StartseiteWir lieben Werbung – MagazinManagementNIS-2: Alles, was Sie über die EU-Richtlinie wissen müssen Management NIS-2: Alles, was Sie über die EU-Richtlinie wissen müssen Lesezeit: 4 Minuten Autor: Jannik Todeskino Datum: 11.10.2024 Beitrag teilen Bis Oktober 2024 müssen alle EU-Staaten die vielbesprochene Richtlinie NIS-2 in ihre Gesetzgebung integrieren. Für Unternehmen und Organisationen in den Bereichen der kritischen Infrastruktur, wie beispielsweise Einrichtungen des Gesundheitswesens, bedeutet das große Veränderungen. Doch was genau beinhaltet die Richtlinie? Welche Unternehmen sind betroffen und was passiert bei Nichtbeachtung? In diesem Beitrag liefern wir die Antworten und geben einen Einblick in das Thema. Inhaltsverzeichnis Was ist NIS-2? Die NIS-2 ist eine Richtlinie der EU, durch die ein höheres gemeinsames Cybersicherheitsniveau in Europa etabliert werden soll. Die Abkürzung NIS steht für Netzwerk- und Informationssystemsicherheit. In der Richtlinie wurden verpflichtende Sicherheitsmaßnahmen und Meldepflichten für Unternehmen und Organisationen aus insgesamt 18 Sektoren festgelegt. Im Kern geht es darum, die IT-Systeme von Unternehmen zu schützen, die als Betreiber „kritischer Infrastrukturen“ (KRITIS) gelten. Damit sind Organisationen und Einrichtungen gemeint, bei deren Ausfall es zu Versorgungsengpässen oder Störungen der öffentlichen Sicherheit kommen würde. Sehr wichtige KRITIS-Bereiche sind beispielsweise die Energiewirtschaft, das Gesundheitswesen oder auch die öffentliche Verwaltung. Was ist der Unterschied zwischen NIS und NIS-2? Die angehängte „2“ im Namen verrät bereits, dass es eine Vorgänger-Version gibt: Die sogenannte NIS-Directive aus dem Jahre 2016. Diese wurde aufgrund einer erhöhten Bedrohungslage im Bereich der Cybersecurity von der EU eingeführt. Durch die rasant voranschreitende Digitalisierung und eine Häufung von Cyberattacken sind die Anforderungen an die IT-Sicherheit heute nochmal deutlich höher als vor acht Jahren. In Deutschland gab es im Jahr 2023 durchschnittlich 1.875 Cyberangriffe pro Monat. Die Reaktion auf diese Entwicklung ist die NIS-2, die sich besonders in drei Punkten von der 2016er Version unterscheidet: 01. Größerer Kreis an KRITIS-Betreibern Der aktualisierten Fassung wurden weitere Sektoren hinzugefügt, sodass bspw. auch Anbieter*innen von digitalen Diensten eingeschlossen sind. 02. Meldepflichten Unternehmen und Organisationen müssen künftig sicherheitsrelevante Vorfälle melden, die Auswirkungen auf die Verfügbarkeit ihrer Dienste haben. 03. Strafen Bei Verstößen gegen die Vorschrift werden in Zukunft höhere Geldstrafen verhängt, um Unternehmen weiter für die Wichtigkeit der NIS-2-Richtlinie zu sensibilisieren. Welche Unternehmen sind vom NIS-2-Umsetzungsgesetz betroffen? Die wahrscheinlich häufigste Frage im Zusammenhang mit der NIS-2 lautet: Wer ist betroffen? In Deutschland sind öffentliche und private Einrichtungen aus 18 Sektoren verpflichtet, die Richtlinie umzusetzen. Darunter fallen z. B. Energieversorger*innen, die öffentliche Verwaltung oder Anbieter*innen der digitalen Infrastruktur. Einen Gesamtüberblick der 18 Sektoren finden Sie hier. Sobald ein Unternehmen in einen der Sektoren fällt und mindestens 50 Beschäftigte hat, ist es betroffen. Dasselbe gilt für Unternehmen mit mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanz. Einige Organisationen sind aufgrund ihrer Relevanz für die Infrastruktur zwangsläufig betroffen, egal wie sie aufgestellt sind. Dabei handelt es sich unter anderem um Behörden oder kleinere Dienstleister*innen, die mit der staatlichen Verwaltung zusammenarbeiten. Zudem unterteilt die EU die angesprochenen Sektoren nochmal in zwei Gruppen: Zunächst die „Sektoren mit hoher Kritikalität“, wozu z. B. das Gesundheitswesen oder die digitale Infrastruktur zählt. In der zweiten Gruppe befinden sich „sonstige kritische Sektoren“. Darunter fallen etwa das verarbeitende Gewerbe und die Forschung. Auf der Website der BSI haben Sie die Möglichkeit, zu prüfen ob Ihr Unternehmen betroffen ist: Betroffenheitsprüfung starten Premium Content Video kostenlos anschauen Anrede Frau Herr Vorname Nachname* E-Mail* Mit meiner Anmeldung für den Premium-Inhalt stimme ich der Werbevereinbarung zu. Jetzt anmelden! *Pflichtfelder. Eine Abmeldung ist jederzeit möglich. Kampagne Kontaktkanal Opt-In-Version NIS-2-Richtlinie: 5 Beispiele für Risikomanagementmaßnahmen Welche Anforderungen beachtet werden müssen haben wir für Sie im Folgenden beispielhaft zusammengefasst: NIS-2-Anforderungen 01. Aufrechterhaltung des Betriebs Die Einführung eines Backup-Managements und die Wiederherstellung von verlorenen Daten nach Notfällen muss gewährleistet sein. 02. Sicherheit der Lieferkette Es müssen sichere Kommunikationswege geschaffen werden. Das gilt für die einzelnen Einrichtungen untereinander sowie für zwischengeschaltete Anbieter*innen und Dienstleister*innen. 03. Cyberhygiene Unternehmen müssen funktionierende Verfahren für die Cyberhygiene etablieren und Schulungen im Bereich der IT-Sicherheit durchführen. 04. Kryptografie Um in der Lage zu sein, wichtige Daten zu verschlüsseln, müssen klare Konzepte und Verfahren etabliert werden. 05. Authentifizierung Organisationen müssen den Zugriff auf ihre Geräte überwachen. Dafür ist eine Multi-Faktor-Authentifizierung oder eine kontinuierliche Authentifizierung einzuführen. Was droht bei Nichtbeachtung? Sollten Unternehmen gegen die Vorschriften verstoßen, wird eine Geldstrafe verhängt. Die Höhe der Strafe ist abhängig von der Größe des Unternehmens. Besonders wichtige Einrichtungen werden bei Verstößen mit einer Strafe von bis zu 10 Mio. € oder 2 % des Vorjahresumsatzes belegt werden. Vorausgesetzt Sie haben mehr als 249 Beschäftigte oder über 50 Mio. € Umsatz gemacht. Wichtige Einrichtungen derselben Unternehmensgröße werden ebenso bestraft. Dort liegt der Höchstbetrag aber bei 7 Mio. € bzw. 1,4 % des Vorjahresumsatzes. Welche Fristen müssen beachtet werden? Stichtag zur Umsetzung der NIS-2-Richtlinie in nationales Recht ist der 17. Oktober 2024. Expert*innen vermuten allerdings, dass das NIS2UmsuCG nicht rechtzeitig in Kraft treten wird. Unternehmen wird dennoch geraten, die Vorgaben schnellstmöglich umzusetzen, um nicht in Verzug zu geraten. Fazit Die NIS-2 ist eine EU-Richtlinie mit dem Ziel, die Cybersicherheit in den Mitgliedsstaaten auf ein höheres und vor allem gemeinsames Level zu heben. Dafür werden Unternehmen und Organisationen aus kritischen Infrastrukturbereichen verpflichtet, IT-Sicherheitsmaßnahmen zu implementieren und erhebliche Sicherheitsvorfälle zu melden. Bei Nichteinhaltung der Vorschriften drohen den Einrichtungen empfindliche Strafen. Wir planen Ihre nächste Werbekampagne! Wir beraten Sie individuell zu den passenden Werbeformen, damit Sie Ihre Ziele erreichen. Jetzt anfragen! FAQ – häufige Fragen und Antworten zu NIS-2 Was ist die NIS-2-Richtlinie? Die NIS-2-zielt darauf ab, ein höheres Maß an Sicherheit für Netzwerk- und Informationssysteme in der Europäische Union zu schaffen. Sie ist eine Verschärfung der 2016er NIS-Richtlinie und soll die IT-Systeme von Unternehmen und Einrichtungen noch besser vor Cyberkriminalität schützen. Welche Einrichtungen sind betroffen? Die NIS-2-Richtlinie betrifft Unternehmen und Organisationen im Bereich der kritischen Infrastruktur. Dazu zählen Sektoren wie die Energiewirtschaft, digitale Dienste oder das Gesundheitswesen. Diese Bereiche müssen besonders geschützt werden, damit die öffentliche Sicherheit nicht gefährdet wird. Welche Verpflichtungen entstehen durch die NIS-2? Unternehmen müssen verschärfte Sicherheitsmaßnahmen implementieren, die den Schutz ihrer IT-Systeme vor Cyberangriffen und anderen Störungen gewährleisten. Zusätzlich müssen die zuständigen Behörden informiert werden, falls es zu Sicherheitsvorfällen oder längeren Systemausfällen kommt. Bis wann muss die NIS-2-Richtlinie umgesetzt werden? Die Richtlinie soll bis zum 17. Oktober 2024 in das nationale Recht der jeweiligen EU-Mitgliedsstaaten umgesetzt werden. Auch wenn das deutsche Gesetz nicht fristgerecht in Kraft treten wird, sind Unternehmen dennoch dazu angehalten, die Vorgaben schnellstmöglich umzusetzen. Werden Verstöße gegen die NIS-2-Richtlinie bestraft? Ja, es drohen hohe Bußgelder, wenn die Anforderungen der NIS-2-Richtlinie nicht erfüllt werden. Diese werden anhand der Größe, des Umsatzes und der Einordnung des Unternehmens in „wichtige“ bzw. „sehr wichtige“ Einrichtungen festgelegt. Zum Autor Jannik Todeskino Angehender Medienkaufmann Digital & Print der FUNKE Mediengruppe Jannik Todeskino ist angehender Medienkaufmann für Digital & Print der FUNKE Mediengruppe. Seine Interessen liegen in den Bereichen Online-Marketing und Sportjournalismus. Am meisten Spaß bereitet ihm die redaktionelle Aufarbeitung von Texten und die Zusammenarbeit mit Kolleg*innen in Projekten.
Management Krisenkommunikation in Unternehmen: Tipps zur Kundenpflege Krisenkommunikation in Unternehmen: Tipps zur Kundenpflege Nicht nur für Großkonzerne, sondern auch für kleine Betriebe kann die Qualität der Krisenkommunikation entscheidend dafür sein, ob Sie Kund*innen… Magazinbeitrag lesen
Management KI im Marketing: Wie Sie künstliche Intelligenz im Unternehmen richtig einsetzen! KI im Marketing: Wie Sie künstliche Intelligenz im Unternehmen richtig einsetzen! Welche Vorteile die Nutzung von KI im Marketing bereithält, haben wir für Sie in diesem Beitrag zusammengefasst. Magazinbeitrag lesen