Was ist die NIS2-Richtlinie und wann tritt sie in Kraft?

3 Minuten Lesezeit
  • Informationssicherheit

Die Bedrohung durch Cyberangriffe nimmt stetig zu und Unternehmen stehen vor der Herausforderung, ihre Netz- und Informationssysteme gegen immer raffiniertere Angriffe zu schützen. Die NIS2-Richtlinie (Network and Information Security Directive 2), die im Jahr 2022 von der Europäischen Union verabschiedet wurde, soll die Cyberresilienz in Europa stärken.

Doch was bedeutet das konkret für Unternehmen in Deutschland? In diesem Artikel erklären wir, welche Neuerungen die NIS2-Richtlinie mit sich bringt, welche Unternehmen betroffen sind, und welche Maßnahmen ergriffen werden müssen, um den Anforderungen gerecht zu werden.

Was ist die NIS2-Richtlinie und wann tritt sie in Kraft?

Die NIS2-Richtlinie stellt eine erweiterte Version der ursprünglichen NIS-Richtlinie aus dem Jahr 2016 dar. Mit dieser zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit verschärft die Europäische Union die Anforderungen an Unternehmen, um die digitale Sicherheit erheblich zu verbessern. Sie zielt darauf ab, den Schutz kritischer Infrastrukturen wie Energie, Transport, Gesundheit und digitale Dienste vor Cyberangriffen zu verstärken. Die zweite Richtlinie erweitert den Geltungsbereich auf noch mehr Sektoren und Unternehmen, verschärft die Anforderungen und führt striktere Strafen bei Nichteinhaltung ein. In Deutschland soll die NIS2-Richtlinie 2024 in Kraft treten.

Die wichtigsten Neuerungen auf einen Blick

  • Erweiterter Anwendungsbereich: Während die ursprüngliche NIS-Richtlinie nur für wesentliche Dienste galt, erweitert die NIS2-Richtlinine die betroffenen Sektoren deutlich. Auch die Schwellenwerte für die Verpflichtung zur Umsetzung der Richtlinie wurden gesenkt. Dadurch werden mehr Unternehmen, darunter auch mittelgroße und kleinere Organisationen verpflichtet, die neuen Cybersicherheitsvorgaben zu erfüllen.
  • Höhere Sicherheitsanforderungen: Unternehmen müssen strengere Maßnahmen zum Schutz ihrer Netzwerke und Systeme einführen. Dazu gehört die Implementierung eines umfassenden Cybersicherheitsrisikomanagements, das technische und organisatorische Maßnahmen wie Zugangskontrollen, Verschlüsselung, Incident Management und regelmäßige Sicherheitsupdates umfasst. Um die Reaktionsfähigkeit zu verbessern, wurden auch die Berichtspflichten verschärft. Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständigen Behörden gemeldet werden. Innerhalb eines Monats muss ein detaillierter Bericht vorliegen.  
  • Schärfere Sanktionen: Bei Verstößen drohen den Unternehmen erhebliche Geldstrafen. Je nach Unternehmensgröße und Schwere des Verstoßes können diese in Deutschland bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes des Unternehmens betragen.
  • Strenge Aufsicht: Nationale Aufsichtsbehörden, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), erhalten erweiterte Befugnisse zur Kontrolle und Durchsetzung der Richtlinie.
  • Verantwortung des Managements: Die Geschäftsleitung von Unternehmen wird stärker in die Verantwortung genommen, Cybersicherheitsstrategien zu implementieren und deren Einhaltung sicherzustellen. Auch die Führungskräfte müssen aktiv in die Sicherheitsstrategie eingebunden sein und tragen bei Sicherheitslücken eine Mitverantwortung.

Wer ist von der NIS2-Richtlinie betroffen?

Im Gegensatz zur ursprünglichen NIS-Richtlinie, die sich nur auf wesentliche Dienste konzentrierte, erweitert die NIS2 den Kreis der betroffenen Unternehmen erheblich. Jetzt fallen auch viele mittelgroße und große Unternehmen in den Bereichen IT, Telekommunikation, Lebensmittelversorgung, Trinkwasser und Forschung unter die Richtlinie. Zudem betrifft sie Betreiber digitaler Dienste wie Cloud-Anbieter, Online-Marktplätze und Suchmaschinen. Selbst kleinere Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro können betroffen sein, wenn sie wesentliche Dienstleistungen erbringen, die für die Aufrechterhaltung der wirtschaftlichen und gesellschaftlichen Aktivitäten von Bedeutung sind.

Warum sollten Unternehmen jetzt handeln?

Unternehmen, die unter die NIS2-Richtlinie fallen, müssen jetzt handeln, einerseits um gesetzeskonform zu sein, insbesondere aber auch, um ihre Infrastruktur gegen zunehmende Cyberbedrohungen zu schützen. Ein proaktiver Ansatz in der Cybersicherheit minimiert nicht nur das Risiko von Angriffen, sondern bewahrt auch den Ruf und das Vertrauen der Kunden und Partner.

    Wir empfehlen:

    • Überdenken Sie jetzt Ihre Sicherheitsstrategie
    • Machen Sie eine Bestandsaufnahme Ihrer IT-Infrastrukturen 
    • Führen Sie eine Schwachstellenanalyse durch und bewerten Sie Ihre Risiken
    • Definieren Sie geeignete technische und organisatorische Schutzmaßnahmen
    • Strukturieren Sie Ihren Incident Management Prozess
    • Integrieren Sie ein geeignetes Awareness-Programm

    Beitrag teilen

    Sicher sicher? Das Sicherheitskonzept

    3 Minuten Lesezeit
    Zur Übersicht