Europäische NIS-2-Richtlinie

Ziel ist es, das Sicherheitsniveau der EU-Mitgliedsstaaten zu stärken und die Reaktionsfähigkeit sowie die Resilienz öffentlicher und privater Einrichtungen, zuständiger Behörden und der EU insgesamt zu verbessern. Darüber hinaus erweitert die Richtlinie die Zahl der Unternehmen und Organisationen, die zur kritischen Infrastruktur (KRITIS) gehören.

Unternehmen und Organisationen, die zu KRITIS gehören, müssen sich unter anderem mit Cyber-Risikomanagement, Kontrolle und Überwachung, dem Umgang mit Zwischenfällen und der Aufrechterhaltung des Geschäfsbetriebes beschäftigen und geeignete Maßnahmen ergreifen, um im Falle eines Notstandes die Versorgung der Bevölkerung sicherstellen zu können.

Laut BSI sind Kritische Infrastrukturen (KRITIS) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. (Quelle BSI)

Mittlerweile gibt es einen Referentenentwurf des Bundesinnenministeriums zur Umsetzung der NIS-2 Richtlinie (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG). (Stand April 2023)

Dieses muss nach Abstimmung in der Bundesverwaltung noch die Gesetzgebung auf Bundesebene durchlaufen. Mit diesem Änderungsgesetz wird das BSI-Gesetz deutlich umstrukturiert, geändert und erweitert.

Welche Unternehmen und Organisationen sind von der NIS-2-Richtlinie betroffen?

Die NIS-2-Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Sektoren. Unternehmen und Organisationen, die in diesen Sektoren tätig sind, müssen viele Cybersicherheits-Pflichten erfüllten, die über die bisherigen KRITIS-Pflichten hinausgehen.

Wesentliche Sektoren sind bspw. Energie, Verkehr, Finanzdienstleister, Gesundheit, Trinkwasser, Abwasser aber auch digitale Infrastrukturen, öffentliche Verwaltung und Raumfahrt.

Ebenfalls können auch Postdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, Herstellung von medizinischen Geräten, Elektronik, Maschinen und Kraftfahrzeuge unter die Richtlinie fallen.

Die Betroffenheit eines Unternehmens oder Organisation soll in der EU einheitlich geregelt und nach allgemeinen Kriterien festgestellt werden. Unter die Regulierung sollen mittlere und große Unternehmen fallen.

Betroffen sind demnach Unternehmen und Organisationen, die

1. Betreiber kritischer Anlagen sind (Die Feststellung der Betroffenheit erfolgt auf Grundlage der KRITIS-Verordnung)

und

      a) 50 – 250 Personen beschäftigen, 10 - 50 Mio. EUR Jahresumsatz erzielen oder

          deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.

      b) mehr als 250 Personen beschäftigen, mehr als 50 Mio. Jahresumsatz erzielen oder

        deren Jahresbilanzsumme sich auf mehr als 43 Mio. EUR beläuft.

Durch diese Neudefinition der Größenbereiche wird der Anwendungsbereich der NIS-2-Richtlinie enorm ausgeweitet und betrifft mehr Unternehmen als bisher. Prüfen Sie, ob Ihr Unternehmen jetzt auch in die Richtlinie fällt!

Sanktionen und persönliche Haftung

„Wesentliche“ Einrichtungen können für die Nichtumsetzung der Richtlinie mit bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes der jeweiligen Einrichtung sanktioniert werden – abhängig davon, welcher Betrag höher ist.

„Wichtige“ Einrichtungen können mit Bußgeldern bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes belegt werden – ebenfalls abhängig daovn, welcher Betrag höher ist.

Die NIS-2-Richtlinie nimmt zudem eine Verschärfung der Haftung vor und sieht für natürliche Personen, die für eine Einrichtung verantwortlich sind, eine persönliche Haftung vor. Somit haften Führungskräfte juristischer Personen mit ihrem Privatvermögen.

Wesentliche Pflichten für Unternehemen und Behörden - Ein Überblick

• Risikomanagementmaßnahmen: Die von der Richtlinie betroffenen Unternehmen müssen geeignete technische, operative, organisatorische Maßnahmen zur Risikobeherrschung – und Minimierung der Auswirkungen von Sicherheitsvorfällen etablieren.
• Meldepflichten: Einführung eines dreistufigen Meldepflichtmodells bei erheblichen internen Sicherheitsvorfällen. Eine Meldung muss unverzüglich, maximal innerhalb von 72 Stunden gemeldet und bewertet werden.
• Registrierung: Identifikation und Meldung beim BSI: Einrichtungen und Betreiber müssen sich selbst identifizieren und beim BSI registrieren.
• Nachweise und Kontrollen: Besonders wichtige Einrichtungen müssen dem BSI die etablierten Maßnahmen alle 2 Jahre nachweisen. Nachweise können mittels Auditierungen, Prüfungen oder Zertifizierungen erbracht werden.

Unsere Empfehlung zur NIS-2-Richtlinie und unsere Unterstützung für Sie

1. Ermittlung der Betroffenheit auf Grundlage der KRITIS VO

2. Analyse der Geschäftsprozesse sowie Infrastruktur

3. Ermittlung geeigneter Maßnahmen zur Risikobeherrschung – und Minimierung der Auswirkungen von Sicherheitsvorfällen

4. Implementierung und Überprüfung der getroffenen Maßnahmen

5. Umsetzungsfristen einhalten

6. Fristgerechte Meldung beim BSI über das Betreiben kritischer Infrastruktur

Profitieren Sie von unserer Erfahrung

Datenschutz, IT- und Informationssicherheit liegen uns am Herzen. Als Informationssicherheitsberater für die Bereiche ISO / IEC 27001, TISAX und BSI-Grundschutz sind mit der Etablierung geeigneter Maßnahmen zur Verbesserung des Sichereitsniveaus bis hin zu Zertifizierungen vertraut und können auf jahrelange Erfahrung zurück blicken. Wir empfehlen den Sicherheitscheck für jedes Unternehmen, auf welches die oben genannten Kriterien zutreffen und betreuen Sie gerne von Anfang an mit persönlicher Beratung.

Machen Sie den NIS-2-Check mit uns und kontaktieren Sie uns noch heute!