NIS2 – Die wichtigsten Fragen kurz und knapp

Viele Unternehmen haben inzwischen von der NIS2-Richtlinie gehört und stellen sich viele Fragen. Diese Richtlinie hat weitreichende Auswirkungen auf alle Arten von Unternehmen, einschließlich kleiner und mittelständischer Unternehmen (KMU). In diesem Blogbeitrag werden wir die wichtigsten Fragen der NIS2-Richtlinie erläutern und praktische Hinweise geben.

Unser Ziel ist es, Ihnen dabei zu helfen, die Herausforderungen der NIS2-Richtlinie zu verstehen und effektive Strategien zur Einhaltung der Vorschriften zu entwickeln. Denn letztendlich geht es bei NIS2 nicht nur um Compliance, sondern auch darum, Ihr Unternehmen und Ihre Kunden vor den zunehmenden Cyber-Bedrohungen zu schützen. 

Was ist NIS2?

Die NIS2 ist eine EU-Richtlinie, die strengere Cybersicherheitsstandards für Unternehmen in bestimmten Sektoren vorschreibt. Sie zielt darauf ab, die Resilienz kritischer Infrastrukturen gegen digitale Angriffe zu stärken und die Cybersicherheit in der EU zu verbessern. Sie soll einen Grundschutz Europäischer Unternehmen sicherstellen. 

Der Vorgänger NIS 1.0 hatte hier schon einen Grundstein gelegt. Dieser Ansatz ging jedoch nicht weit genug. Sowohl die Anzahl der betroffenen Unternehmen als auch die Anforderungen und die möglichen Strafen haben sich nun erhöht. 

Bin ich von NIS2 betroffen?

Unternehmen können in vier Kategorien eingeteilt werden: 

KRITIS 
Unternehmen, die bereits als KRITIS eingestuft sind, gelten als Besonders wichtige Unternehmen. Ebenso müssen sie die aktuellen Bedingungen und sonstige Aufgaben des BSI-Gesetzes (BSIG) weiterhin durchgeführt werden. 

Besonders wichtige Unternehmen 
Unternehmen, die in mind. eine der Sektoren der Tabelle A tätig sind und mindestens eine der folgenden Bedingungen zutreffen, gelten als Besonders wichtige Unternehmen: 

• Mindestens 250 Mitarbeitende sind tätig. 
• Jahresumsatz von mindestens 50 Mio. EUR und Jahresbilanzsumme von mindestens 43 Mio. EUR 

Wichtige Unternehmen 
Unternehmen, die in mind. eine der Sektoren der Tabelle A oder B tätig sind und mindestens eine der folgenden Bedingungen zutreffen, gelten als Wichtige Einrichtungen: 

• Mindestens 50 Mitarbeitende sind tätig
• Jahresumsatz von mindestens 10 Mio. EUR und Jahresbilanzsumme von mindestens 10 Mio. EUR 

Nicht NIS2-Relevant 
Das Unternehmen erfüllt nicht die Bedingungen für die NIS2-Richtlinie. Es wird jedoch trotzdem dringend empfohlen, Sicherheitsmaßnahmen anzuwenden. 

Tabelle A	Tabelle B
Energie	Post und Kurierdienste
Verkehr	Abfallbewirtschaftung
Bankwesen	Produktion, Herstellung und Handel von chemischen Stoffen
Finanzmarktinfrastrukturen	Produktion, Verarbeitung und Betrieb von Lebensmitteln
Gesundheitswesen	Anbieter digitaler Dienste (Marktplätze, Suchmaschinen, Soziale Netzwerke)
Trinkwasser	Forschung
Abwasser	Verarbeitendes Gewerbe / Herstellung von Waren
Digitale Infrastruktur	-
Weltraum	-

Je nach Einteilung müssen Unternehmen unterschiedliche Bedingungen erfüllen, werden strikter überwacht und können höhere Strafen erhalten.  

Was muss beachtet werden?

Es gibt viele technische Aspekte, die beachtet werden müssen. Diese sind unter anderem: 

• Risikoanalyse und Policies 
• Incident Management 
• Business Continuity 
• Schutz der Supply Chain 
• Grundlegende Hygiene und Training 
• Kryptografie 
• Personal und Asset Management 
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen 
• Konzepte und Verfahren zur Bewertung von Risikomanagementmaßnahmen 
• Authentifizierung und Kommunikation 

 

Weitere Aspekte, die beachtet werden müssen, sind unter anderem: 

• Registrierung des Unternehmens bei dem zuständigen Amt 
• Meldepflichten bei Sicherheitsvorfällen (Nach 24 Stunden / 72 Stunden / einem Monat) 
• Nachweispflichten zur korrekten Umsetzung von NIS2 
• ​​​​​​​Unterrichtungspflichten mit u.a. Kunden bei Sicherheitsvorfällen 
• Informationsaustausch in einem neuen Informationsportal 
• ​​​​​​​Miteinbeziehung der Geschäftsleitung. Diese müssen Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen. Ebenso muss die Geschäftsführung regelmäßig geschult werden. 

Hinweis: Je nach Schweregrad des Unternehmens (KRITIS, Besonders wichtige Einrichtung, Wichtige Einrichtung) muss das Unternehmen nicht alle Aspekte umsetzen. Ebenso können die Details der Aspekte dementsprechend unterschiedlich schwer ausfallen. 

Bis wann habe ich Zeit?

Die EU-Mitgliedsstaaten müssen die NIS2-Richtlinie bis spätestens zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland wird die Richtlinie durch das NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt. Aktuell ist die Umsetzung noch nicht finalisiert, es liegen Referentenentwürfe vor.  

Welche möglichen Strafen gibt es?

Unternehmen, die die NIS2-Richtlinie nicht einhalten, können mit erheblichen Geldstrafen rechnen. Mögliche Strafen von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes können verhängt werden, je nachdem, welcher Betrag höher ist. 

HINWEIS: Keine rechtsverbindliche Beratung. Alle Angaben ohne Gewähr und das Gesetz ist noch nicht finalisiert, die Infos stammen aus Referentenentwürfen.