Wer von NIS2 betroffen ist, muss in seinem Unternehmen ein besonderes Augenmerk auf den Bereich der Informationssicherheit legen. Denn die NIS2-Richtlinie (Network and Information Security) erweitert die bisherigen Vorschriften zur IT-Sicherheit innerhalb der Europäischen Union erheblich und löst die bisherige NIS-Richtlinie (NIS1) ab.
Ziel ist es, die Cyberresilienz in betroffenen Einrichtungen zu stärken, die digitale Infrastruktur abzusichern und ein einheitliches Management von Sicherheitsvorfällen zu etablieren.
Während allgemeine Informationen zur NIS2-Richtlinie vielen bereits bekannt sind, bleibt oft unklar, welche Unternehmen und Einrichtungen konkret betroffen sind und welche Maßnahmen sie ergreifen müssen.
In diesem Beitrag sehen wir uns an, wer unter die neuen Anforderungen fällt, welche Kriterien entscheidend und welche Schritte zur Umsetzung notwendig sind. Zudem gehen wir auf potenzielle Sanktionen ein, die bei Nichteinhaltung der Richtlinie drohen.
Von NIS2 betroffen oder nicht? Die wichtigsten Kriterien
Ob ein Unternehmen oder eine Einrichtung von der NIS2-Richtlinie betroffen ist, hängt von zwei zentralen Faktoren ab: der Branche und der Unternehmensgröße. Bestimmte kritische Infrastrukturen und wichtige Einrichtungen sind automatisch verpflichtet, die neuen Sicherheitsvorgaben zu erfüllen. Zudem müssen Unternehmen, die bestimmte wirtschaftliche Schwellenwerte überschreiten oder eine hohe Bedeutung für die digitale Infrastruktur haben, entsprechende Maßnahmen umsetzen.
Je nachdem, ob eine betroffene Organisation zu den wesentlichen Einrichtungen oder zu den wichtigen Einrichtungen zählt, variieren die Anforderungen. Nicht nur große Unternehmen müssen klare Vorgaben (etwa im Bereich der Cybersicherheit) einhalten; auch kleine und mittlere Unternehmen sind betroffen, wenn sie in kritischen Bereichen tätig sind. Eine detaillierte Betroffenheitsprüfung ist daher notwendig, um frühzeitig Compliance-Maßnahmen einzuleiten.
Betroffene Branchen und Sektoren
Die NIS2-Richtlinie betrifft eine Vielzahl von Branchen und Unternehmen, die als kritische Infrastrukturen oder wichtige Einrichtungen eingestuft werden. Dazu gehören insbesondere Betreiber sensibler digitaler Dienste, das Bankwesen, das Gesundheitswesen, Teile der Transport- und Logistikbranche sowie der öffentlichen Verwaltung.
Auch bestimmte IT-Dienstleister, Netzbetreiber und Cloud-Anbieter unterliegen den neuen Regelungen. Unternehmen, die Teil einer kritischen Lieferkette sind, können ebenfalls in den Geltungsbereich der Richtlinie fallen.
„Wesentliche“ oder „wichtige“ Einrichtungen
Die NIS2-Richtlinie unterscheidet zwischen wesentlichen und wichtigen Unternehmen, wobei verschiedene Schwellenwerte entscheidend sind (z. B. beid er Mitarbeiterzahl, ab der man unter NIS2 fällt). Betroffen sind automatisch große Unternehmen, die entweder einen Jahresumsatz oder eine Jahresbilanzsumme von über 10 Millionen Euro ausweisen. Zudem kann die Kritikalität der erbrachten Dienstleistungen ein entscheidender Faktor sein.
So können auch mittlere und kleine Unternehmen von der NIS2-Richtlinie betroffen sein, wenn sie essenzielle Dienstleistungen in der digitalen Infrastruktur bereitstellen. Die sogenannte Size-Cap-Regel skaliert die Anforderungen der NIS2-Richtlinie je nach Unternehmensgröße, sodass sowohl kleine als auch große Unternehmen angemessene Maßnahmen zur IT-Sicherheit umsetzen können.
Bin ich von NIS2 betroffen? Die Betroffenheitsprüfung
Unternehmen, die sich unsicher sind, ob sie unter die NIS2-Richtlinie fallen, sollten eine gründliche Betroffenheitsprüfung durchführen. Wichtige Anhaltspunkte sind, wie bereits besprochen, neben der Unternehmensgröße auch die Kritikalität der Dienstleistungen sowie die potenzielle Bedeutung für die nationale Sicherheit.
Zwar stammt die neue Richtlinie von der Europäischen Union; die Mitgliedsstaaten sind aber verpflichtet, die neue Richtlinie in nationales Recht zu überführen (was noch nicht überall passiert ist). Damit gibt es in jedem Land auch eine zuständige Stelle – in Deutschland beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Dieses ist nicht nur für die nationale Umsetzung von NIS2 verantwortlich, sondern dient auch als Anlaufstelle bei etwaigen Unklarheiten. So bietet es auf seiner Website etwa eine Möglichkeit zur Betroffenheitsprüfung an, mit der man selbst Aufschluss darüber erhält, ob man zu den betroffenen Unternehmen zählt oder nicht.
Praxisbeispiele: Welche Unternehmen müssen handeln?
Das Spektrum an Unternehmen und Einrichtungen, die von NIS2 betroffen sind, ist weit – hier ein paar Beispiele zur Veranschaulichung.
- Ein typischerweise betroffenes Unternehmen ist eine Regionalbank, die durch ihre Größe und Bedeutung für das Finanzwesen – sie ist Teil der KRITIS – unter die NIS2-Richtlinie fällt.
- Ein IT-Dienstleister, der Hosting-Dienste für kritische Unternehmen bereitstellt, ist ebenfalls verpflichtet, strenge Cybersicherheitsmaßnahmen umzusetzen.
- Auch ein Logistikunternehmen, das sensible oder sicherheitsrelevante Güter transportiert, muss sich an Meldepflichten halten und auf Cyberangriffe vorbereitet sein.
- Krankenhäuser, die mit personenbezogenen und sensiblen Daten arbeiten, sind dazu verpflichtet, ihre IT-Sicherheit auf höchstem Niveau zu halten.
- Ebenso sind diverse Behörden, die digitale Verwaltungsprozesse nutzen, zu umfassenden technischen und organisatorischen Maßnahmen verpflichtet.
Notwendige Maßnahmen nach NIS2 – Kernpunkte der Richtlinie
Unternehmen, die unter die NIS2-Richtlinie fallen, müssen umfangreiche Sicherheitsmaßnahmen umsetzen. Dazu gehört die Einführung eines ISMS, das beispielsweise auf ISO 27001 basiert. Zudem sind Risikomanagementmaßnahmen erforderlich, um Cyberangriffe frühzeitig zu erkennen und abzuwehren.
Ein wesentlicher Bestandteil der Richtlinie ist die Meldepflicht bei Sicherheitsvorfällen. Unternehmen müssen zudem Business-Continuity-Pläne implementieren, um ihre Widerstandsfähigkeit gegenüber IT-Ausfällen zu erhöhen. Auch der Schutz personenbezogener Daten in Übereinstimmung mit der DSGVO sind zentrale Anforderungen.
Sanktionen und Konsequenzen bei Verstößen
Unternehmen, die die Anforderungen der NIS2-Richtlinie nicht einhalten, müssen mit erheblichen Bußgeldern rechnen – diese können mehrere Millionen Euro betragen. Darüber hinaus kann die Geschäftsführung bei grober Fahrlässigkeit haftbar gemacht werden.
Neben finanziellen Strafen drohen auch Reputationsverluste sowie Ausschlüsse aus öffentlichen Ausschreibungen. Vor allem Betreiber kritischer Infrastrukturen und wichtige Unternehmen stehen unter besonderer Beobachtung und müssen nachweisen, dass sie ihre IT-Sicherheitsmaßnahmen kontinuierlich verbessern.
Der springende Punkt: Bei betroffenen Unternehmen besteht Handlungsbedarf
Die NIS2-Richtlinie setzt neue Maßstäbe für die IT-Sicherheit und verpflichtet zahlreiche Unternehmen dazu, ihre Sicherheitsstandards erheblich zu erweitern. Eine frühzeitige Betroffenheitsprüfung ist Voraussetzung, um rechtzeitig die nötigen Maßnahmen einzuleiten.
Die Umsetzung der Richtlinie kann jedoch herausfordernd sein, insbesondere für Unternehmen, die nicht über ausreichende interne Ressourcen oder Kompetenzen verfügen. Viele Unternehmen entscheiden sich daher, professionelle Unterstützung in Anspruch zu nehmen.
Hier bietet sich microCAT als erfahrener Partner für Cybersecurity an, um Unternehmen bei der Implementierung der NIS2-Anforderungen zu unterstützen. Durch maßgeschneiderte Managed Services, praxisnahe Risikomanagementmaßnahmen und die Einführung eines ISMS nach anerkannten Standards wie ISO 27001 unterstützen wir unter anderem Unternehmen aus der KRITIS dabei, ihre Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen und die Compliance-Anforderungen effizient zu erfüllen.
Frühzeitiges Handeln ist angesagt, um hohe Geldstrafen und andere rechtliche Konsequenzen zu vermeiden. Wer die neuen Sicherheitsanforderungen ernst nimmt, stärkt nicht nur die eigene IT-Sicherheit, sondern auch das Vertrauen von Kunden und Geschäftspartnern.
