ARTICLE
27 September 2024
Mondaq Thought Leadership Award Winner

NIS-2-Richtlinie und die Zukunft der Cybersicherheit in der EU

Boege Rohde Luebbehuesen

Contributor

BRL is an internationally oriented partnership of lawyers, auditors and tax consultants that was founded in 2006. Today, we have around 400 employees at eight offices in Hamburg, Berlin, Bochum, Hanover, Dortmund, Essen, Munich and Bielefeld. Through Moore BRL GmbH, BRL is a network partner of Moore Global in Germany, a global network of independent audit and accounting firms. BRL is therefore ideally positioned to provide reliable and efficient solutions for cross-border issues in the areas of Tax, Legal, Insolvency & Restructuring as well as Risk Advisory Services (RAS). The fully dedicated RAS Team at BRL Risk Consulting is dedicated to a professional service offering with regards to Corporate Governance, Risk Management, Compliance, Internal Audit, Internal Controls (SOX), ESG, IT, Cyber Security and Data Science & Artificial Intelligence.
Aufgrund der steigenden Bedrohungen und dem vermehrten Aufkommen von IT-Sicherheitsvorfällen hat die Europäische Union im Dezember 2022 die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit...
European Union Technology

Was Unternehmen jetzt wissen müssen

Aufgrund der steigenden Bedrohungen und dem vermehrten Aufkommen von IT-Sicherheitsvorfällen hat die Europäische Union im Dezember 2022 die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit veröffentlicht (sog. NIS-2-Richtlinie). Diese trat am 16. Januar 2023 in Kraft und muss bis zum 17. Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Ziel der NIS-2-Richtlinie ist es, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU zu etablieren und die Vorgaben der bisherigen NIS-1-Richtlinie zu verschärfen sowie auf neue Sektoren auszuweiten. Bisher gab es in Deutschland nur für Kritische Infrastrukturen (KRITIS) eine verbindliche Regulatorik. Mit der Umsetzung von NIS-2 werden erstmals große Bereich der freien Wirtschaft reguliert, welche bisher keinem gesetzlichen Handlungsdruck ausgesetzt waren.

Was bedeutet dies für Ihr Unternehmen?

Die EU NIS-2-Richtlinie umfasst 18 bisher nicht berücksichtigte Sektoren der Wirtschaft, welche zu 14 Sektoren in der deutschen Umsetzung zur Direktive (NIS2UmsuCG) zusammengefasst wurden. Diese Sektoren sind weiter untergliedert, was eine detaillierte Evaluierung der Geschäftstätigkeit von Unternehmen obligatorisch macht. 

Weitergehend findet sich in den Anlagen zur NIS-2 Direktive eine Aufgliederung in Wesentliche" (besonders Wichtige) und Wichtige" Sektoren. Außerdem nennt die Richtlinie die Merkmale Mitarbeiter, Umsatz und Bilanzsumme als Faktoren zur Bestimmung der Anwendbarkeit von NIS-2. 

Einteilung

Sektor nach Anlage

Anzahl Mitarbeiter

Umsatz & Bilanzsumme

Große Unternehmen

Anlage 1

>250

EUR 50 Mio. & EUR 43 Mio.

Mittlere Unternehmen

Anlage 1 und Anlage 2

>50

EUR 10 Mio. & EUR 10 Mio.


Bei der Evaluierung ist zu beachten, dass es sich um ein oder" Kriterium zwischen Mitarbeiteranzahl und Umsatz & Bilanz handelt. Kleinunternehmen (<50 Mitarbeiter) werden durch das kommende Gesetz nicht betrachtet. Hierbei ist zu beachten, dass bei Überschreiten der Grenzen eine direkte Umsetzung notwendig wird. Grundsätzlich wird empfohlen eine Umsetzung von Cybersicherheitsmaßnahmen frühzeitig zu gewährleisten. 

In der nachfolgenden Tabelle findet sich eine Übersicht über die Sektoren mit den möglichen Eingliederungen, wenn das Unternehmen als Großes oder mindestens als Mittleres klassifiziert wird. Die Bundesverwaltungen und verschiedene Digitale Infrastruktur (DNS, TLD, Cloud-DL, TSP) haben hierbei eine Sonderstellung, da Sie unabhängig ihrer Größe und aufgrund der Kritikalität direkt unter die Vorgaben der NIS-2 Direktive fallen.

NIS-2-Anlage

Sektor

Wesentliches Unternehmen

Wichtiges Unternehmen

Anlage 1

Energie
Transport und Verkehr
Finanzwesen
Gesundheit
Trink- und Abwasser
Digitale Infrastrukturen
Weltraum

G
G
G
G
G
G
G

M
M
M
M
M
M, U
M

Anlage 2


Post und Kurier
Abfallwirtschaft
Chemie
Lebensmittel
Verarbeitendes Gewerbe
Digitale Dienste
Forschung

 

G, M
G, M
G, M
G, M
G, M
G, M
G, M

Legende: G = Großes Unternehmen; M = Mittleres Unternehmen; U = Unabhängig der Größe

1523330a.jpg

Maßnahmen und Pflichten für betroffene Unternehmen

Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen diverse Maßnahmen und Pflichten umsetzen:

1. Risikomanagement

Unternehmen müssen umfassende Risikomanagementmaßnahmen implementieren, um die Schutzziele Verfügbarkeit", Vertraulichkeit" und Integrität" mit geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen zu schützen; dazu gehören z.B.:

  • State-of-the-Art Risikoanalyse: Regelmäßige Bewertung der Risiken, denen die IT-Systeme ausgesetzt sind, unter Berücksichtigung der aktuellen Bedrohungslage.
  • Sicherheitsvorfallbewältigung: Implementierung von Protokollen zur schnellen Reaktion und Eindämmung von Sicherheitsvorfällen (z.B. Einrichtung eines umfassenden SIEM – Security Information and Event Management – welches an ein Security Operations Center – SOC – angeschlossen ist, das rund um die Uhr Vorfälle überwacht und darauf reagiert).
  • Backup- und Krisenmanagement: Regelmäßige Backups kritischer Daten und Entwicklung von Plänen zur Geschäftskontinuität im Falle eines Cybervorfalls (z.B. Disaster Recovery-und Business Continuity Management Maßnahmen, welche den Betrieb nach einem Angriff schnell wiederherstellen).
  • Umfassendes Schwachstellenmanagement, welches bekannte Lücken nach internationalen Standards überwacht und entsprechende Gegenmaßnahmen empfiehlt

2. Supply Chain Management

Unternehmen müssen sicherstellen, dass ihre Lieferanten und Partner ebenfalls angemessene Sicherheitsstandards einhalten; z.B. durch:

  • Überprüfung von Drittanbietern: Regelmäßige Sicherheitsüberprüfungen und Audits der IT-Sicherheitspraktiken von Drittanbietern.
  • Verträge mit Sicherheitsklauseln: Aufnahme von Sicherheitsanforderungen in Verträge mit Lieferanten und Partnern.

3. Kryptografie und Verschlüsselung

Unternehmen müssen moderne Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität sensibler Daten zu gewährleisten; dazu gehören z.B.:

  • Verschlüsselung sensibler Daten: Nutzung von Verschlüsselung für gespeicherte Daten und während der Datenübertragung.
  • Schlüsselmanagement: Sichere Verwaltung und Aufbewahrung von Verschlüsselungsschlüsseln.

4. Multi-Faktor-Authentifizierung (MFA)

Einführung von MFA für den Zugang zu allen Systemen und Daten. Üblicherweise wird in der MFA eine Kombination der vier Faktoren Wissen", Besitz", Inhärenz" und Standort" genutzt. Daraus ergibt sich eine Vielzahl von Möglichkeit zur Implementierung.

5. Meldepflichten

Unternehmen müssen sicherstellen, dass die Verpflichtung der Meldung von Sicherheitsvorfällen an zuständige Behörden innerhalb der Meldefristen eingehalten wird; z.B. durch:

  • Einrichtung von Meldeverfahren: Entwicklung eines Meldeprozesses für Sicherheitsvorfälle, der sicherstellt, dass alle relevanten Informationen schnell und effizient weitergegeben werden.
  • Regelmäßige Schulungen: Sensibilisierung der Mitarbeiter für die Meldepflichten und Schulung im Umgang mit Sicherheitsvorfällen.

Hierbei muss die Erstmeldung innerhalb von 24 Stunden erfolgen und innerhalb von 72 Stunden müssen weitere Maßnahmen zur Vorfallbehandlung verabschiedet sein. 

6. Schulungspflichten für Geschäftsleitungen

Die Geschäftsleitung von Unternehmen muss die genannten Maßnahmen umsetzen bzw. die Umsetzung und Einhaltung überwachen. Dafür müssen die Führungskräfte regelmäßig geschult werden, um auf dem neuesten Stand der Cybersicherheit zu bleiben; z. B. durch:

  • Cybersicherheitstraining: Regelmäßige Schulungsprogramme für Führungskräfte, um sicherzustellen, dass sie die neuesten Bedrohungen und Best Practices verstehen.
  • Awareness-Kampagnen: Durchführung von Awareness-Kampagnen im gesamten Unternehmen, um eine Sicherheitskultur zu fördern.

1523330b.jpg

Sanktionen bei Verstößen

Bei Verstößen gegen die NIS-2-Richtlinie drohen empfindliche Geldstrafen. Diese Strafen beginnen im niedrigen sechsstelligen Bereich (z.B. für eine fehlende Registrierung beim BSI) und erreichen bis zu 10 Millionen bzw. 2% des Jahresumsatzes bei wesentlichen Einrichtungen sowie 7 Millionen bzw. 1.4% des Jahresumsatzes bei wichtigen Einrichtungen. Somit gibt es in der Informationssicherheit das erste Mal gesetzlich geregelte Sanktionen, welche ein vergleichbares Ausmaß wie im Datenschutz annehmen. 

Des Weiteren ist zu beachten, das leitende Angestellte für grobe Pflichtverletzungen, konkret die nicht Einhaltung und Unterstützung der benötigten Risikomaßnahmen nach NIS-2, haftbar gemacht werden können. Die Folgen wären Bußgelder und weitere rechtliche Konsequenzen.

Handlungsempfehlungen

  • Prüfen Sie, ob die NIS-2-Richtlinie für Sie und Ihr Unternehmen relevant ist und von Ihnen umgesetzt werden muss.
    Prüfen Sie, ob ihr Unternehmen die Anforderungen der NIS-2-Richtlinie erfüllt.
  • Implementieren Sie Risikomanagementmaßnahmen, um die geforderten Sicherheitsmaßnahmen umzusetzen und schulen Sie Ihre Mitarbeiter entsprechend.
  • Kontaktieren Sie Experten und lassen Sie sich ggf. von spezialisierten IT-Beratern unterstützen, um sicherzustellen, dass Ihr Unternehmen die regulatorischen Anforderungen erfüllt.

Mit unseren Dienstleistungen im Bereich Cyber Security sind wir Ihr zuverlässiger Partner, um regulatorische Anforderungen verlässlich zu erfüllen und Compliance-Risiken proaktiv zu managen. 

Wir haben eine NIS-2 Fit-Gap-Analyse entwickelt, der es Unternehmen ermöglicht mit wenig Aufwand die benötigte Evaluierung zu erhalten. Kontaktieren Sie uns, um mehr über unsere Dienstleistungen zu erfahren.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More