Die NIS-2 Richtlinie - was sie für Unternehmen bedeutet

Die NIS-2 Richtlinie - was sie für Unternehmen bedeutet

Beitrag aktualisiert am 20.12.2023

Zur Themenwelt Informationssicherheit

NIS-2 Richtlinie nimmt Unternehmen in die Pflicht

„Die Bedrohung im Cyberraum ist so hoch wie nie zuvor.“ Zu diesem Schluss kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI). In seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2023 betont es, dass Cyberangriffe nicht nur zunehmend professioneller werden. Sie treffen auch immer öfter kleine und mittlere Organisationen, Kommunen und staatliche Institutionen. Hinzu kommen vollkommen neue Risiken durch künstliche Intelligenz.  

Die NIS-2 Richtlinie ist eine Antwort der EU auf diese Bedrohungslage. Sie soll „eine Kultur der Sicherheit in allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind“, gewährleisten. Dazu nimmt sie Unternehmen in die Pflicht, und zwar deutlich mehr als ihr Vorgänger. 

Wir haben uns mit Rechtsanwalt und Cyber-Security-Berater Alexander Forssman darüber unterhalten, 

  • wer von der NIS-2 betroffen ist, 

  • worin die wichtigsten Änderungen der Richtlinie bestehen und 

  • warum Cybersicherheit bei vermeintlich einfachen Dingen anfängt. 

Worum handelt es sich bei der NIS-2 Richtlinie?

Bei NIS-2 handelt es sich um eine Cyber-Security-Richtlinie der EU, die am 16. Januar 2023 in Kraft trat. Sie folgt auf die 2016 eingeführte NIS-Richtlinie beziehungsweise NIS-1 Richtlinie. Die Abkürzung NIS steht für Network and Information Security beziehungsweise Netzwerk und Informationssicherheit. Die Hauptziele der NIS-2 Richtlinie, ebenso wie die ihrer Vorgängerin, sind es, wichtige Einrichtungen in den EU-Mitgliedstaaten vor Cyberangriffen zu schützen und ein europaweit einheitliches Schutzniveau zu schaffen.  

Die EU-Mitgliedstaaten müssen die Richtlinie bis 17. Oktober 2024 in nationales Recht überführen. In Deutschland existieren bisher zwei Referentenentwürfe und ein Diskussionspapier für das NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Diese geben schon einen Ausblick darauf, was betroffene Unternehmen erwartet. 

Wichtig: Die NIS-2 gibt den Rahmen vor, hinter dem das deutsche Gesetz nicht zurückbleiben wird. Über die Details der Umsetzung durch den deutschen Gesetzgeber wird aber derzeit noch diskutiert.  

Für wen gilt die Cybersecurity-Richtlinie?

Schätzungen gehen davon aus, dass zwischen etwa 25.000 und 40.000 Unternehmen in Deutschland von der NIS-2 betroffen sind. Dazu gehören, anders als bisher, nicht mehr nur offensichtliche Betreiber kritischer Infrastrukturen. Die EU-Richtlinie betrifft auch Lebensmittelproduzenten und -händler, Online-Marktplätze oder Unternehmen aus dem Entsorgungssektor

Wichtig ist, so Alexander Forssman: „Unternehmen werden sich registrieren müssen und sie werden von niemandem einen offiziellen Hinweis darauf bekommen.“ Das heißt, dass Unternehmen selbst entscheiden/erkennen müssen, ob sie in den Geltungsbereich der NIS-2 fallen.  

Folgende Kriterien sind dafür entscheidend:  

  • Die Unternehmensgröße: Haben Unternehmen mehr als 50 Mitarbeitende und machen mehr als 10 Millionen Euro Umsatz im Jahr, sind sie von der NIS-2 betroffen, falls sie in einem entsprechenden Sektor tätig sind. 

  • Der Sektor: Die NIS-2 definiert 18 Unternehmenssektoren. Wie die Einteilung im deutschen Gesetz genau geregelt ist, steht noch nicht fest. Sie wird aber in jedem Fall den Vorgaben der EU-Richtlinie folgen.  

Einige Organisationen sind auch unabhängig von ihrer Größe betroffen. Das gilt zum Beispiel, wenn bei einem Ausfall Systemrisiken bestehen.  

Außerdem unterscheidet die NIS-2 zwischen wesentlichen und wichtigen Unternehmen. Die deutsche Umsetzung wird dafür wahrscheinlich die Adjektive „wichtig“ und „besonders wichtig“ verwenden.  

Gut zu wissen: Die NIS-2 verpflichtet Unternehmen zu umfangreichen Risikomanagementmaßnahmen, auch innerhalb der eigenen Lieferkette. Deshalb sind zahlreiche Zulieferer indirekt von ihr betroffen, angefangen bei IT-Dienstleistern bis hin zu Herstellern von Windturbinen.  

Die wichtigsten Neuerungen der NIS-2 im Überblick

Abgesehen davon, dass die Zahl der betroffenen Einrichtungen stark gestiegen ist, bringt die NIS-2 vor allem folgende Änderungen für Unternehmen mit sich:  

  • Mehr Maßnahmen: Die Richtlinie fordert von betroffenen Einrichtungen, eine Reihe von Schutzmaßnahmen einzuführen beziehungsweise zu verschärfen. Das beginnt bei der Risikoanalyse und reicht über Business-Continuity und Sicherheit in der Lieferkette bis hin zur Multi-Faktor-Authentifizierung. Erfreulich sei, betont Alexander Forssman, dass die Richtlinie dezidierte Beispiele für Mindestmaßnahmen gebe. Die „Size cap“-Regel sieht unterschiedliche Vorgaben je nach Unternehmensgröße vor. Kleinere Unternehmen mit begrenzten Ressourcen müssen also im Regelfall nicht dieselben Mindestvoraussetzungen erfüllen wie große Betriebe. 

  • Strenge Meldepflichten: Organisationen müssen einen bedeutenden Sicherheitsvorfall innerhalb von 24 Stunden, nachdem sie ihn entdeckt haben, an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Innerhalb von 72 Stunden müssen sie eine erste Bewertung abgeben und innerhalb eines Monats einen detaillierten Abschlussbericht.  

  • Strenge Aufsicht: Als Aufsichtsbehörde wird wahrscheinlich das BSI operieren. Es wird mit weitreichenden Befugnissen ausgestattet sein. Im – allerdings unwahrscheinlichen – Extremfall könne es einer Geschäftsführung sogar zeitweise verbieten, ihr Unternehmen zu führen, so Alexander Forssman. Außerdem drohen hohe Geldstrafen bei Nichtbefolgen der NIS-2. 

  • Schulungsverpflichtung für die Geschäftsführung: Auch an anderer Stelle nimmt die NIS-2 die Geschäftsführung in die Pflicht. Diese hat nun nicht mehr die Möglichkeit, alle Maßnahmen rund um Cybersicherheit einfach zu delegieren, sondern muss zum Beispiel aktiv Risikomanagementmaßnahmen billigen. Sogar eine Schulungsverpflichtung für die Geschäftsführung sieht die NIS-2 vor. 

Der Handlungsbedarf beginnt oft bei der Rechte- und Rollenverteilung

Bis Oktober 2024 ist nicht mehr viel Zeit. Entsprechend sieht Alexander Forssman speziell bei kleineren und mittleren Unternehmen, die sich bisher wenig mit dem Thema Cybersicherheit beschäftigt haben, dringenden Handlungsbedarf.  

Dies fange oft bei grundlegenden organisatorischen Themen im Bereich IT-Sicherheit an. „Wenn, salopp gesprochen, jeder in einem Unternehmen Zugriff auf alles hat, gilt das auch für Personen, denen es gelungen ist, von außen in die Netzwerkinfrastruktur einzudringen.“  

Unternehmen sollten sich also zunächst einmal klar werden, ob sie von der NIS-2 betroffen sind. Dann ist es in der Regel sinnvoll, sich einen Überblick über den Status quo zu verschaffen. Welche Sicherheitsmaßnahmen gibt es jetzt schon und auf welchem Stand befinden sich diese? Existiert ein systematisches Risikomanagement? Wie sieht es mit Back-up- und Wiederherstellungsplänen aus? Ist das eigene Unternehmen in der Lage, die strengen Meldepflichten der NIS-2 einzuhalten? Antworten auf Fragen wie diese helfen, sich über Nachholbedarf klar und aktiv zu werden. 

Die NIS-2 kann helfen, die eigene Wettbewerbsfähigkeit sicherzustellen

Die NIS-2 ist eine Antwort auf eine rasante Verschärfung der Bedrohungslage im Cyberbereich. Geopolitische Spannungen, eine Professionalisierung von Cyberkriminellen und neue Technologien sorgen dafür, dass die Gefahren auch für kleinere Unternehmen steigen. Laut des Branchenverbandes Bitkom entstehen der deutschen Wirtschaft aktuell jährlich Schäden in Höhe von 206 Milliarden Euro durch den Diebstahl von IT-Ausrüstung und Daten, Sabotage sowie digitale und analoge Industriespionage.  

Maßnahmen, wie sie die NIS-2 vorschreibt, helfen, schweren Verlusten und Imageschäden bis hin zu Existenzrisiken vorzubeugen. Dass sie in dem einen oder anderen Detail vielleicht über das Ziel hinausschießt, lasse sich diskutieren, so Alexander Forssman. Doch alles in allem tun Unternehmen gut daran, die Inhalte der Richtlinie gewissenhaft umzusetzen – nicht nur aus Angst vor möglichen Strafen, sondern auch um für die nächsten Jahre gerüstet zu sein.