Ab Oktober 2024 müssen Unternehmen und Organisationen aus 18 wichtigen Sektoren verbindliche Sicherheitsmaßnahmen ergreifen und Berichtspflichten einhalten, die durch die NIS-2-Richtlinie vorgegeben sind. Auch Organisationen, die unter der vorherigen Fassung nicht betroffen waren, fallen nun darunter. Die NIS 2 könnte eine ähnliche Bedeutung für die Informationssicherheit in der EU haben, wie die DSGVO sie im Datenschutz für Nutzer hatte. Viele Unternehmen stehen nun vor der Frage, ob sie von dieser neuen Richtlinie betroffen sind.

Wer von der NIS-2-Richtlinie betroffen ist

Die NIS2-Richtlinie erstreckt sich über Einrichtungen aus 18 unterschiedlichen Sektoren, die in zwei Anhängen präzise aufgelistet werden. Jeder Sektor ist genau dahingehend spezifiziert, welche „Art der Einrichtung“ davon betroffen ist. Entscheidend für die Anwendung der Richtlinie ist somit, ob eine Einrichtung einer der in den Anhängen aufgeführten Kategorien zuzuordnen ist. Unternehmen, die ihre NIS2 Betroffenheit überprüfen möchten, können mittlerweile auf entsprechende Online-Tools zurückgreifen. Spezialisierte Berater unterstützen nicht nur in Zweifelsfällen, sondern helfen auch bei der Einleitung der notwendigen Schritte. Mitunter das IT-Systemhaus ETES stellt entsprechende Dienstleistungen zur Verfügung.

Zu den Unternehmenssektoren, die von der NIS-2-Richtlinie erfasst werden, zählen unter anderem Betreiber kritischer Anlagen. Dazu gehören Gesundheitsdienstleister, Wasserversorgungsunternehmen und Energieversorger. Auch Anbieter von Cloud-Diensten, Suchmaschinen und Online-Marktplätzen sind von der Richtlinie erfasst. Unternehmen, die öffentliche elektronische Kommunikationsdienste anbieten, müssen ebenfalls umfassende Sicherheitsmaßnahmen einführen, um ihre Netzwerke und Daten zu sichern.

Die wichtigsten Informationen zusammengefasst

Die „Network and Information Security (NIS) Directive“, auch als NIS-2-Richtlinie bekannt, wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und trat am 16. Januar 2023 in Kraft. Bis Oktober 2024 müssen die EU-Mitgliedstaaten diese Richtlinie in nationales Recht umsetzen. Sie aktualisiert und erweitert die erste NIS-Richtlinie von 2016. Am 24. Juli 2024 hat das Bundeskabinett das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS-2UmsuCG) verabschiedet, das wichtige neue Vorschriften für die Cybersicherheit einführt, insbesondere für Betreiber kritischer Infrastrukturen und Anlagen (KRITIS). 

Nach der NIS2-Richtlinie sind Unternehmen verpflichtet, verschiedene Cybersicherheitsmaßnahmen zu implementieren, um Risiken für Netz- und Informationssysteme zu verringern und die Auswirkungen von Sicherheitsverletzungen zu minimieren. Zudem müssen schwere Sicherheitsvorfälle umgehend gemeldet werden. Bei Verstößen drohen empfindliche Geldbußen.

Die Anforderungen an Unternehmen

Die NIS2-Richtlinie setzt für Unternehmen, die in bestimmten regulierten Sektoren tätig sind und eine bestimmte Größe überschreiten, klare Anforderungen: Sie müssen umfassende technische, operative und organisatorische Maßnahmen einführen. Seitens der Richtlinie werden lediglich grundlegende Rahmenbedingungen für Sicherheitsmaßnahmen skizziert. Gefordert ist ein ganzheitlicher Ansatz, der der sowohl auf digitale als auch auf physische Gefahren reagiert.

Unternehmen sind gehalten, präventive Maßnahmen zu implementieren. Dazu gehören kontinuierliche Risikoanalysen, welche die Grundlage für alle weiteren Sicherheitsstrategien bilden. Diese Analysen helfen dabei, Schwachstellen zu identifizieren und entsprechende Schutzmaßnahmen zu planen.

Ein weiterer kritischer Bereich ist das Management von Sicherheitsvorfällen. Hier verlangt die NIS2-Richtlinie von den Unternehmen, klare Verfahren und Richtlinien zu etablieren, die im Falle eines Sicherheitsvorfalls greifen. Dies soll sicherstellen, dass Vorfälle schnell erkannt, effektiv eingedämmt und deren Schaden minimiert wird. Parallel dazu ist die Aufrechterhaltung des Geschäftsbetriebs ein wesentliches Element, welches durch Business Continuity-Pläne unterstützt wird, die den Betrieb auch unter Krisenbedingungen aufrechterhalten.

Darüber hinaus wird ein besonderes Augenmerk auf Security Awareness gelegt. Mitarbeiter sollen regelmäßig geschult werden, um das Bewusstsein für Cybersicherheitsrisiken zu schärfen und sicherheitsbewusstes Verhalten zu fördern. 

Author

Hugo hat bis 2016 Wirtschaftsinformatik studiert und sammelte erste Erfahrungen als IT-Consultant in einer Unternehmensberatung. Mittlerweile arbeitet er in einem großen DAX Konzern als Technical Product Owner und befasst sich mit Themen wie Agilität, Technologien und IT-Organisation.

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen