20. Februar 2023

Was die neue EU-Richtlinie NIS 2 für Unternehmen bedeutet

Im Januar 2023 trat die neue EU-Richtlinie NIS 2 zur Stärkung der Cybersicherheit in Kraft. Die neue Richtlinie ist für KRITIS-Unternehmen in der Europäischen Union verbindlich. Dieser Blogbeitrag informiert über die Unterschiede zu den alten NIS-Richtlinien und erklärt, was Unternehmen nun beachten müssen, um die neue Richtlinie zu erfüllen.

Was ist die EU-Richtlinie NIS?

Die Richtlinie NIS ist Teil der europäischen Cybersecurity-Strategie und hat das Ziel, die Cyberresilienz von kritischen Infrastrukturen in der EU zu stärken. Die Richtlinie verpflichtet Unternehmen – die sogenannten „Betreiber von kritischen Infrastrukturen“ – zur Einhaltung einer Reihe von Mindeststandards, um den Schutz ihrer Netzwerke und Systeme aufrechtzuerhalten.

Im Jahr 2016 verabschiedete die EU mit der NIS-Richtlinie die erste EU-weite Richtlinie zum Schutz von Netzwerk- und Informationssystemen. Die Richtlinie enthält verbindliche Vorgaben, wie KRITIS-Unternehmen ihre Systeme schützen. Dazu gehören zum Beispiel die Implementierung eines Sicherheitsmanagementsystems, die Einhaltung von Sicherheitsrichtlinien und die regelmäßige Überprüfung des Netzwerks und der systeminternen Kontrollen. 

Durch die Schaffung einer Rechtsgrundlage mit Verpflichtung zur Einhaltung bestimmter Sicherheitsstandards erhalten Unternehmen ein hohes Maß an Sicherheit und Schutz gegen Cyberangriffe. Die Richtlinie stellt sicher, dass Unternehmen die notwendigen Maßnahmen aktiv ergreifen und ihre Systeme auf dem neuesten Stand halten, um das Risiko von Cyberangriffen zu minimieren.

Die neue Richtlinie NIS 2

Als Reaktion auf die steigenden Bedrohungen durch Cyberkriminalität hat die Europäische Union in diesem Jahr die Richtlinie NIS 2 eingeführt. Diese wurde Ende 2022 vom Europäischen Rat und Europäischen Parlament veröffentlicht und trat am 16.01.2023 in Kraft. Die EU-Mitgliedsstaaten haben nun 21 Monate Zeit (bis Oktober 2024), die darin enthaltenen Vorgaben in nationales Recht umzusetzen.

Die neue Richtlinie wurde unter anderem an die aktuell geltenden rechtlichen Bestimmungen in den jeweiligen Sektoren angepasst und definiert die betroffenen Unternehmen neu bzw. erweitert diese um einige Sektoren und Branchen. Die wichtigsten drei Unterschiede zur alten NIS-Richtlinie sind folgende:

  1. Die Sektoren wurden deutlich erweitert und neu definiert in „Wesentlich“ („Essential“) und „Wichtig“ („Important“). Es gibt elf wesentliche und sieben wichtige Sektoren.
  2. Unternehmen, die die Richtlinie nicht einhalten, müssen mit hohen Geldstrafen rechnen. Insbesondere bei schweren Verstößen können die Strafen bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes des Unternehmens betragen.
  3. Die Anforderungen wurden in großen Teilen detaillierter konkretisiert. Beispielsweise sollen Unternehmen laut der Richtlinie regelmäßig Penetrationstests durchführen, um den Schutz ihrer Systeme und Netzwerke zu gewährleisten. Außerdem müssen Systeme zur Meldung von Sicherheitsvorfällen eingerichtet und regelmäßig überprüft werden. Diese Maßnahmen verpflichten Unternehmen dazu, einen aktiven Ansatz zur Verteidigung ihrer Netzwerke und Systeme zu verfolgen und konkret umzusetzen.

Wie Unternehmen darauf reagieren sollten

Mit der Einführung der NIS 2-Richtlinie müssen Unternehmen ihre Security-Maßnahmen überprüfen und gegebenenfalls anpassen. Zunächst sollten Unternehmen neu überprüfen, ob sie als „Netz- und Informationssystemdienst“ eingestuft werden und demnach von der Richtlinie betroffen sind. Aber auch für Unternehmen, die nicht direkt als solche eingestuft werden, kann die Richtlinie relevant sein, wenn sie Dienste nutzen, die von einem „Netz- und Informationssystemdienst“ angeboten werden.

Betroffen sind alle Unternehmen und Organisationen, die als Operatoren von Kritischen Infrastrukturen (KRITIS) beispielsweise in den Bereichen Energieversorgung, Gesundheitswesen, Finanzdienstleistungen, Transportwesen und Telekommunikation gelten. Da jedes Land seine eigene KRITIS-Definition festlegt, können diese variieren. Es liegt daher in der Verantwortung des jeweiligen Unternehmens oder der Organisation, sicherzustellen, dass die für den Standort relevanten Vorschriften beachtet werden. 

Konkrete Auswirkungen von NIS 2 auf Unternehmen

Um den neuen Richtlinien gerecht zu werden, müssen Unternehmen sich mit den verschiedenen Aspekten der Richtlinie vertraut machen und ihre bestehenden Sicherheitsmaßnahmen überprüfen und verbessern. Dazu gehört beispielsweise die Durchführung einer Risikobewertung zur Ermittlung und Bewertung von potenziellen Angriffen und möglichen IT-Sicherheitsrisiken.

Ein wichtiger Schritt ist außerdem die Implementierung eines Sicherheitsmanagementsystems, das dazu beiträgt, die Sicherheitsmaßnahmen effektiv und regelmäßig zu überprüfen und auf dem neuesten Stand zu halten. Die Richtlinie schreibt auch vor, dass die Ergebnisse dieser Sicherheitsüberprüfungen an die zuständigen Behörden gemeldet werden müssen. Darüber hinaus müssen Unternehmen ihre Mitarbeitenden über die neue Richtlinie informieren, damit sie die neuen Sicherheitsmaßnahmen adäquat umsetzen können.

Die Herausforderungen von NIS 2

Die neue EU-Richtlinie NIS 2 stellt Unternehmen vor große Herausforderungen. Betroffene Unternehmen müssen sicherstellen, dass sie über ausreichend Ressourcen verfügen, um alle Anforderungen an die Umsetzung erfolgreich zu erfüllen. So muss zum Beispiel auch gewährleistet sein, dass bei Bedarf externer Support bereitgestellt wird.

Letztlich sollte jedes Unternehmen sorgfältig abwägen, welche Maßnahmen notwendig sind, um den Anforderungen der NIS 2 Richtlinie nachzukommen und somit ein angemessenes Sicherheitsniveau zu erhalten. Durch eine frühzeitige Umsetzung besteht die Möglichkeit, Risiken frühestmöglich zu identifizieren und mit den richtigen Maßnahme gegenzusteuern – dies trägt letztlich maßgeblich zum Erfolg des Unternehmens bei. Es ist deshalb wichtig, dass Unternehmen die Auswirkungen der neuen EU-Richtlinie NIS 2 verstehen und sich darauf vorbereiten, um ihre Netzwerke und Systeme sicher und konform zu halten.

Sie wollen mehr Informationen zur EU-Richtlinie NIS 2 und weiteren aktuellen Entwicklungen in der IT- und Informationssicherheit?

In unserem Seminar NIS2: Die neue europäische Richtlinie für Netz- Informationssicherheit und erfahren Sie alles Wichtige zur Richtlinie und was Sie jetzt tun müssen

Mit unserer Schulung Update IT- und Informationssicherheit bleiben Sie zudem bei allen Themen rund um die IT-Sicherheit und die Informationssicherheit immer auf dem neuesten Stand.

geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security

Immer auf dem Laufenden:
News direkt in Ihr Postfach.

Unser Angebot in einer Broschüre

Laden Sie sich jetzt kostenlos unsere umfassende Weiterbildungsbroschüre herunter:

Zur Bestätigung Ihrer E-Mail-Adresse senden wir Ihnen zunächst einen Bestätigungslink. Anschließend erhalten Sie umgehend die Broschüre. Mit der Bestätigung melden Sie sich zu unserem E-Mail-Verteiler an & erhalten unsere Weiterbildungs-News direkt in Ihr Postfach. Dieser Nutzung kann jederzeit widersprochen werden.