Mit der NIS-2-Richtlinie auf hohem Sicherheitsniveau
© greenbutterfly – stock.adobe.com

Mit der NIS-2-Richtlinie auf hohem Sicherheitsniveau

4 min.
11. April 2024

Die NIS-2-Richtlinie verlangt von Unternehmen, umfassende Maßnahmen zum Risikomanagement für Cybersicherheit zu ergreifen. Der deutsche Gesetzesentwurf hebt hervor, dass Betreiber kritischer Infrastrukturen höheren Anforderungen unterliegen werden als bisher.

Die Network and Information Security Directive (NIS) ist eine EU-Richtlinie, die darauf abzielt, die Cybersicherheit in gesellschaftlich bedeutsamen Sektoren, also den Kritischen Infrastrukturen (KRITIS), zu stärken. Die aktuelle Version dieser Richtlinie, NIS-2, bringt einige wichtige Veränderungen, die Unternehmen in diesen Sektoren betreffen. „Sie sollten schon jetzt die erforderlichen Schritte unternehmen, um die Cybersicherheit zu stärken, und sicherstellen, dass ihre wertschöpfenden Prozesse bei IT-Sicherheitsvorfällen und Cyberangriffen weiterhin verfügbar sind“, sagt Thomas Pfützenreuter, IT-Auditor bei Independent Consulting + Audit Professionals GmbH iAP – ein Unternehmen von Ecovis in Berlin.

Start der NIS-2 und nationale Umsetzung

Die NIS-2-Richtlinie wurde am 16. Januar 2023 verabschiedet. Alle EU-Mitgliedsstaaten müssen sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland gibt es bereits einen Entwurf für die Umsetzung. Er geht über die NIS-2-Anforderungen der EU hinaus. Der Gesetzgeber erweitert die Anforderungen aus NIS-1 von 2016 durch das IT-Sicherheitsgesetz 2.0 und das KRITIS-Gesetz 2.0. Welche Unternehmen der KRITIS zuzuordnen sind, legen die jeweiligen Mitgliedsstaaten selbst fest – in Deutschland ist das Bundesamt für Katastrophenschutz für die Festlegung zuständig. Betroffen von der NIS-2-Richtlinie sind grundsätzlich alle Unternehmen mit

  • mindestens 50 Mitarbeiterinnen und Mitarbeitern oder
  • einem Jahresumsatz von mindestens zehn Millionen Euro,

die in gesellschaftlich relevanten und kritischen Sektoren tätig sind.

Zu den KRITIS zählen Unternehmen, die

  • in der Energie- und Wasserversorgung tätig sind,
  • Telekommunikations- und Informationstechnik bereitstellen,
  • Teil der Nahrungsmittelversorgung sind,
  • dem Transport- oder Logistiksektor angehören,
  • Einrichtungen des Finanzwesens sind oder
  • aus dem Gesundheitswesen stammen.

Anforderungen an Unternehmen

Betroffene Betriebe müssen die NIS-2-Sicherheitsanforderungen auf Basis eines Risikomanagements umsetzen. Dabei müssen sie nachweisen, dass sie die Wahrscheinlichkeit und die Auswirkung eines Cyberangriffs miteinbezogen haben.

Das bedeutet, dass Unternehmen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen müssen, mit denen sie die Risiken für die Sicherheit ihrer Netz- und Informationssysteme vollständig beherrschen. Sie müssen die Auswirkungen von Sicherheitsvorfällen abwenden und so gering wie möglich halten können.

Alle Sicherheitsmaßnahmen müssen sich dabei am Stand der Technik und der aktuellen individuellen Gefährdungslage orientieren. Die Schutzmaßnahmen müssen somit gefahrenübergreifend die gesamte IT und Cybersicherheit berücksichtigen, um alle Arten von IT-Vorfällen in der eigenen Umgebung zu kontrollieren und die Verfügbarkeit wesentlicher Dienstleistungsprozesse sicherzustellen. Die Wirksamkeit dieser Sicherheitsmaßnahmen ist regelmäßig, beispielsweise jährlich, zu prüfen und zu bewerten. Die Sicherheitsanforderungen verlangen Maßnahmen vor, während und nach einem IT-Sicherheitsvorfall. Dazu gehören auch grundlegende Praktiken der Cyberhygiene: Beschäftigte in Organisationen sollten sicherheitsorientierte Denk- und Verhaltensweisen verinnerlichen, um potenzielle Gefahren aus dem Internet einzudämmen. „Ein besonderes Augenmerk liegt auf der Absicherung der Lieferkette, der Partnerunternehmen, Lieferanten, Dienstanbieter und Kunden und dabei ganz besonders deren Netzzugänge“, erklärt Pfützenreuter.

Was Unternehmen tun müssen

Unternehmen müssen sich bei der zuständigen Behörde registrieren und ihre Kontaktdaten hinterlegen. Sicherheitsvorfälle, die zu schweren Betriebsstörungen führen, sind meldepflichtig. Die betroffenen Sektoren unterliegen behördlicher Aufsicht: Externe Kontrollen und Prüfungen werden regelmäßig und ad hoc durchgeführt.

Die NIS-2-Richtlinie ist ein bedeutender Schritt zur Stärkung der Cybersicherheit in der EU. „Unternehmen in den betroffenen Sektoren sollten die verbleibende Zeit nutzen, um sich auf die Umsetzung der erforderlichen Sicherheitsmaßnahmen vorzubereiten und mit erfahrenen Experten ein umfassendes Risikomanagement über alle Unternehmensbereiche aufzubauen. Das ist entscheidend, um die Verfügbarkeit kritischer Dienstleistungen zu gewährleisten und die Risiken von Cyberangriffen zu minimieren“, sagt Pfützenreuter.

 

Kontakt Ecovis:

Unternehmenskommunikation
Tel.: +49 89 5898-266
presse@ecovis.com

Weitere Infos:

Newsletter:
Das Wichtigste für Unternehmen aus Steuern, Recht und Wirtschaft.
Jetzt anmelden

Thomas Pfützenreuter
IT-Auditor in Berlin
Tel.: +49 30-31 00 08 0

Erleben Sie ecovisionäre Erfolgsgeschichten hautnah.

So haben unsere Mandanten ihre Visionen Realität werden lassen.
Helmut Roßkopf

Helmut Roßkopf

So stellt man sich Bilderbuch-Mittelstand aus Deutschland vor – entstanden aus einem kleinen Handwerksbetrieb heute erfolgreich in der ganzen Welt.

Gewürzwelt Ankerkraut

Gewürzwelt Ankerkraut

Sie kommen aus der „Höhle der Löwen“. Mit ihrem Hamburger Unternehmen „Ankerkraut“ mischen Stefan und Anne Lemcke die Gewürzbranche auf.

BIO-Imkerei Fähnle

BIO-Imkerei Fähnle

Er ist Herr über 250 Bienenvölker, hat aber auch seine Kunden bestens im Blick. Seit 1995 ist Claus Uwe Fähnle Imker aus Leidenschaft.