NIS2-Richtlinie – Überblick und Status Quo
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (NIS = Network and Information Security) ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie der Europäischen Union, 2016 in Kraft trat. Ziel der NIS2 ist es, die Cybersicherheit in der EU weiter zu stärken, die Abwehrfähigkeit gegen Cyberangriffe zu verbessern und die Widerstandsfähigkeit kritischer Infrastrukturen zu erhöhen. Die NIS-2-Richtlinie wurde am 27. Dezember 2022 veröffentlicht und trat am 16. Januar 2023 in Kraft.
Die digitale Transformation bringt zahlreiche Vorteile, erhöht jedoch gleichzeitig die Anfälligkeit für Cyberbedrohungen. Angriffe auf kritische Infrastrukturen, wie Energieversorgung, Gesundheitswesen und Transport, können schwerwiegende Folgen für die Gesellschaft und die Wirtschaft haben. Daher wurde die NIS2-Richtlinie entwickelt, um einen robusteren und kohärenteren Ansatz zur Cybersicherheit innerhalb der EU zu gewährleisten.
Für wen gilt NIS2?
Bis Oktober 2024 müssen alle Länder der Europäischen Union die Regelungen in die nationale Gesetzgebung einbringen. Zudem sind ab Oktober 2024 alle Unternehmen aus 18 definierten Sektoren mit mindestens 50 Mitarbeitern und 10 Mio. € Umsatz dazu verpflichtet NIS2 umzusetzen.
Betroffene Sektoren in Deutschland sind sogenannte Betreiber kritischer Infrastrukturen (auch „KRITIS“), die bereits jetzt durch das IT-Sicherheitsgesetz 2.0 gesetzlich verpflichtet sind, ab bestimmten Schwellenwerten Maßnahmen zur Informationssicherheit zu ergreifen. Jedoch liegen viele kommunale Versorger unterhalb der Schwellenwerte, weshalb NIS2 nun bestehende Sektoren erweiterte und weitere hinzufügt:
Sektoren mit hoher Kritikalität
• Energie
• Transport
• Bankwesen
• Finanzmärkte
• Gesundheit
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• IT/ICT Dienste (B2B)
• Öffentliche Verwaltung
• Weltraum
Sonstige kritische Sektoren
• Post- und Kurierdienste
• Abfallwirtschaft
• Chemikalien
• Lebensmittel
• Industrie (z. B. Maschinenbau)
• Digitale Dienste
• Forschung
Wesentliche Neuerungen der NIS2
Erweiterter Anwendungsbereich: Die Richtlinie umfasst mehr Sektoren als ihr Vorgänger, zudem wurde die Schwelle für die Einstufung als „wesentlicher Dienst“ gesenkt, sodass mehr Unternehmen und Organisationen unter die Richtlinie fallen.
Verstärkte Zusammenarbeit und Koordination: Es wird eine engere Zusammenarbeit zwischen den Mitgliedstaaten und der EU-Agentur für Cybersicherheit (ENISA) gefordert. Gemeinsame Cybersicherheitsübungen und der Austausch bewährter Verfahren sollen gefördert werden.
Verpflichtungen für Unternehmen: Unternehmen werden verpflichtet verstärkte Sicherheitsanforderungen zu erfüllen, einschließlich der Einführung von Risikomanagementmaßnahmen und der spezifischen Fristen für die Meldung von Cybervorfällen, um schnellere Reaktionen zu ermöglichen.
Sanktionen: Die Richtlinie sieht härtere Strafen für Verstöße vor, einschließlich hoher Geldstrafen, um die Einhaltung zu gewährleisten. Zudem erhalten nationale Behörden erweiterte Befugnisse zur Durchsetzung der Richtlinie.
Wie ist der Status Quo in Deutschland?
Derzeit wird daran gearbeitet die Richtlinie in die nationale Gesetzgebung zu integrieren. Das Gesetz, das hierzu entsteht, nennt sich „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG). Trotz des Referentenentwurfs und der Anhörung rechnet das Land damit, dass das finale Gesetz nicht fristgerecht bis Oktober 2024 verabschiedet werden wird. Auch andere EU-Länder haben angekündigt, die Frist nicht einhalten zu können.
Was können betroffene Unternehmen bereits heute tun?
Trotz des noch fehlenden Gesetzes können betroffene Unternehmen bereits heute anhand der Richtlinie wichtige Maßnahmen ableiten. Da der Umsetzungsprozess komplex ist, empfiehlt es sich, schnellstmöglich mit der Planung und Umsetzung zu beginnen, um nach Verabschiedung des Gesetzes gut aufgestellt zu sein und Sanktionen zu vermeiden.
Wir können Ihnen bei der Prüfung oder Umsetzung der NIS2-Richtlinie in Ihrem Unternehmen mit fachkundigen Beratern helfen. Sprechen Sie uns einfach an:
Crowe BPG Beratungs- und Prüfungsgesellschaft mbH
Christian Maruhn
Telefon: 02151 508 400
E-Mail: maruhn@crowe-bpg.de