Die neue NIS2-Richtlinie: Stärkung der europäischen Cybersicherheit

Die digitale Transformation bietet Unternehmen jeder Größe enorme Chancen. Zugleich haben jedoch auch Cyberkriminalität und Sicherheitsbedrohungen zugenommen, wodurch Unternehmen ihre Sicherheitsinfrastrukturen immer weiter ausbauen müssen. In diesem Zusammenhang spielt die überarbeitete EU-Richtlinie zur Netz- und Informationssystemsicherheit (NIS2) eine entscheidende Rolle, insbesondere für mittelständische Unternehmen, Zulieferer und Dienstleister. In unserem Blogartikel wollen wir uns näher mit den aktuellen Informationen zur NIS2-Richtlinie beschäftigen und die Rolle von Cybersicherheit in diesem Zusammenhang beleuchten. 

Die NIS-Richtlinie, auch bekannt als Netz- und Informationssystemsicherheit-Richtlinie, wurde erstmals im Jahr 2016 verabschiedet, 2020 überarbeitet und ist nun – deutlich ausgeweitet – als EU NIS-2-Richtlinie zum 16. Januar 2023 in Kraft getreten.

Die NIS2-Richtlinie zielt darauf ab, die allgemeine Cybersicherheit innerhalb der EU zu verbessern, indem sie Anforderungen an Unternehmen stellt, die in kritischen Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastrukturen tätig sind. Die Richtlinie verpflichtet diese Unternehmen, geeignete Sicherheitsmaßnahmen zu ergreifen, um Netz- und Informationssysteme vor Cyberangriffen zu schützen und die Widerstandsfähigkeit dieser Systeme gegenüber Störungen zu erhöhen. 

Die Richtlinie betrifft nahezu alle Unternehmen mit einem Jahresumsatz von mehr als zehn Millionen Euro, mehr als 50 Mitarbeitenden und einer Zugehörigkeit in systemrelevanten Sektoren. Dazu gehören:

• Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
• Gesundheit (Versorger, Labore, Pharma)
• Verkehr (Luft, Schiene, Wasser, Straße)
• Banken- und Finanzmärkte
• Trinkwasser-Versorgung und Abwasser
• Digitale Infrastrukturen (z.B. Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud- Computing-Diensten)
• Raumfahrt und öffentliche Verwaltung
• Post und Kurierdienste
• Abfallwirtschaft
• Chemie
• Ernährung
• Industrie (Technik und Ingenieurwesen)
• Digitale Dienste (Online-Marktplätze, Suchmaschinen und soziale Netzwerke)
• Forschung

Mittelständische Unternehmen bilden das Rückgrat der europäischen Wirtschaft und sind zunehmend auf digitale Technologien angewiesen. Dadurch werden sie jedoch auch anfälliger für Cyberangriffe. Die NIS2-Richtlinie ist in diesem Zusammenhang besonders wichtig, da sie den Unternehmen klare Leitlinien und Anforderungen bietet, die sie bei der Umsetzung von Sicherheitsmaßnahmen beachten müssen. Hierdurch soll das Risiko von Cyberangriffen minimiert und ein hohes Maß an Cybersicherheit gewährleistet werden. 

Die NIS2-Richtlinie erstreckt sich nicht nur auf mittelständische Unternehmen in kritischen Sektoren, sondern auch auf Zulieferer und Dienstleister, die diese Sektoren unterstützen. Die Einbeziehung dieser Akteure trägt dazu bei, die gesamte Lieferkette und das Ökosystem der betroffenen Sektoren zu stärken und ein höheres Maß an Cybersicherheit zu erreichen. 

Durch die Implementierung von NIS2 werden mittelständische Unternehmen, Zulieferer und Dienstleister dazu angehalten, ihre IT-Infrastrukturen und Systeme regelmäßig zu überprüfen und Sicherheitslücken zu identifizieren. Außerdem müssen sie Notfallpläne entwickeln, um im Falle eines Cyberangriffs schnell reagieren und den Schaden begrenzen zu können. Indem sie diesen Anforderungen nachkommen, stärken sie ihre Cybersicherheit und gewinnen das Vertrauen ihrer Kunden, Partner und Investoren. 

Die NIS2-Richtlinie unterstreicht die Bedeutung von Cybersecurity für die Sicherheit und Stabilität der europäischen Wirtschaft. Die Richtlinie legt fest, dass Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um ihre Netz- und Informationssysteme vor Cyberangriffen zu schützen und die Widerstandsfähigkeit dieser Systeme gegenüber Störungen zu erhöhen. 

Die NIS2-Richtlinie verpflichtet Unternehmen auch, Vorfälle und Störungen, die erhebliche Auswirkungen auf die Netz- und Informationssysteme haben könnten, an zuständige nationale Behörden zu melden. Dies soll dazu beitragen, dass Cyberangriffe und Sicherheitslücken schnell erkannt und behoben werden können, um eine Beeinträchtigung der kritischen Infrastrukturen und Dienstleistungen zu verhindern. 

Die NIS2-Richtlinie hat auch erhebliche Auswirkungen auf die Geschäftsführer von mittelständischen Unternehmen, Zulieferern und Dienstleistern in kritischen Sektoren. Da die Richtlinie klare Anforderungen an die Umsetzung von Cybersicherheitsmaßnahmen stellt, sind Geschäftsführer dafür verantwortlich, dass ihr Unternehmen diese Anforderungen erfüllt und alle notwendigen Schritte unternimmt, um die Sicherheit von Netz- und Informationssystemen zu gewährleisten. 

Geschäftsführer müssen sicherstellen, dass sie die Risiken, die mit der NIS2-Richtlinie verbunden sind, vollständig verstehen und angemessene Ressourcen bereitstellen, um die Richtlinie erfolgreich umzusetzen. Dazu gehört auch die Zusammenarbeit mit internen und externen Experten, um die IT-Infrastruktur und Sicherheitsprozesse kontinuierlich zu überwachen, zu überprüfen und zu aktualisieren. Sie sollten auch ihre Mitarbeiter in Bezug auf Cybersicherheit schulen und sensibilisieren, um das Bewusstsein für mögliche Sicherheitsrisiken zu erhöhen und präventive Maßnahmen zu ergreifen. 

Im Hinblick auf die Haftung hat die NIS2-Richtlinie einige wichtige Änderungen eingeführt, die Geschäftsführer beachten sollten. Unter der NIS2-Richtlinie drohen Geldbußen für Führungskräfte, wenn sie vorsätzlich oder fahrlässig gegen die Anforderungen der Richtlinie verstoßen. Die Bußgelder können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für Betreiber wesentlicher Dienste und bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes für Anbieter wichtiger Services betragen. 

Daher ist es für Geschäftsführer unerlässlich, die NIS2-Richtlinie ernst zu nehmen und die erforderlichen Maßnahmen zur Umsetzung der Cybersicherheitsanforderungen zu treffen. Durch eine proaktive Haltung und die frühzeitige Anpassung an die NIS2-Richtlinie können sie nicht nur die Einhaltung sicherstellen, sondern auch das Vertrauen von Kunden, Partnern und Investoren stärken und das Unternehmen vor potenziellen Cyberangriffen und Sicherheitslücken schützen. Zugleich minimieren sie das Risiko persönlicher Haftung und möglicher Geldbußen, die im Falle von Verstößen gegen die NIS2-Richtlinie verhängt werden können. 

• Februar 2023: Inkrafttreten der NIS2-Richtlinie in den EU-Mitgliedstaaten. 
   
• Bis zum 11. August 2023: Nationale Umsetzung der NIS2-Richtlinie durch die EU-Mitgliedstaaten. Die genauen Fristen für die Umsetzung variieren je nach Mitgliedstaat. 
   
• Ab dem 11. Februar 2024: Mittelständische Unternehmen, Zulieferer und Dienstleister in kritischen Sektoren müssen sicherstellen, dass sie die Anforderungen der NIS2-Richtlinie erfüllen. Dies kann beinhalten, dass sie ihre Sicherheitsmaßnahmen überprüfen, aktualisieren und regelmäßig kontrollieren, um ein hohes Maß an Cybersicherheit zu gewährleisten. 
   
• Bis zum 17. Oktober 2024: NIS-2 muss als Richtlinie mitgliedstaatlich umgesetzt sein. NIS-1 wird zum 18. Oktober 2024 aufgehoben.

Die NIS2-Richtlinie bietet eine wichtige Grundlage für mittelständische Unternehmen, Zulieferer und Dienstleister, um ihre Cybersicherheit zu stärken und den Herausforderungen der digitalen Welt zu begegnen. Durch die frühzeitige Anpassung an die NIS2-Richtlinie können sie nicht nur die Einhaltung sicherstellen, sondern auch das Vertrauen ihrer Kunden, Partner und Investoren stärken. Es ist wichtig, dass alle beteiligten Akteure die Entwicklungen rund um die NIS2-Richtlinie genau verfolgen und sich auf die Umsetzung der Anforderungen vorbereiten. Zusammen können wir eine sicherere digitale Zukunft für alle schaffen.