Die digitale Landschaft ist ständigen Veränderungen und Herausforderungen ausgesetzt. Die zunehmende Vernetzung von Systemen und die steigende Bedrohung durch Cyberangriffe haben die Europäische Union veranlasst, strengere Maßnahmen zur Gewährleistung der Cybersicherheit zu ergreifen. Eine dieser Maßnahmen ist die NIS-2-Richtlinie, die bis zum 17. Oktober 2024 in nationales Recht umgewandelt sein muss.

Mit der Umsetzung müssen mehr Unternehmen als bisher – insbesondere auch im Bereich der Cloud-Dienste und sonstigen digitalen Dienstleistungen - Maßnahmen zum Schutz vor Cyberattacken ergreifen. Verstoßen Unternehmen gegen diese Pflicht, haften unter der neuen Richtlinie auch Geschäftsführer und sonstige Leitungsorgane persönlich für die Auswirkungen eines Angriffs.

Was sind die wichtigsten Punkte der NIS-2-Richtlinie?

• Meldepflicht für Sicherheitsvorfälle: Schwerwiegende Sicherheitsvorfälle müssen den nationalen Behörden gemeldet werden.
• Mindestsicherheitsanforderungen: Angemessene technische und organisatorische Maßnahmen müssen ergriffen werden, um Sicherheitsrisiken zu minimieren.
• Risikomanagement und Compliance: Risikomanagementprozesse müssen implementiert und die Compliance-Anforderungen eingehalten werden, z.B.:
  • Durchführung einer Risikoanalyse
  • Einsatz gesicherter Notfall-Kommunikations-Systeme
  • Sicherstellung der Geschäftskontinuität
  • Mitarbeiterschulungen

Welche Unternehmen sind betroffen?

Die NIS-2-Richtlinie unterscheidet zwischen wesentlichen (besonders wichtigen) und wichtigen Unternehmen.
Zu den wesentlichen Einrichtungen gehören Unternehmen und Betreiber aus den folgenden Bereichen:

• Energie
• Öffentliche Verwaltung
• Transport und Verkehr
• Abwasserwirtschaft
• Digitale Infrastruktur
• Gesundheitswesen
• Trinkwasserversorgung
• Bankensektor
• Finanzmarkt
• Informations- und Kommunikationstechnik
• Raumfahrt

Zu den wichtigen Einrichtungen gehören Unternehmen und Betreiber, die in einem der folgenden Bereiche tätig sind:

• Forschung
• Abfallwirtschaft
• Herstellung, Produktion und Vertrieb von chemischen Stoffen
• Herstellung, Produktion und Vertrieb von Lebensmitteln
• Verarbeitendes Gewerbe (inkl. Medizinprodukte)
• Digitale Dienstleistungen
• Post- und Kurierdienste

Ob ein Unternehmen aus einer der o.a. Branchen von der NIS-2-Richtlinie betroffen ist, richtet sich in erster Linie nach ihrer Mitarbeiterzahl und / oder ihrem Jahresumsatz. In den Anwendungsbereich der Richtlinie fällt i.d.R. ein Unternehmen mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz. Unabhängig davon kann es im Einzelfall aber Organisationen geben, die stets unter den Anwendungsbereich der Richtlinie fallen, weil ein Cyberangriff in ihrem Sektor mit einem erhöhten Risiko für die Bereiche Sicherheit und Gesundheit einhergeht und katastrophalen Schaden anrichten kann.

Was ist zu tun?
Die NIS-2-Richtlinie erfordert eine proaktive Sicherheitsstrategie von Unternehmen. Wir empfehlen, unabhängig von der Unternehmensgröße, die Richtlinie als Anlass zu nehmen, ihre digitale Resilienz zu stärken und sich effektiv gegen Cyberbedrohungen zu schützen.

Gerne stehen wir Ihnen dabei beratend zur Seite!