Management

NIS-2: Alles, was Sie über die EU-Richtlinie wissen müssen

Lesezeit: 4 Minuten
Profilbild: Jannik Todeskino

Autor: Jannik Todeskino

Datum: 11.10.2024

Buntes Vorhängeschloss symbolisiert NIS-2-Richtlinie 2024.

Bis Oktober 2024 müssen alle EU-Staaten die vielbesprochene Richtlinie NIS-2 in ihre Gesetzgebung integrieren. Für Unternehmen und Organisationen in den Bereichen der kritischen Infrastruktur, wie beispielsweise Einrichtungen des Gesundheitswesens, bedeutet das große Veränderungen.

Doch was genau beinhaltet die Richtlinie? Welche Unternehmen sind betroffen und was passiert bei Nichtbeachtung?

In diesem Beitrag liefern wir die Antworten und geben einen Einblick in das Thema.

Inhaltsverzeichnis

    Was ist NIS-2?

    Die NIS-2 ist eine Richtlinie der EU, durch die ein höheres gemeinsames Cybersicherheitsniveau in Europa etabliert werden soll.

    Die Abkürzung NIS steht für Netzwerk- und Informationssystemsicherheit.

    In der Richtlinie wurden verpflichtende Sicherheitsmaßnahmen und Meldepflichten für Unternehmen und Organisationen aus insgesamt 18 Sektoren festgelegt.

    Im Kern geht es darum, die IT-Systeme von Unternehmen zu schützen, die als Betreiber „kritischer Infrastrukturen“ (KRITIS) gelten. Damit sind Organisationen und Einrichtungen gemeint, bei deren Ausfall es zu Versorgungsengpässen oder Störungen der öffentlichen Sicherheit kommen würde. Sehr wichtige KRITIS-Bereiche sind beispielsweise die Energiewirtschaft, das Gesundheitswesen oder auch die öffentliche Verwaltung.

    Was ist der Unterschied zwischen NIS und NIS-2?

    Die angehängte „2“ im Namen verrät bereits, dass es eine Vorgänger-Version gibt: Die sogenannte NIS-Directive aus dem Jahre 2016. Diese wurde aufgrund einer erhöhten Bedrohungslage im Bereich der Cybersecurity von der EU eingeführt.

    Durch die rasant voranschreitende Digitalisierung und eine Häufung von Cyberattacken sind die Anforderungen an die IT-Sicherheit heute nochmal deutlich höher als vor acht Jahren.

    In Deutschland gab es im Jahr 2023 durchschnittlich 1.875 Cyberangriffe pro Monat.

    Die Reaktion auf diese Entwicklung ist die NIS-2, die sich besonders in drei Punkten von der 2016er Version unterscheidet:

    • 01.

      Größerer Kreis an KRITIS-Betreibern

      Der aktualisierten Fassung wurden weitere Sektoren hinzugefügt, sodass bspw. auch Anbieter*innen von digitalen Diensten eingeschlossen sind.

    • 02.

      Meldepflichten

      Unternehmen und Organisationen müssen künftig sicherheitsrelevante Vorfälle melden, die Auswirkungen auf die Verfügbarkeit ihrer Dienste haben.

    • 03.

      Strafen

      Bei Verstößen gegen die Vorschrift werden in Zukunft höhere Geldstrafen verhängt, um Unternehmen weiter für die Wichtigkeit der NIS-2-Richtlinie zu sensibilisieren.

    Welche Unternehmen sind vom NIS-2-Umsetzungsgesetz betroffen?

    Die wahrscheinlich häufigste Frage im Zusammenhang mit der NIS-2 lautet: Wer ist betroffen?

    • In Deutschland sind öffentliche und private Einrichtungen aus 18 Sektoren verpflichtet, die Richtlinie umzusetzen. Darunter fallen z. B. Energieversorger*innen, die öffentliche Verwaltung oder Anbieter*innen der digitalen Infrastruktur. Einen Gesamtüberblick der 18 Sektoren finden Sie hier.
    • Sobald ein Unternehmen in einen der Sektoren fällt und mindestens 50 Beschäftigte hat, ist es betroffen.
    • Dasselbe gilt für Unternehmen mit mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanz.
    • Einige Organisationen sind aufgrund ihrer Relevanz für die Infrastruktur zwangsläufig betroffen, egal wie sie aufgestellt sind. Dabei handelt es sich unter anderem um Behörden oder kleinere Dienstleister*innen, die mit der staatlichen Verwaltung zusammenarbeiten.

    Zudem unterteilt die EU die angesprochenen Sektoren nochmal in zwei Gruppen: Zunächst die „Sektoren mit hoher Kritikalität“, wozu z. B. das Gesundheitswesen oder die digitale Infrastruktur zählt. In der zweiten Gruppe befinden sich „sonstige kritische Sektoren“. Darunter fallen etwa das verarbeitende Gewerbe und die Forschung.

    Auf der Website der BSI haben Sie die Möglichkeit, zu prüfen ob Ihr Unternehmen betroffen ist:

    Betroffenheitsprüfung starten

    Premium Content

    Video kostenlos anschauen
    Premium Content NIS 2 Richtlinie

    Mit meiner Anmeldung für den Premium-Inhalt stimme ich der Werbevereinbarung zu.

    *Pflichtfelder. Eine Abmeldung ist jederzeit möglich.


    NIS-2-Richtlinie: 5 Beispiele für Risikomanagementmaßnahmen

    Welche Anforderungen beachtet werden müssen haben wir für Sie im Folgenden beispielhaft zusammengefasst:

    NIS-2-Anforderungen

    • 01.

      Aufrechterhaltung des Betriebs

      Die Einführung eines Backup-Managements und die Wiederherstellung von verlorenen Daten nach Notfällen muss gewährleistet sein.

    • 02.

      Sicherheit der Lieferkette

      Es müssen sichere Kommunikationswege geschaffen werden. Das gilt für die einzelnen Einrichtungen untereinander sowie für zwischengeschaltete Anbieter*innen und Dienstleister*innen.

    • 03.

      Cyberhygiene

      Unternehmen müssen funktionierende Verfahren für die Cyberhygiene etablieren und Schulungen im Bereich der IT-Sicherheit durchführen.

    • 04.

      Kryptografie

      Um in der Lage zu sein, wichtige Daten zu verschlüsseln, müssen klare Konzepte und Verfahren etabliert werden.

    • 05.

      Authentifizierung

      Organisationen müssen den Zugriff auf ihre Geräte überwachen. Dafür ist eine Multi-Faktor-Authentifizierung oder eine kontinuierliche Authentifizierung einzuführen.

    Was droht bei Nichtbeachtung?

    Sollten Unternehmen gegen die Vorschriften verstoßen, wird eine Geldstrafe verhängt. Die Höhe der Strafe ist abhängig von der Größe des Unternehmens.

    Besonders wichtige Einrichtungen werden bei Verstößen mit einer Strafe von bis zu 10 Mio. € oder 2 % des Vorjahresumsatzes belegt werden. Vorausgesetzt Sie haben mehr als 249 Beschäftigte oder über 50 Mio. € Umsatz gemacht.

    Wichtige Einrichtungen derselben Unternehmensgröße werden ebenso bestraft. Dort liegt der Höchstbetrag aber bei 7 Mio. € bzw. 1,4 % des Vorjahresumsatzes.

    Welche Fristen müssen beachtet werden?

    Stichtag zur Umsetzung der NIS-2-Richtlinie in nationales Recht ist der 17. Oktober 2024. Expert*innen vermuten allerdings, dass das NIS2UmsuCG nicht rechtzeitig in Kraft treten wird. Unternehmen wird dennoch geraten, die Vorgaben schnellstmöglich umzusetzen, um nicht in Verzug zu geraten.

    Fazit

    Die NIS-2 ist eine EU-Richtlinie mit dem Ziel, die Cybersicherheit in den Mitgliedsstaaten auf ein höheres und vor allem gemeinsames Level zu heben.

    Dafür werden Unternehmen und Organisationen aus kritischen Infrastrukturbereichen verpflichtet, IT-Sicherheitsmaßnahmen zu implementieren und erhebliche Sicherheitsvorfälle zu melden. Bei Nichteinhaltung der Vorschriften drohen den Einrichtungen empfindliche Strafen.

    Wir planen Ihre nächste Werbekampagne!

    Wir beraten Sie individuell zu den passenden Werbeformen, damit Sie Ihre Ziele erreichen.

    Jetzt anfragen!

    FAQ – häufige Fragen und Antworten zu NIS-2

    Die NIS-2-zielt darauf ab, ein höheres Maß an Sicherheit für Netzwerk- und Informationssysteme in der Europäische Union zu schaffen. Sie ist eine Verschärfung der 2016er NIS-Richtlinie und soll die IT-Systeme von Unternehmen und Einrichtungen noch besser vor Cyberkriminalität schützen.

    Die NIS-2-Richtlinie betrifft Unternehmen und Organisationen im Bereich der kritischen Infrastruktur. Dazu zählen Sektoren wie die Energiewirtschaft, digitale Dienste oder das Gesundheitswesen. Diese Bereiche müssen besonders geschützt werden, damit die öffentliche Sicherheit nicht gefährdet wird.

    Unternehmen müssen verschärfte Sicherheitsmaßnahmen implementieren, die den Schutz ihrer IT-Systeme vor Cyberangriffen und anderen Störungen gewährleisten. Zusätzlich müssen die zuständigen Behörden informiert werden, falls es zu Sicherheitsvorfällen oder längeren Systemausfällen kommt.

    Die Richtlinie soll bis zum 17. Oktober 2024 in das nationale Recht der jeweiligen EU-Mitgliedsstaaten umgesetzt werden. Auch wenn das deutsche Gesetz nicht fristgerecht in Kraft treten wird, sind Unternehmen dennoch dazu angehalten, die Vorgaben schnellstmöglich umzusetzen.

    Ja, es drohen hohe Bußgelder, wenn die Anforderungen der NIS-2-Richtlinie nicht erfüllt werden. Diese werden anhand der Größe, des Umsatzes und der Einordnung des Unternehmens in „wichtige“ bzw. „sehr wichtige“ Einrichtungen festgelegt.