Europäische NIS-2-Richtlinie

Data Privacy von Ioannis Dimas

 

Mit der NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) wurde im Januar 2023 die im Jahr 2016 eingeführten EU-Vorschriften zur Cybersicherheit aktualisiert. Die neue Richtlinie ist für KRITIS-Unternehmen und Organisationen in der Europäischen Union verbindlich und muss bis zum 17.10.2024 wirksam umgesetzt werden.

Die NIS-2-Richtlinie dient zur Harmonisierung, Erweiterung und Anpassung der bisherigen Cybersicherheitsanforderungen und Sanktionierung der EU-Mitgliedsstaaten und möchte der zunehmenden Digitalisierung und einer wachsenden Bedrohungslandschaft der Cyberkriminalität begegnen.

Ziel ist es, das Sicherheitsniveau der EU-Mitgliedsstaaten zu stärken und die Reaktionsfähigkeit sowie die Resilienz öffentlicher und privater Einrichtungen, zuständiger Behörden und der EU insgesamt zu verbessern. Darüber hinaus erweitert die Richtlinie die Zahl der Unternehmen und Organisationen, die zur kritischen Infrastruktur (KRITIS) gehören.

Unternehmen und Organisationen, die zu KRITIS gehören, müssen sich unter anderem mit Cyber-Risikomanagement, Kontrolle und Überwachung, dem Umgang mit Zwischenfällen und der Aufrechterhaltung des Geschäfsbetriebes beschäftigen und geeignete Maßnahmen ergreifen, um im Falle eines Notstandes die Versorgung der Bevölkerung sicherstellen zu können.

Laut BSI sind Kritische Infrastrukturen (KRITIS) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. (Quelle BSI)

Mittlerweile gibt es einen Referentenentwurf des Bundesinnenministeriums zur Umsetzung der NIS-2 Richtlinie (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG). (Stand April 2023)

Dieses muss nach Abstimmung in der Bundesverwaltung noch die Gesetzgebung auf Bundesebene durchlaufen. Mit diesem Änderungsgesetz wird das BSI-Gesetz deutlich umstrukturiert, geändert und erweitert.

Welche Unternehmen und Organisationen sind von der NIS-2-Richtlinie betroffen?

Die NIS-2-Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Sektoren. Unternehmen und Organisationen, die in diesen Sektoren tätig sind, müssen viele Cybersicherheits-Pflichten erfüllten, die über die bisherigen KRITIS-Pflichten hinausgehen.

Wesentliche Sektoren sind bspw. Energie, Verkehr, Finanzdienstleister, Gesundheit, Trinkwasser, Abwasser aber auch digitale Infrastrukturen, öffentliche Verwaltung und Raumfahrt.

Ebenfalls können auch Postdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, Herstellung von medizinischen Geräten, Elektronik, Maschinen und Kraftfahrzeuge unter die Richtlinie fallen.

Die Betroffenheit eines Unternehmens oder Organisation soll in der EU einheitlich geregelt und nach allgemeinen Kriterien festgestellt werden. Unter die Regulierung sollen mittlere und große Unternehmen fallen.

Betroffen sind demnach Unternehmen und Organisationen, die

  1. Betreiber kritischer Anlagen sind (Die Feststellung der Betroffenheit erfolgt auf Grundlage der KRITIS-Verordnung)

und

      a) 50 – 250 Personen beschäftigen, 10 - 50 Mio. EUR Jahresumsatz erzielen oder

          deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.

      b) mehr als 250 Personen beschäftigen, mehr als 50 Mio. Jahresumsatz erzielen oder

        deren Jahresbilanzsumme sich auf mehr als 43 Mio. EUR beläuft.

 

Durch diese Neudefinition der Größenbereiche wird der Anwendungsbereich der NIS-2-Richtlinie enorm ausgeweitet und betrifft mehr Unternehmen als bisher. Prüfen Sie, ob Ihr Unternehmen jetzt auch in die Richtlinie fällt!

Sanktionen und persönliche Haftung

„Wesentliche“ Einrichtungen können für die Nichtumsetzung der Richtlinie mit bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes der jeweiligen Einrichtung sanktioniert werden – abhängig davon, welcher Betrag höher ist.

„Wichtige“ Einrichtungen können mit Bußgeldern bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes belegt werden – ebenfalls abhängig daovn, welcher Betrag höher ist.

Die NIS-2-Richtlinie nimmt zudem eine Verschärfung der Haftung vor und sieht für natürliche Personen, die für eine Einrichtung verantwortlich sind, eine persönliche Haftung vor. Somit haften Führungskräfte juristischer Personen mit ihrem Privatvermögen.

Wesentliche Pflichten für Unternehemen und Behörden - Ein Überblick

  • Risikomanagementmaßnahmen: Die von der Richtlinie betroffenen Unternehmen müssen geeignete technische, operative, organisatorische Maßnahmen zur Risikobeherrschung – und Minimierung der Auswirkungen von Sicherheitsvorfällen etablieren.
  • Meldepflichten: Einführung eines dreistufigen Meldepflichtmodells bei erheblichen internen Sicherheitsvorfällen. Eine Meldung muss unverzüglich, maximal innerhalb von 72 Stunden gemeldet und bewertet werden.
  • Registrierung: Identifikation und Meldung beim BSI: Einrichtungen und Betreiber müssen sich selbst identifizieren und beim BSI registrieren.
  • Nachweise und Kontrollen: Besonders wichtige Einrichtungen müssen dem BSI die etablierten Maßnahmen alle 2 Jahre nachweisen. Nachweise können mittels Auditierungen, Prüfungen oder Zertifizierungen erbracht werden.

Unsere Empfehlung zur NIS-2-Richtlinie und unsere Unterstützung für Sie

  1. Ermittlung der Betroffenheit auf Grundlage der KRITIS VO

  2. Analyse der Geschäftsprozesse sowie Infrastruktur

  3. Ermittlung geeigneter Maßnahmen zur Risikobeherrschung – und Minimierung der Auswirkungen von Sicherheitsvorfällen

  4. Implementierung und Überprüfung der getroffenen Maßnahmen

  5. Umsetzungsfristen einhalten

  6. Fristgerechte Meldung beim BSI über das Betreiben kritischer Infrastruktur

Profitieren Sie von unserer Erfahrung

Datenschutz, IT- und Informationssicherheit liegen uns am Herzen. Als Informationssicherheitsberater für die Bereiche ISO / IEC 27001, TISAX und BSI-Grundschutz sind mit der Etablierung geeigneter Maßnahmen zur Verbesserung des Sichereitsniveaus bis hin zu Zertifizierungen vertraut und können auf jahrelange Erfahrung zurück blicken. Wir empfehlen den Sicherheitscheck für jedes Unternehmen, auf welches die oben genannten Kriterien zutreffen und betreuen Sie gerne von Anfang an mit persönlicher Beratung.

Machen Sie den NIS-2-Check mit uns und kontaktieren Sie uns noch heute!

Kontaktieren Sie uns

X

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Bitte addieren Sie 5 und 9.
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain Portrait

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas Portrait

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.

Christian Gleich