NIS 2: Mehr Cybersicherheit in der EU

Dass Cybersicherheit auch im nächsten Jahr ein großes Thema sein muss und es noch einiges an Aufholbedarf in Deutschland gibt, um mehr Sicherheit zu erreichen, hat der Bericht des BSI zur Lage der IT-Sicherheit eindrücklich bewiesen. Die Cyber-Bedrohung ist so hoch wie nie. Betroffen sind sowohl Unternehmen als auch Behörden. Ein Schritt in Richtung mehr Sicherheit ist die überarbeitete NIS-Richtlinie, die im Oktober 2024 in Kraft treten wird. 

Warum NIS 2?

Die NIS 2-Richtlinie (kurz für Richtlinie für Netz- und Informationssicherheit) basiert auf der aktuell gültigen NIS 1-Richtlinie. Das heißt, es handelt sich nicht um eine neue Richtlinie, sie wurde nur „nachgeschärft“. Grund hierfür ist die Notwendigkeit für ein höheres Maß an Cybersicherheit und eine bessere Widerstandsfähigkeit gegen Cyberangriffe. Denn in den letzten Jahren hat sich die Bedrohungslage europaweit verschärft. Schon in NIS 1 geht es darum, die Cybersicherheit zu stärken, Mindestsicherheitsanforderungen für Netz und Informationssystem festzulegen und die Zusammenarbeit der EU-Mitgliedsstaaten zu fördern. NIS 1 ist bereits seit 2016 in Kraft. Die Mitgliedsstaaten sind seither verpflichtet, nationale Strategien für die Netz- und Informationssicherheit zu entwickeln und Computer Security Incident Response Teams einzurichten.

Was beinhaltet NIS2?

Zunächst einmal: Bis NIS2 in nationales Recht umgesetzt wird, haben Unternehmen noch ein wenig Zeit sich darauf vorzubereiten. Die Deadline für die Umsetzung ist der 17. Oktober 2024. Damit am Ende die Zeit aber nicht knapp wird, macht es Sinn, sich jetzt schon damit auseinanderzusetzen und die Weichen zu stellen.
Mit NIS 2 wird der bisherige Anwendungsbereich vergrößert. Die erneuerte Richtlinie umfasst nun mehr Organisationen aus unterschiedlichen Sektoren. Dabei wird unterschieden zwischen KRITIS Sektoren (Energie, Transport/ Verkehr, Finanz/Versicherung, Gesundheit, Trinkwasser/ Abwasser, Ernährung, IT und TK, Weltraum, Entsorgung und Ernährung), besonders wichtigen Einrichtungen (Energie, Transport/ Verkehr, Finanz/Versicherung, Gesundheit, Trinkwasser/ Abwasser, IT und TK, Weltraum) und wichtigen Einrichtungen (Energie, Transport/ Verkehr, Finanz/Versicherung, Gesundheit, Trinkwasser/ Abwasser, IT und TK, Weltraum, Entsorgung, Lebensmittel, Verarbeitendes, digitale Dienste, Chemie, Entsorgung, Forschung).


Besonders wichtige Einrichtungen sind Organisationen mit mehr als 250 Mitarbeitenden, mehr als 50 Millionen Euro Umsatz und einer Jahresbilanzsumme, die größer als 43 Millionen Euro ist. Zusätzlich gibt es auch Sonderfälle, für die die oben genannte Definition nicht gelten, beispielsweise Telekommunikationsanbieter. Hier liegt die Mitarbeitergrenze bereits bei mehr als 50.
Zu den wichtigen Einrichtungen zählen Unternehmen mit mehr als 50 Mitarbeitenden und einem Jahresumsatz und einer Jahresbilanzsumme, die größer als 10 Millionen Euro ist.

Folgende Maßnahmen müssen zukünftig von den Organisationen aus den oben genannten Sektoren ergriffen werden:

  • Risikoanalyse und -management 
  • Bewältigung von Sicherheitsvorfällen
  • Krisenmanagement und Business Continuity Management
  • Sicherheitsmaßnahmen in der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen
  • Regelungen zum Einsatz von Kryptographie
  • Personalsicherheit
  • Zugriffsmanagement
  • Sichere Kommunikation
  • Meldepflicht bei erheblichen Sicherheitsvorfällen an Kontrollbehörde
  • Mitteilungspflicht von Sicherheitsvorfällen an Kunden

Was passiert bei Nichteinhaltung der Maßnahmen?

In jedem Fall empfiehlt es sich, die bisherigen Vorkehrungen im Unternehmen rund um die Cybersicherheit kritisch auf den Prüfstand zu stellen und die Zeit bis Oktober sinnvoll zu nutzen. Nutzen Sie bei der Übermittlung von Daten Verschlüsselung? Sind sensible, personenbezogene Daten ordnungsgemäß geschützt – sowohl “in rest” als auch “in motion”? Und können Sie schon heute Ihre gesamte Lieferkette überblicken, inklusive Partner und Lieferanten? Wenn nicht, sollten Sie dringend nachbessern. Denn die Wahrheit ist: das Risiko, Opfer eines Cyberangriffs zu werden, war nie größer. Alleine deshalb macht es schon Sinn, sich damit auseinanderzusetzen.

Fazit

Insgesamt ist NIS 2 ein wichtiger Schritt in die richtige Richtung, um die Cybersicherheit in der EU zu stärken. Es erinnert uns daran, dass die digitale Welt sowohl Chancen als auch Risiken birgt und dass die Sicherheit ein gemeinsames Anliegen sein muss, das uns alle betrifft.

Kostenlose Erstberatung

Buchen Sie eine kostenlose Erstberatung mit einem unserer Expert:innen und erfahren Sie, wie FTAPI Sie bei der Umsetzung der NIS 2 Richtlinien unterstützen kann.

Rufen Sie uns unter +49 89 230 6954 0 an