NIS2: Europaweit mehr Sicherheit für den Cyberraum

Dass Cybersicherheit auch im nächsten Jahr ein großes Thema sein muss und es noch einiges an Aufholbedarf in Deutschland gibt, um mehr Sicherheit zu erreichen, hat der Bericht des BSI zur Lage der IT-Sicherheit eindrücklich bewiesen. Die Cyber-Bedrohung ist so hoch wie nie. Betroffen sind sowohl Unternehmen als auch Behörden. Ein Schritt in Richtung mehr Sicherheit ist die überarbeitete NIS-Richtlinie, die im Oktober 2024 in Kraft treten wird.

Warum NIS 2?

Die NIS 2-Richtlinie (kurz für Richtlinie für Netz- und Informationssicherheit) basiert auf der aktuell gültigen NIS 1-Richtlinie. Das heißt, es handelt sich nicht um eine neue Richtlinie, sie wurde nur “nachgeschärft”. Grund hierfür ist die Notwendigkeit für ein höheres Maß an Cybersicherheit und eine bessere Widerstandsfähigkeit gegen Cyberangriffe. Denn in den letzten Jahren hat sich die Bedrohungslage europaweit verschärft. Schon in NIS 1 geht es darum, die Cybersicherheit zu stärken, Mindestsicherheitsanforderungen für Netz und Informationssystem festzulegen und die Zusammenarbeit der EU-Mitgliedsstaaten zu fördern. NIS 1 ist bereits seit 2016 in Kraft. Die Mitgliedsstaaten sind seither verpflichtet, nationale Strategien für die Netz- und Informationssicherheit zu entwickeln und Computer Security Incident Response Teams einzurichten.

Aufzeichnung zum Webinar
“NIS 2-Richtlinie – Der Countdown läuft”.
Sind Sie schon bereit für Oktober 2024?

Erfahren Sie in dieser Aufzeichnung des Experten-Talks mit IT-Rechtsexperte Prof. Dr. Dennis-Kenji Kipker und Ari Albertini, CEO von FTAPI, warum es empfehlenswert ist, Cybersicherheit nicht erst für Oktober zu priorisieren und was schon heute wichtig ist, wenn es darum geht, Unternehmen NIS 2-fit zu machen.

Jetzt Aufzeichnung anfordern

Was beinhaltet NIS2?

Zunächst einmal: Bis NIS2 in nationales Recht umgesetzt wird, haben Unternehmen noch ein wenig Zeit sich darauf vorzubereiten. Die Deadline für die Umsetzung ist der 17. Oktober 2024. Damit am Ende die Zeit aber nicht knapp wird, macht es Sinn, sich jetzt schon damit auseinanderzusetzen und die Weichen zu stellen.
Mit NIS 2 wird der bisherige Anwendungsbereich vergrößert. Die erneuerte Richtlinie umfasst nun mehr Organisationen aus unterschiedlichen Sektoren. Dabei wird unterschieden zwischen KRITIS Sektoren (Energie, Transport/ Verkehr, Finanz/Versicherung, Gesundheit, Trinkwasser/ Abwasser, Ernährung, IT und TK, Weltraum, Entsorgung und Ernährung), besonders wichtigen Einrichtungen (Energie, Transport/ Verkehr, Finanz/Versicherung, Gesundheit, Trinkwasser/ Abwasser, IT und TK, Weltraum) und wichtigen Einrichtungen (Energie, Transport/ Verkehr, Finanz/Versicherung, Gesundheit, Trinkwasser/ Abwasser, IT und TK, Weltraum, Entsorgung, Lebensmittel, Verarbeitendes, digitale Dienste, Chemie, Entsorgung, Forschung).

Besonders wichtige Einrichtungen sind Organisationen mit mehr als 250 Mitarbeitenden, mehr als 50 Millionen Euro Umsatz und einer Jahresbilanzsumme, die größer als 43 Millionen Euro ist. Zusätzlich gibt es auch Sonderfälle, für die die oben genannte Definition nicht gelten, beispielsweise Telekommunikationsanbieter. Hier liegt die Mitarbeitergrenze bereits bei mehr als 50.
Zu den wichtigen Einrichtungen zählen Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanzsumme, die größer als 10 Millionen Euro ist.

Folgende Maßnahmen müssen zukünftig von den Organisationen aus den oben genannten Sektoren ergriffen werden:

Risikoanalyse und -management
Bewältigung von Sicherheitsvorfällen
Krisenmanagement und Business Continuity Management
Sicherheitsmaßnahmen in der Lieferkette
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen
Regelungen zum Einsatz von Kryptographie
Personalsicherheit
Zugriffsmanagement
Sichere Kommunikation
Meldepflicht bei erheblichen Sicherheitsvorfällen an Kontrollbehörde
Mitteilungspflicht von Sicherheitsvorfällen an Kunden

Whitepaper
“NIS-2-Richtlinie: Zukunftssicherer Datenaustausch”

Erfahren Sie in diesem Whitepaper, welche Unternehmen von NIS-2 betroffen sind, welche Maßnahmen ergriffen werden sollten und wie FTAPI dabei unterstützen kann.

Jetzt Whitepaper anfordern

Was passiert bei Nichteinhaltung der Maßnahmen?

In jedem Fall empfiehlt es sich, die bisherigen Vorkehrungen im Unternehmen rund um die Cybersicherheit kritisch auf den Prüfstand zu stellen und die Zeit bis Oktober sinnvoll zu nutzen. Nutzen Sie bei der Übermittlung von Daten Verschlüsselung? Sind sensible, personenbezogene Daten ordnungsgemäß geschützt – sowohl “in rest” als auch “in motion”? Und können Sie schon heute Ihre gesamte Lieferkette überblicken, inklusive Partner und Lieferanten? Wenn nicht, sollten Sie dringend nachbessern. Denn die Wahrheit ist: das Risiko, Opfer eines Cyberangriffs zu werden, war nie größer. Alleine deshalb macht es schon Sinn, sich damit auseinanderzusetzen. Außer der Gefahr Opfer eines Cyberangriffs zu werden, wird bei Nichteinhaltung der Richtlinie in der Zukunft mit Bußgeldern zu rechnen sein von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Im deutschen Gesetzesentwurf ist außerdem vorgesehen, dass Geschäftsführer mit ihrem Privatvermögen haften können.

Fazit

Insgesamt ist NIS 2 ein wichtiger Schritt in die richtige Richtung, um die Cybersicherheit in der EU zu stärken. Es erinnert uns daran, dass die digitale Welt sowohl Chancen als auch Risiken birgt und dass die Sicherheit ein gemeinsames Anliegen sein muss, das uns alle betrifft.