EU-Richtlinie NIS2

Die NIS2-Richtlinie (Network and Information Security Directive) zielt darauf ab, die Cyber- und Informationssicherheit von Einrichtungen, die wesentliche Dienste in Schlüsselsektoren erbringen, EU-weit zu verbessern und zu harmonisieren. Sie muss in jedem Mitgliedstaat in nationales Recht umgesetzt werden. In Deutschland soll dies im Rahmen des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzt erfolgen.

Die NIS2-Richtlinie erweitert den Anwendungsbereich, indem sie einerseits weitere Sektoren hinzufügt und andererseits andere Schwellenwerte festlegt, wodurch sich die Anzahl der betroffenen Einrichtungen erhöht. Darüber hinaus werden weitere Cybersicherheitsmaßnahmen definiert (u.a. Sicherheit der Lieferkette) und Sanktionen bei Verstößen festgelegt.

Hierdurch besteht ein schneller Handlungsbedarf für alle betroffenen Unternehmen, vor allem für diejenigen, die bislang noch nicht in den Anwendungsbereich der NIS-Richtlinie gefallen sind.

Angesichts dessen legen wir Unternehmen, die betroffen sind, nahe, sich rasch mit den Erfordernissen der Cyber- und Informationssicherheit vertraut zu machen. Gerne informieren wir Sie ausführlich darüber, wie unsere Dienstleistung Sie sowohl bei initialen Analysen des Umsetzungstands als auch bei der Umsetzung möglicher Gaps hinsichtlich der Anforderungen unterstützen können. Gemeinsam justieren wir die Ausrichtung Ihres Unternehmens so, dass es den Vorgaben der neuen Richtlinie gerecht wird.

Unter den Anwendungsbereich der NIS2 fallen Einrichtungen, die ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben.

Neben der Erweiterung der betroffenen Sektoren ist eine weitere wesentliche Änderung beim Anwendungsbereich, dass die Betroffenheit der Einrichtungen nicht mehr über das Erreichen oder Überschreiten der Schwellenwerte der Anlagekategorien, sondern über die Größe der Einrichtungen geregelt werden soll.

Demnach sollen unter die NIS2-Richtlinie große und mittlere Unternehmen fallen:

(mittlere) Einrichtungen

• 50 - 249 Beschäftigte und
• < 50 Mio. EUR Jahresumsatz oder
• < 43 Mio. EUR Jahresbilanzsumme

oder

• < 50 Beschäftigte und
• (10 - 50) Mio. EUR Jahresumsatz und
• (10 - 43) Mio. EUR Jahresbilanzsumme

(große) Einrichtungen

• ≥ 250 Beschäftigte

oder

• ≥ 50 Mio. EUR Jahresumsatz und
• ≥ 43 Mio. EUR Jahresbilanzsumme

Mit der NIS2 kommen weitere Sektoren hinzu, welche die definierten Anforderungen umsetzen müssen. Die Richtlinie unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen. Erstere unterliegen höheren Sanktionen bei Verstößen gegen die Anforderungen sowie einem Ex-ante- und Ex-post-Aufsichtssystem, während wichtige Einrichtungen geringeren Sanktionen und einem ausschließlich reaktiven Ex-post-Aufsichtssystem unterliegen.

Wesentliche Einrichtungen:

• Großunternehmen in Essential Sectors

Wichtige Einrichtungen:

• Mittlere Unternehmen in Essential Sectors
• Großunternehmen und mittlere Unternehmen in Important Sectors

Insgesamt sind somit die folgenden 18 Sektoren von der NIS2 betroffen:

Einrichtungen müssen unter Berücksichtigung des Standes der Technik technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die zur Erbringung ihrer Dienste genutzt werden, zu steuern und zu beherrschen. Damit wird auch in der NIS2-Richtlinie der Risikoansatz zur Umsetzung eines angemessenen Sicherheitsniveaus deutlich. Ein weiterer Schwerpunkt liegt auf der Meldung von Sicherheitsvorfällen, die erhebliche Auswirkungen auf die Erbringung der Dienstleistungen haben, und damit auf der Einrichtung eines standardisierten Meldeverfahrens für Sicherheitsvorfälle.

• Cyber-Security-Management: Richtlinien und Risikomanagement
• Incident Management
• Business Continuity Management (BCM)

Bei Verstößen gegen die Anforderungen werden folgende Geldbußen für wesentliche und wichtige Einrichtungen verhängt:

• Besonders wichtige Einrichtungen: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
• Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Mit Inkrafttreten der NIS2-Richtlinie am 16.01.2023 haben die EU-Mitgliedstaaten 21 Monate Zeit, die Richtlinie in nationales Recht umzusetzen. Dies verschafft den Einrichtungen Zeit, sich mit den Anforderungen der NIS2-Richtlinie auseinanderzusetzen und mögliche Auswirkungen zu analysieren und zu bewerten.

Die Erfüllung aller Cyber-Sicherheitsmaßnahmen ist komplex und setzt ein Zusammenspiel von verschiedenen Unternehmensfunktionen voraus. adesso unterstützt Sie bei einer erfolgreichen Umsetzung der NIS2-Anforderungen:

Für betroffene Unternehmen ist es daher wichtig, frühzeitig folgende Schritte einzuleiten: