutschen Gesetzgeber wird aber derzeit noch diskutiert

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

Vielfalt

Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.

Flexibilität

Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.

Qualität

Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Wissen kompakt - der Podcast für berufliche Weiterbildung

Cybersicherheit ist Chefsache

Unwissenheit (bei der Cybersicherheit) schützt vor Strafe nicht

Für wen gilt die Cybersecurity-Richtlinie?

Schätzungen gehen davon aus, dass zwischen etwa 25.000 und 40.000 Unternehmen in Deutschland von der NIS-2 betroffen sind. Dazu gehören, anders als bisher, nicht mehr nur offensichtliche Betreiber kritischer Infrastrukturen. Die EU-Richtlinie betrifft auch Lebensmittelproduzenten und -händler, Online-Marktplätze oder Unternehmen aus dem Entsorgungssektor

Wichtig ist, so Alexander Forssman: „Unternehmen werden sich registrieren müssen und sie werden von niemandem einen offiziellen Hinweis darauf bekommen.“ Das heißt, dass Unternehmen selbst entscheiden/erkennen müssen, ob sie in den Geltungsbereich der NIS-2 fallen.  

Folgende Kriterien sind dafür entscheidend:  

  • Die Unternehmensgröße: Haben Unternehmen mehr als 50 Mitarbeitende oder machen mehr als 10 Millionen Euro Umsatz im Jahr, sind sie von der NIS-2 betroffen, falls sie in einem entsprechenden Sektor tätig sind.
  • Der Sektor: Die NIS-2 definiert 18 Unternehmenssektoren. Wie die Einteilung im deutschen Gesetz genau geregelt ist, steht noch nicht fest. Sie wird aber in jedem Fall den Vorgaben der EU-Richtlinie folgen.  

Einige Organisationen sind auch unabhängig von ihrer Größe betroffen. Das gilt zum Beispiel, wenn bei einem Ausfall Systemrisiken bestehen.  

Außerdem unterscheidet die NIS-2 zwischen wesentlichen und wichtigen Unternehmen. Die deutsche Umsetzung wird dafür wahrscheinlich die Adjektive „wichtig“ und „besonders wichtig“ verwenden. 

Gut zu wissen: Die NIS-2 verpflichtet Unternehmen zu umfangreichen Risikomanagementmaßnahmen, auch innerhalb der eigenen Lieferkette. Deshalb sind zahlreiche Zulieferer indirekt von ihr betroffen, angefangen bei IT-Dienstleistern bis hin zu Herstellern von Windturbinen.

Die wichtigsten Neuerungen der NIS-2 im Überblick

Abgesehen davon, dass die Zahl der betroffenen Einrichtungen stark gestiegen ist, bringt die NIS-2 vor allem folgende Änderungen für Unternehmen mit sich: 

  • Mehr Maßnahmen: Die Richtlinie fordert von betroffenen Einrichtungen, eine Reihe von Schutzmaßnahmen einzuführen beziehungsweise zu verschärfen. Das beginnt bei der Risikoanalyse und reicht über Business-Continuity und Sicherheit in der Lieferkette bis hin zur Multi-Faktor-Authentifizierung. Erfreulich sei, betont Alexander Forssman, dass die Richtlinie dezidierte Beispiele für Mindestmaßnahmen gebe. Die „Size cap“-Regel sieht unterschiedliche Vorgaben je nach Unternehmensgröße vor. Kleinere Unternehmen mit begrenzten Ressourcen müssen also im Regelfall nicht dieselben Mindestvoraussetzungen erfüllen wie große Betriebe.
  • Strenge Meldepflichten: Organisationen müssen einen bedeutenden Sicherheitsvorfall innerhalb von 24 Stunden, nachdem sie ihn entdeckt haben, an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Innerhalb von 72 Stunden müssen sie eine erste Bewertung abgeben und innerhalb eines Monats einen detaillierten Abschlussbericht.
  • Strenge Aufsicht: Als Aufsichtsbehörde wird wahrscheinlich das BSI operieren. Es wird mit weitreichenden Befugnissen ausgestattet sein. Im – allerdings unwahrscheinlichen – Extremfall könne es einer Geschäftsführung sogar zeitweise verbieten, ihr Unternehmen zu führen, so Alexander Forssman. Außerdem drohen hohe Geldstrafen bei Nichtbefolgen der NIS-2.
  • Schulungsverpflichtung für die Geschäftsführung: Auch an anderer Stelle nimmt die NIS-2 die Geschäftsführung in die Pflicht. Diese hat nun nicht mehr die Möglichkeit, alle Maßnahmen rund um Cybersicherheit einfach zu delegieren, sondern muss zum Beispiel aktiv Risikomanagementmaßnahmen billigen. Sogar eine Schulungsverpflichtung für die Geschäftsführung sieht die NIS-2 vor. 

Info-Webinar zu NIS-2, KRITIS, CER, CRA und KI

Erfahren Sie mehr über die wichtigsten Aspekte der aktuellen und neuen EU-Gesetzgebung im Bereich der Informationssicherheit – von NIS-2 über KRITIS bis hin zu CER und CRA - und bringen Sie Ihr Unternehmen in Sachen Cyber Secruity auf den neuesten Stand.

Melden Sie sich gleich hier an und sichern Sie sich Ihren Wissensvorsprung:

Hier anmelden zum Info-Webinar für 0,- €
Übersicht der NIS2-Handlungsschritte von TÜV NORD Akademie mit sechs Schritten zur Umsetzung der NIS2-Richtlinie für Unternehmen.

Der Handlungsbedarf beginnt oft bei der Rechte- und Rollenverteilung

Bis Oktober 2024 ist nicht mehr viel Zeit. Entsprechend sieht Alexander Forssman speziell bei kleineren und mittleren Unternehmen, die sich bisher wenig mit dem Thema Cybersicherheit beschäftigt haben, dringenden Handlungsbedarf.

Dies fange oft bei grundlegenden organisatorischen Themen im Bereich IT-Sicherheit an. „Wenn, salopp gesprochen, jeder in einem Unternehmen Zugriff auf alles hat, gilt das auch für Personen, denen es gelungen ist, von außen in die Netzwerkinfrastruktur einzudringen.“ 

Unternehmen sollten sich also zunächst einmal klar werden, ob sie von der NIS-2 betroffen sind. Dann ist es in der Regel sinnvoll, sich einen Überblick über den Status quo zu verschaffen. Welche Sicherheitsmaßnahmen gibt es jetzt schon und auf welchem Stand befinden sich diese? Existiert ein systematisches Risikomanagement? Wie sieht es mit Back-up- und Wiederherstellungsplänen aus? Ist das eigene Unternehmen in der Lage, die strengen Meldepflichten der NIS-2 einzuhalten? Antworten auf Fragen wie diese helfen, sich über Nachholbedarf klar und aktiv zu werden. 

Die NIS-2 kann helfen, die eigene Wettbewerbsfähigkeit sicherzustellen

Die NIS-2 ist eine Antwort auf eine rasante Verschärfung der Bedrohungslage im Cyberbereich. Geopolitische Spannungen, eine Professionalisierung von Cyberkriminellen und neue Technologien sorgen dafür, dass die Gefahren auch für kleinere Unternehmen steigen. Laut des Branchenverbandes Bitkom entstehen der deutschen Wirtschaft aktuell jährlich Schäden in Höhe von 206 Milliarden Euro durch den Diebstahl von IT-Ausrüstung und Daten, Sabotage sowie digitale und analoge Industriespionage. 

Maßnahmen, wie sie die NIS-2 vorschreibt, helfen, schweren Verlusten und Imageschäden bis hin zu Existenzrisiken vorzubeugen. Dass sie in dem einen oder anderen Detail vielleicht über das Ziel hinausschießt, lasse sich diskutieren, so Alexander Forssman. Doch alles in allem tun Unternehmen gut daran, die Inhalte der Richtlinie gewissenhaft umzusetzen – nicht nur aus Angst vor möglichen Strafen, sondern auch um für die nächsten Jahre gerüstet zu sein.

Unsere Empfehlungen für Sie

Webinar

NIS-2 für Manager und Geschäftsleitung

Die NIS-2-Richtlinie sieht erweiterte Pflichten für Unternehmen und deren Management in puncto Informationssicherheit vor. Informieren Sie sich rechtzeitig!
Zum Webinar
Webinar

DORA-Verordnung in Unternehmen umsetzen

In unserer DORA-Schulung erhalten die Teilnehmerinnen sowohl einen technischen als auch einen rechtlichen Überblick über die Verpflichtungen der DORA-Verordnung und die damit verbundenen Informationssicherheitsgesetze wie die DORA-Richtlinie, NIS-2, das Finanzmarktdigitalisierungsgesetz sowie den Datenschutz.
Zum Webinar
Webinar

KRITIS: IT-Sicherheitsgesetz, NIS-2, CER

Erhalten Sie einen Überblick über die aktuelle und zukünftige KRITIS-Regulierung, die neben den Betreibern kritischer Anlagen auch sogenannte „besonders wichtige“ und „wichtige“ Einrichtungen betrifft.
Zum Webinar

Weitere Artikel lesen

Zwei Personen zeigen auf Diagramme auf einem Laptop, im Vordergrund ein Smartphone und ausgedruckte Unterlagen
Informationssicherheit & Cyber-Security

IT-Sicherheit in KMU

Auch kleine und mittelständische Unternehmen sind bedroht und sollten Informationssicherheit umsetzen.
Zum Artikel
Zwei Geschäftsleute diskutieren vor einem Laptop mit Datenschutz-Warnsymbol auf dem Bildschirm.
Informationssicherheit & Cyber-Security

Business Continuity Management

Auf Notfälle gut vorbereitet – mit einem Business Continuity Management laufen wichtige Geschäftsprozesse im Unternehmen weiter.
Zum Artikel
IT-Techniker mit Tablet überprüft Serverracks in einem modernen Rechenzentrum.
Informationssicherheit & Cyber-Security

Informationssicherheit: Gesetze & Normen

Wir informieren Sie über aktuelle Entwicklungen in der Informationssicherheit.
Zum Artikel
Technikerin mit Helm prüft Serverkomponenten in einem Rechenzentrum.
Informationssicherheit & Cyber-Security

IT-Sicherheit in Unternehmen

Auch KMU geraten ins Visier von Cyberkriminellen. Schützen Sie Ihr Unternehmen mit unseren Tipps für IT-Sicherheit.
Zum Artikel
Fachwissen für Ihre berufliche Weiterbildung

Wissen kompakt

Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.

Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.

Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.

Alle Themen von Wissen kompakt finden Sie hier im Überblick

Ihre Ansprechpartnerin

Melanie Braunschweig, Mitarbeiterin der TÜV NORD Akademie

Melanie Braunschweig

Produktmanagerin Datenschutz und Informationsmanagement
Tel.: +49 201 31955-42 / mbraunschweig@tuev-nord.de