Die Zeit, die NIS-2-Richtlinie umzusetzen, neigt sich dem Ende zu. Bis zum Oktober 2024 wird die Richtlinie von den EU-Mitgliedsstaaten in nationales Recht umgesetzt und damit endgültig verbindlich. Für viele Unternehmen ist die Richtlinie verpflichtend und bringt strengere Sicherheitsanforderungen mit sich. Doch was bedeutet das konkret für Unternehmen und wie können sie sich darauf vorbereiten?
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie ist eine Aktualisierung der ursprünglichen Netz- und Informationssystemsicherheitsrichtlinie (NIS), die 2016 in Kraft trat. Sie zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten. Die Aktualisierungen von NIS-2 berücksichtigen die rasanten Entwicklungen im Bereich der digitalen Technologien und die zunehmende Anzahl von Cyberangriffen.
Die Einhaltung der NIS-2-Richtlinie ab Oktober ist nicht nur eine gesetzliche Verpflichtung, sondern auch ein wichtiger Schritt zur Stärkung der Cybersecurity in Unternehmen. Da die Umsetzung Zeit erfordert, ist eine frühzeitige Vorbereitung unerlässlich, um den reibungslosen Übergang zur neuen Richtlinie sicherzustellen.
Für wen die NIS-2-Richtlinie relevant ist
Die NIS-2-Richtlinie erweitert den Anwendungsbereich erheblich. Neben den bisherigen „kritischen Infrastrukturen“ umfasst sie nun auch eine Vielzahl weiterer Unternehmen in den Sektoren Energie, Transport, Banken, Gesundheit und digitale Infrastrukturen. Auch mittlere und größere Unternehmen außerhalb dieser Sektoren könnten betroffen sein, wenn sie wichtige Dienste erbringen oder eine signifikante Abhängigkeit von Netz- und Informationssystemen aufweisen.
Unternehmen sollten daher unbedingt prüfen, ob sie als „Netz- und Informationssystemdienst“ eingestuft werden und dadurch von der NIS-2-Richtlinie betroffen sind.
Was bisher geschah: Die Timeline der NIS-2-Richtlinie
Die Entwicklung der NIS-2-Richtlinie ist das Ergebnis eines langen Prozesses, der auf die zunehmende Bedeutung der Cybersicherheit in einer digital vernetzten Welt reagiert. Hier ein Überblick über die wichtigsten Meilensteine:
2016: Die ursprüngliche NIS-Richtlinie (Richtlinie über die Sicherheit von Netz- und Informationssystemen) tritt in Kraft. Sie ist die erste EU-weite Gesetzgebung zur Cybersicherheit und zielt darauf ab, ein hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten.
2020: Angesichts der rasanten technologischen Entwicklungen und der steigenden Anzahl von Cyberangriffen beginnt die Europäische Kommission mit der Überarbeitung der NIS-Richtlinie. Ziel ist es, die Richtlinie an die neuen Herausforderungen anzupassen und ihre Wirksamkeit zu erhöhen.
Dezember 2020: Die Europäische Kommission veröffentlicht den Entwurf der NIS-2-Richtlinie. Der Entwurf sieht eine Erweiterung des Geltungsbereichs vor und führt strengere Sicherheits- und Meldepflichten ein.
2021-2022: Es folgt eine Phase intensiver Diskussionen und Verhandlungen zwischen den Mitgliedsstaaten, dem Europäischen Parlament und verschiedenen Interessengruppen, um den endgültigen Text der Richtlinie zu formen.
2023: Nach finalen Abstimmungen und Anpassungen wird die NIS-2-Richtlinie offiziell verabschiedet und tritt im Januar 2023 in Kraft. Sie löst die ursprüngliche NIS-Richtlinie ab und setzt neue Maßstäbe für die Cybersicherheit in der EU.
Oktober 2024: Die NIS-2-Richtlinie wird in nationales Recht umgesetzt und damit verbindlich. Unternehmen müssen bis zu diesem Zeitpunkt sicherstellen, dass sie alle Anforderungen der Richtlinie erfüllen.
Die drei wichtigsten Unterschiede von NIS 2 zu NIS
Die wichtigsten drei Unterschiede der NIS-2-Richtlinie zur ursprünglichen NIS-Richtlinie sind folgende:
-
- Die Klassifikation der Sektoren innerhalb der Richtlinie hat eine umfassende Erweiterung und Neudefinition erfahren. Die Sektoren sind nun in zwei Kategorien eingeteilt: „Wesentlich“ und „Wichtig“. Insgesamt gibt es elf Sektoren, die als wesentlich eingestuft werden, und sieben, die als wichtig gelten.
-
- Für Unternehmen, die sich nicht an die Vorgaben der NIS-2-Richtlinie halten, sind beträchtliche finanzielle Sanktionen vorgesehen. Bei gravierenden Verstößen können die Bußgelder bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens erreichen.
- Die NIS-2-Richtlinie spezifiziert die Sicherheitsanforderungen nun genauer. Unternehmen sind beispielsweise verpflichtet, in regelmäßigen Abständen Penetrationstests durchzuführen, um die Sicherheit ihrer Systeme und Netzwerke zu überprüfen. Des Weiteren ist die Einrichtung und regelmäßige Überprüfung von Systemen zur Meldung von Sicherheitsvorfällen vorgeschrieben. Diese Vorgaben verlangen von den Unternehmen einen proaktiven und umsetzungsorientierten Ansatz zur Absicherung ihrer Netzwerke und Systeme.
Maßnahmen zur Vorbereitung und Umsetzung der NIS-2-Richtlinie
Die bevorstehende Umsetzung der NIS-2-Richtlinie stellt für Unternehmen eine bedeutende Herausforderung dar, bringt jedoch gleichzeitig die Chance mit sich, die Sicherheit und Resilienz gegenüber Cyberbedrohungen wesentlich zu stärken. Um diese Gelegenheit effektiv zu nutzen und den neuen Anforderungen gerecht zu werden, ist eine sorgfältige Vorbereitung unerlässlich.
Im Folgenden werden ein paar zentrale Maßnahmen genannt, die Unternehmen ergreifen sollten, um sich auf die Implementierung der NIS-2-Richtlinie optimal vorzubereiten und deren Bestimmungen erfolgreich umzusetzen. Diese Strategien sind nicht nur für die Einhaltung der Richtlinie wichtig, sondern tragen auch dazu bei, das Vertrauen der Kunden in die digitale Sicherheit des Unternehmens zu stärken und einen robusten Schutz gegen Cybergefahren aufzubauen.
1. Bewertung des aktuellen Sicherheitsniveaus: Überprüfen Sie, inwieweit Ihr Unternehmen bereits den Anforderungen der NIS-2-Richtlinie entspricht. Dies umfasst die Analyse Ihrer aktuellen Sicherheitspolitik, Prozesse und IT-Infrastruktur.
2. Risikomanagement-Strategie entwickeln: Erstellen Sie eine umfassende Strategie zur Risikominimierung. Dazu gehören regelmäßige Risikobewertungen, die Implementierung effektiver Sicherheitssysteme und die Sensibilisierung Ihrer Mitarbeiter.
3. Vorfallreaktionsplan erstellen: Entwickeln Sie einen Plan, wie im Falle eines Sicherheitsvorfalls zu reagieren ist, einschließlich der Meldeverfahren an die zuständigen Behörden.
4. Schulung und Bewusstsein fördern: Investieren Sie in die Schulung Ihrer Mitarbeitenden, um ein erhöhtes Bewusstsein für Cybersicherheit zu schaffen und sicherzustellen, dass sie die erforderlichen Maßnahmen verstehen und umsetzen können.
5. Überprüfung und Anpassung: Die Cybersicherheitslandschaft verändert sich ständig. Überprüfen Sie regelmäßig Ihre Sicherheitsstrategien und passen Sie diese bei Bedarf an.
Anmerkung der Redaktion: Die Umsetzung des Gesetzes wurde in Deutschland auf März 2025 verschoben.
Unser Seminarangebot: Vorbereitung auf NIS 2
Um Sie bei der Umsetzung dieser komplexen und umfangreichen Anforderungen zu unterstützen, bieten wir ein speziell auf die NIS-2-Richtlinie zugeschnittenes Seminar an. In diesem 4-stündigen Web-Seminar erfahren Sie alles Wichtige zur Richtlinie und was Sie jetzt tun müssen. Sie erhalten tiefgehende Einblicke in die Anforderungen der Richtlinie und praktische Hilfestellungen, um Ihr Unternehmen optimal darauf vorzubereiten.
Weitere Informationen und die Möglichkeit zur Anmeldung finden Sie hier:
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security