Europäische NIS-2-Richtline: Alles, was Sie jetzt wissen müssen!

Die NIS 2 Richtlinie (Network and Information Systems Directive) ist eine überarbeitete und erweiterte Version der ursprünglichen NIS-Richtlinie von 2016. NIS 2 zielt darauf ab, die Cybersicherheit in der Europäischen Union zu stärken und sicherzustellen, dass ein hohes gemeinsames Schutzniveau für Netzwerk- und Informationssysteme erreicht wird. Die Richtlinie wurde am 16. Januar 2023 verabschiedet und muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.  In Deutschland erfolgt dies durch das NIS 2 Umsetzungsgesetz (NIS 2 UmSuCG), welches ein Änderungsgesetzgesetz darstellt. Dies bedeutet, dass NIS 2 kein eigenständiges Gesetz bilden wird, sondern bereits bestehende Gesetze nach den Vorgaben von NIS 2 ergänzt bzw. aktualisiert werden.

Wir von der EDV-Unternehmensberatung Floß unterstützen Sie bei der Ermittlung Ihrer Betroffenheit hinsichtlich dieser Richtlinie sowie bei der Umsetzung der darin geregelten Anforderungen.

Sicherheitslösungen

Wir erarbeiten und integrieren individuell auf Ihren Betrieb abgestimmte Sicherheitskonzepte und -lösungen und gewährleisten damit die Informations- und Datensicherheit in Ihrem Unternehmen.

Datenschutz

Unsere Experten unterstützen Sie bei allen Fragen des Datenschutzes gemäß dem Bundesdatenschutzgesetz (BDSG-neu) und der Europäischen Datenschutzgrundverordnung (DSGVO).

Zertifizierte Beratung

Unsere zertifizierten Experten mit langjähriger Erfahrung in den Bereichen Datenschutz und Informationssicherheit stehen Ihnen und Ihren Mitarbeitern jederzeit mit juristischen und technischen Kenntnissen zur Verfügung.

Ist Ihr Unternehmen von NIS-2 betroffen?

Die NIS 2 Richtlinie betrifft eine Vielzahl von Sektoren und Organisationen. Diese sind:

  • kritische Einrichtungen: Energie, Transport, Finanz- und Versicherungswesen, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum und Siedlungsabfallentsorgung.
  • besonders wichtige Einrichtungen: Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Wasser, Digitale Infrastruktur und Weltraum (Anlage 1 NIS 2 UmSuCG)
  • wichtige Einrichtungen: Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Wasser, Digitale Infrastruktur und Weltraum, Abfallbewirtschaftung, Produktion – Herstellung und Handel mit chemischen Stoffen, Produktion – Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe / Herstellung von Waren, Anbieter digitaler Dienste und Forschung (Anlage 1 und 2 NIS 2 UmSuCG).

Die Richtlinie betrifft grds. öffentliche als auch private Organisationen, die in diesen Sektoren tätig sind. Schätzungsweise sollen dies 30.000 Unternehmen in Deutschland sein.

Neben der sektoralen Zugehörigkeit eines Unternehmens ist auch die Anzahl der Mitarbeitenden sowie bestimmte wirtschaftliche Kennziffern entscheidend für die entsprechende Einordnung der Unternehmen.
Folgende Voraussetzungen gelten, um als eine besonders wichtige oder wichtige Einrichtung zu zählen:

Besonders wichtige Einrichtung

  • Betreiber kritischer Anlagen
  • Qualifizierte Vertrauensdienstanbieter, Top-Level-Domain Name Registries oder Domain Name System (DNS) – Anbieter (unabhängig der Größe)
  • Anbieter öffentlich zugänglicher TK-Dienste oder Betreiber öffentlicher TK-Netze, welche mindestens 50 Mitarbeiter beschäftigten oder einen Jahresumsatz sowie Jahresbilanzsumme von jeweils 10 Mio € aufweisen.
  • in einem Sektor aus Anlage 1 NIS2 UmSuCG tätig, hat mindestens 250 Mitarbeiter oder einen Jahresumsatz von mehr als 50 Mio. € und eine Jahresbilanzsumme von über 43 Mio. €.

Wichtige Einrichtung

  • Vertrauensdienstanbieter (unabhängig der Größe)
  • Anbieter öffentlich zugänglicher TK-Dienste oder Betreiber öffentlicher TK-Netze (weniger als 50 Mitarbeiter und 10 Mio. € oder einen Jahresumsatz sowie Jahresbilanzsumme von jeweils 10 Mio. € oder mehr vorweisen)
  • In einem Sektor aus Anlage 1 und Anlage 2 NIS 2 UmSuCG tätig, mindestens 50 Mitarbeiter oder einen Jahresumsatz sowie Jahresbilanzsumme von jeweils 10 Mio. € oder mehr vorweisen.

Ob Ihr Unternehmen betroffen ist, kann nicht pauschal festgestellt werden, sondern muss immer im Einzelfall bestimmt werden. Ebenso müssen Sie beachten, dass Sie bei entsprechender Betroffenheit, Ihr Unternehmen bei der zuständigen Aufsichtsbehörde registrieren müssen. Gemeinsam mit Rechtsanwälten von pitc-legal.de unterstützen wir Sie bei allen Fragen rund um die neue Richtlinie und die Einstufung Ihres Unternehmens.

Gemeinsam für Ihre Sicherheit
EDV-Unternehmensberatung Floß & Eckhardt Rechtsanwälte

Profitieren Sie von unserer Partnerschaft mit der renommierten Rechtsanwaltskanzlei pitc-legal - Eckhardt Rechtsanwälte Partnerschaft mbB. Ihre Daten sind bei uns nicht nur sicher, sondern auch rechtskonform.

So setzen Sie die Vorgaben aus NIS-2 um

Um die Vorgaben aus NIS 2, muss ein Unternehmen mehrere wichtige Maßnahmen ergreifen und diese dokumentieren. So ist u. a. eine (regelmäßige) Risikobewertung erforderlich, um potenzielle Cyber-Bedrohungen und Schwachstellen zu identifizieren. Darauf basierend sollten umfassende Sicherheitsrichtlinien entwickelt und umgesetzt werden. Technische und organisatorische Maßnahmen wie Verschlüsselung, Zugriffskontrollen und die kontinuierliche Überwachung von IT-Ressourcen sind essenziell. Es müssen klare Prozesse zur Meldung von erheblichen Sicherheitsvorfällen etabliert werden, einschließlich einer ersten Meldung innerhalb von 24 Stunden, gefolgt von detaillierten Berichten. Notfallpläne zur Sicherstellung der Geschäftskontinuität sowie die Einrichtung von Krisenmanagement-Teams sind ebenfalls notwendig. Ebenso müssen regelmäßige Schulungen und Sensibilisierungskampagnen durchgeführt werden, um das  das Sicherheitsbewusstsein der Mitarbeiter zu erhöhen. Weiter ist eine kontinuierliche Überwachung und regelmäßige Audits notwendig, um die Effektivität der Sicherheitsmaßnahmen zu gewährleisten und Verbesserungen vorzunehmen. Unternehmen müssen zudem ihre Lieferketten überprüfen und sicherstellen, dass auch ihre Partner hohe Sicherheitsstandards einhalten. Mit diesen und weiteren Maßnahmen können Unternehmen die Anforderungen von NIS 2 erfüllen und ihre Cybersicherheitsmaßnahmen deutlich verbessern.

Was bedeutet NIS-2 für Geschäftsleitungen?

NIS 2 begründet signifikante Verpflichtungen für Geschäftsführer und das obere Management von Unternehmen. Demnach sind diese dazu verpflichtet, die entsprechenden Risikomanagementmaßnahmen umzusetzen und Ihre Umsetzung zu überwachen. Zudem müssen Sie ebenfalls regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Informationssicherheit sowie deren Beurteilung auf das Unternehmen beurteilen zu können.

Eine fahrlässige oder schuldhafte Verletzung dieser Pflichten begründet ggf. eine persönliche Haftung nach dem für die Unternehmensform geltenden Recht oder ggf. nach den Vorgaben von NIS 2.  

1. Verantwortung und Haftung:

Geschäftsführer sind direkt für die Einhaltung der NIS 2 Richtlinie verantwortlich. Sie müssen sicherstellen und nachweisen können, dass ihr Unternehmen die vorgeschriebenen Cybersicherheitsmaßnahmen implementiert und aufrechterhält. Bei Verstößen gegen die Richtlinie können Geschäftsführer persönlich haftbar gemacht werden, was auch finanzielle Strafen und in schweren Fällen ein temporäres Verbot, Managementrollen zu übernehmen, beinhalten kann.

 

2. Sicherheitsstrategie und -maßnahmen:

Geschäftsführer müssen sicherstellen, dass eine umfassende Cybersicherheitsstrategie entwickelt und umgesetzt wird. Dies umfasst Risikobewertungen, die Implementierung technischer und organisatorischer Maßnahmen, regelmäßige Schulungen und die Sensibilisierung der Mitarbeiter für Cybersicherheit.

 

3. Meldepflichten:

Unternehmen sind verpflichtet, bei erheblichen Sicherheitsvorfälle eine frühe Erstmeldung innerhalb von 24 Stunden nach Entdeckung ggü. der zuständigen Aufsichtsbehörde durchzuführen. Geschäftsführer müssen sicherstellen, dass entsprechende Prozesse zur schnellen und effektiven Meldung von Vorfällen etabliert sind.

4. Überwachung und Berichterstattung:

Es liegt in der Verantwortung der Geschäftsführer, die kontinuierliche Überwachung der Sicherheitsmaßnahmen sicherzustellen und regelmäßige Audits durchzuführen. Sie müssen dafür sorgen, dass ihr Unternehmen den zuständigen Behörden regelmäßig Berichte über die Cybersicherheitslage und -vorfälle vorlegt.

 

5. Geschäftskontinuität:

Geschäftsführer müssen Notfallpläne entwickeln und umsetzen, die sicherstellen, dass das Unternehmen im Falle eines Cybervorfalls weiterhin operieren kann. Dies beinhaltet die Einrichtung eines Krisenmanagement-Teams und Maßnahmen zur schnellen Wiederherstellung der Geschäftsfunktionen.

 

6. Lieferkettenmanagement:

Geschäftsführer sind dafür verantwortlich, dass auch die Lieferanten und Drittanbieter ihres Unternehmens hohe Sicherheitsstandards einhalten. Sie müssen sicherstellen, dass Sicherheitsanforderungen in Verträgen und Vereinbarungen mit diesen Partnern festgelegt sind und regelmäßig überprüft werden.

Durch diese Maßnahmen tragen Geschäftsführer entscheidend dazu bei, die Cybersicherheit ihres Unternehmens zu stärken und den Anforderungen der NIS 2 Richtlinie gerecht zu werden. Dies erfordert ein hohes Maß an Engagement, Planung und kontinuierlicher Überwachung.

Welche Strafen drohen Unternehmen bei Nichteinhaltung?

NIS 2 sieht erhebliche Strafen für Unternehmen vor, die ihre Verpflichtungen nicht erfüllen. So können bei Verstößen besonders wichtige Einrichtungen mit  einer Geldstrafen von bis zu 10 Millionen Euro belegt werden. Für wichtige Unternehmen können die Strafen bis zu 7 Millionen Euro betragen.

Daher ist es für Unternehmen von großer Bedeutung, proaktiv Maßnahmen zur Verbesserung ihrer Cybersicherheitsstandards zu ergreifen und sicherzustellen, dass sie die Anforderungen aus NIS 2 vollständig erfüllen, um erhebliche finanzielle und rechtliche Konsequenzen zu vermeiden. Mit einer professionellen Umsetzung der geforderten Maßnahmen kann Strafen erfolgreich vorgebeugt werden.

Unterstützung durch die EDV-Unternehmensberatung

Wir wissen, dass die Einhaltung von NIS 2 komplex und herausfordernd sein kann. Deswegen unterstützen wir Sie umfassend und professionell bei der Umsetzung der Richtlinie:

  • Detaillierte Sicherheitsanalysen: Identifizierung von Schwachstellen und Entwicklung maßgeschneiderter Sicherheitsstrategien.
  • Umsetzung technischer Maßnahmen: Einführung fortschrittlicher Technologien und Sicherheitsprotokolle.
  • Schulungen und Sensibilisierung: Schulungsprogramme zur Verbesserung des Sicherheitsbewusstseins und der Fähigkeiten der Mitarbeiter.
  • Kontinuierliche Überwachung: Regelmäßige Überprüfung und Anpassung der Sicherheitsmaßnahmen an neue Bedrohungen.

Mit unserer Unterstützung können Sie sicherstellen, dass Ihre Organisation den Anforderungen von NIS 2  entspricht und effektiv auf Cyberbedrohungen reagieren kann. Kontaktieren Sie uns noch heute für eine erste Beratung und um mehr über unsere Dienstleistungen zu erfahren.

Copyright 2024. Alle Rechte vorbehalten. By mayfeld.de