Die NIS2-Richtlinie zielt darauf ab, die Widerstandsfähigkeit und Cybersicherheit in der gesamten EU zu verbessern und ein widerstandsfähiges und sicheres digitales Ökosystem zu gewährleisten, indem sie Sicherheitsanforderungen vereinheitlicht und die Zusammenarbeit zwischen den Mitgliedstaaten verbessert. Im Kern steht die Anpassung der Sicherheitsmaßnahmen an dynamische Bedrohungslandschaften und die Erhöhung der Transparenz und der Reaktionsfähigkeit bei Cybervorfällen.
Gesetzgeber gießt NIS2 ins Gesetz
Der deutsche Gesetzgeber erlässt hierzu ein NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz und passt das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG) entsprechend an.
Unternehmen müssen sich auf eine Vielzahl von Herausforderungen einstellen, um die Vorschriften des BSIG zu erfüllen. Dazu gehört die Implementierung strukturierter Informationssicherheitsmanagementsysteme, wie sie etwa im ISO/IEC 27001-Standard gefordert werden.
Von NIS2 betroffene Unternehmen
NIS2 betrifft fast jedes Unternehmen. Das BSIG identifiziert hierzu in Anhang 1 Sektoren besonders wichtiger und wichtiger Einrichtungen und in Anhang 2 Sektoren wichtiger Einrichtungen. In diesen Sektoren sind die Sicherheit und Integrität von Netz- und Informationssystemen von entscheidender Bedeutung. Sie beinhalten Organisationen, die grundlegende Dienstleistungen und Infrastrukturen bereitstellen, die für die Funktionsweise unserer modernen Gesellschaft unerlässlich sind. Als weiteres Kriterium legt das BSIG die Unternehmensgröße fest, um die betroffenen Unternehmen zu identifizieren.
Sektor nach NIS2
Zur Umsetzung von NIS2 verpflichtet sind Unternehmen aus insgesamt 18 Sektoren, von denen elf als „wesentlich“, also besonders wichtig und sieben als „wichtig“ kategorisiert werden:
- Wesentliche Einrichtungen sind demnach Unternehmen in Bereichen wie z.B. Energie, Verkehr, Gesundheitswesen und digitale Infrastruktur.
- Wichtige Einrichtungen sind Unternehmen in Bereichen wie z.B. Post- und Kurierdienste, Abfallbewirtschaftung, Chemische Erzeugnisse, Lebensmittel und Anbieter digitaler Dienste.
Unternehmensgröße und Umsatz
- Mittlere Unternehmen: 50 bis 250 Mitarbeiter, EUR 10 bis 50 Millionen Umsatz, Bilanzsumme kleiner als EUR 43 Millionen
- Große Unternehmen: Mehr als 250 Mitarbeiter, mehr als EUR 50 Millionen Umsatz, Bilanzsumme größer als EUR 43 Millionen
Erforderliche Schutzmaßnahmen
Das BSIG führt zehn Bereiche auf, die Unternehmen mit ihren Schutzmaßnahmen in Bezug auf NIS2 mindestens abdecken müssen:
- Konzepte für die Risikoanalyse
- Bewältigung von Sicherheitsvorfällen
- Business Continuity Management
- Sicherheit der Lieferkette
- Sicherer Erwerb von Software
- Tests der Wirksamkeit von Maßnahmen
- Schulungen und Cyberhygiene
- Kryptografie und Verschlüsselung
- Physische Sicherheit und Zugriffskontrolle
- Multi-Faktor-Authentifizierung
Folgen der Nichteinhaltung
Bei Verstößen gegen das BSIG drohen den Unternehmen empfindliche Strafen. So können in schwerwiegenden Fällen Strafzahlungen bis zu 20 Millionen Euro bzw. 4 % des Vorjahresumsatzes fällig werden.
Die Zeit drängt!
Auch wenn bislang nur ein Referentenentwurf vorliegt, sollten Unternehmen sich schon jetzt auf die Umsetzung von NIS2 bzw. dem BSIG vorbereiten. Denn die neuen Anforderungen gelten unmittelbar mit Ablauf der Umsetzungsfrist der EU, und das ist der 17. Oktober 2024.
Unsere Dienstleistungen im Überblick
- Beratung und Analyse
- Planung und Strategieentwicklung
- Schulungen für Beschäftige und Sensibilisierungsmaßnehmen
- Audits