Skip to the main content.

2 minute gelesen

Was Unternehmen zur neuen EU-Direktive NIS2 wissen müssen

Was Unternehmen zur neuen EU-Direktive NIS2 wissen müssen

Ab Oktober 2024 muss die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit 2 (NIS2) in nationales Recht umgesetzt sein. Die Direktive zielt darauf ab, das Cybersicherheitsniveau von KRITIS-Unternehmen (kritische Infrastrukturen) in Europa zu erhöhen und über die Länder hinweg zu harmonisieren. Neu ist: Der Bezugsrahmen von NIS2 ist deutlich weiter gefasst, sodass nun mehr Unternehmen die Mindestanforderungen erfüllen müssen. Führungskräfte betroffener Firmen und Organisationen sollten sich jetzt informieren, sich mit der hauseigenen IT-Sicherheitsstrategie auseinandersetzen und – wo nötig – nachjustieren.

Erhöhung des Drucks zur Anhebung des Cyber-Sicherheitsniveaus

Um die Sicherheit kritischer Infrastrukturen (KRITIS) europaweit zu gewährleisten und zu vereinheitlichen, gibt es seit 2016 die Richtlinie zur Netz- und Informationssicherheit (NIS). Die am 16. Januar 2023 in Kraft getretene aktualisierte und erweiterte Fassung, NIS2, soll nun unter anderem den Druck noch einmal erhöhen und damit den Anstoß geben, die IT-Sicherheitsmaßnahmen europäischer Firmen, Organisationen und Institutionen flächendeckend auf ein einheitliches Niveau zu heben. Immerhin beweisen Cybersecurity-Vorfälle wie der Supply-Chain-Angriff auf den texanischen Software-Dienstleister SolarWinds im Jahr 2020, dass die Infiltration einer einzelnen Schwachstelle ausreicht, um global massiven Schaden anzurichten.

Noch gibt es zwischen den verschiedenen EU-Ländern deutliche Unterschiede bei der konkreten Implementierung von Cyber-Schutzmaßnahmen. Deutschland ist vergleichsweise gut aufgestellt und arbeitet bereits länger an einer Neuauflage des nationalen IT-Sicherheitsgesetzes, um es den sich stetig weiterentwickelnden Bedrohungsszenarien anzupassen. Die Version 3.0 soll Ende dieses Jahres als Gesetzesentwurf vorliegen und wird dann auch an den erweiterten Geltungsbereich von NIS2 angepasst sein. Andere EU-Nationen hinken bei diesem Prozess noch etwas hinterher.

Was hat sich geändert?

Die größte Änderung gegenüber der ursprünglichen Regelung: Mit NIS2 wird der Kreis der Unternehmen, die zu KRITIS zählen, deutlich erweitert. Die Anzahl der Sektoren, deren Unternehmen die Mindestanforderungen erfüllen müssen, hat sich von elf auf 18 erhöht. Zudem nimmt NIS2 auch kleinere Firmen ab 50 Mitarbeitern und zehn Millionen Euro Umsatz in den Fokus. Einige Betreiber sollen zudem unabhängig von ihrer Größe reguliert werden, wie etwa Teile der digitalen Infrastruktur und der öffentlichen Verwaltung.

Neu ist bei NIS2 ist auch die Entwicklung einer Schwachstellendatenbank auf EU-Ebene. Diese wird Schwachstellen, Informationen zu betroffenen Produkten und Diensten sowie Patches und Maßnahmen zur Risikominimierung enthalten. Daneben steigen die Anforderungen an die IT-Sicherheit selbst mit NIS2 an. Unter anderem müssen Unternehmen und Organisationen die Einhaltung der Cybersecurity-Richtlinien nun auch über ihre Lieferketten hinweg sicherstellen.

Bei Nichtbeachtung der Regelungen drohen Unternehmen höhere Strafen als zuvor. Vorgesehen sind – je nach Sektor – Strafen von mindestens sieben oder zehn Millionen Euro.

Was kommt nun auf Unternehmen zu?

Das klingt erst einmal nach vielen Veränderungen. Für Unternehmen, die (neu) von NIS2 betroffen sind, bedeutet das konkret zwei Dinge. Erstens: Sie müssen ihre nationale Cybersecurity-Behörde – in Deutschland das BSI (Bundesamt für Sicherheit und Informationstechnik) – unverzüglich über signifikante Störungen und Vorfälle unterrichten. Gegebenenfalls greift diese Informationsverpflichtung auch gegenüber den eigenen Kunden. Zweitens: Sie müssen Sicherheitsmaßnahmen nach „Stand der Technik“ implementieren.

Was „Stand der Technik“ genau bedeutet, ist dabei nicht ganz konkret definiert. Aller Voraussicht nach werden in der nationalen Übersetzung von NIS2 jedoch Vorgaben zur Einführung eines modernen Informationsmanagement-Systems (IMS) enthalten sein. Auch die Einführung von Best Practices, wie zum Beispiel einer ISO-Norm 27001 oder IT-Grundschutz, helfen dabei, Risiken im IT-Sicherheitsbereich zu verstehen und zu minimieren. Unterstützung können sich Unternehmen bei Managed Security Service Providern (MSSP) holen – externen Dienstleistern wie indevis, die Firmen bei der Realisierung von IT-Sicherheitsmaßnahmen beraten und Security-Systeme gegebenenfalls auch implementieren und betreiben.

IT-Sicherheit jetzt auf den Prüfstand stellen

Auch wenn Deutschland durch sein bereits existierendes IT-Sicherheitsgesetz im europäischen Ländervergleich gut dasteht, sollten Führungskräfte jetzt aktiv werden. Denn die Einführung von neuen Maßnahmen, etwa eines IMS, braucht Zeit, Investitionen und Budget. Verantwortliche sollten die neue Richtlinie also zum Anlass nehmen, sich jetzt mit der hauseigenen IT-Sicherheitsstrategie auseinanderzusetzen. Ähnlich wie bei der Datenschutzgrundverordnung 2018 gilt es, rechtzeitig den Änderungsprozess anzustoßen. Denn nur wenn alle mitziehen, gelingt es, den europäischen Raum wirksam gegen Cyberangriffe zu schützen und den wirtschaftlichen Erfolg langfristig sicherzustellen.


Dirk Wocke

Compliance Manager, indevis

Das könnte Sie auch interessieren:

NIS-2-Fahrplan: Wie Unternehmen die Richtlinie erfüllen und mehr Cybersicherheit erzielen

4 minuutin luku

NIS-2-Fahrplan: Wie Unternehmen die Richtlinie erfüllen und mehr Cybersicherheit erzielen

Für die deutsche Wirtschaft bedeutet NIS-2 zwar eine neue Ära der Cybersicherheit, viele Unternehmen sind aber mit den anstehenden Herausforderungen der neuen Richtlinie überfordert. Erfahren Sie in diesem Blogbeitrag, wie Organisationen die NIS-2-Direktive erfüllen und ihre Cybersicherheit stärken können. Außerdem erläutert der Beitrag wichtige Schritte und Vorteile für die Zukunftssicherheit Ihres Unternehmens.

NIS2: Die wichtigsten Fragen & Antworten zu den neuen Cybersicherheitsanforderungen

3 minuutin luku

NIS2: Die wichtigsten Fragen & Antworten zu den neuen Cybersicherheits­anforderungen

Die NIS2-Richtlinie verschärft die Cybersicherheitsanforderungen für Unternehmen. Erfahren Sie, wer betroffen ist, welche Neuerungen es gibt und wie Sie sich vorbereiten können.

Höchste Eisenbahn für NIS-2: Diese Maßnahmen sollten Unternehmen jetzt umsetzen

4 minuutin luku

Höchste Eisenbahn für NIS-2: Diese Maßnahmen sollten Unternehmen jetzt umsetzen

Durch die Neufassung der EU-Direktive NIS werden nicht nur die Mindestanforderungen an die Cybersicherheit, sondern auch die Anzahl der betroffenen Unternehmen deutlich erhöht. Erfahren Sie, welche 5 Maßnahmen Unternehmen jetzt ergreifen sollten, um die Anforderungen der neuen NIS-2-Richtlinie zu erfüllen und ihre Organisation gegen Cyberbedrohungen zu schützen.