ByteLaw
NIS-2-Richtlinie der Europäischen Union Bytelaw

NIS-2-Richtlinie der Europäischen Union

von | 10.06.2023

Das müssen Unternehmen beachten, um Cybersicherheit zu gewährleisten

In der heutigen digitalen Ära sind Unternehmen mehr denn je von den Vorteilen moderner Technologien abhängig. Doch mit dieser fortschreitenden Digitalisierung gehen auch erhöhte Risiken einher, insbesondere im Hinblick auf Cyberangriffe und Datenschutzverletzungen. Um die Sicherheit von Informationssystemen zu gewährleisten und den Schutz von Daten zu stärken, wurde die neue NIS-2-Richtlinie eingeführt.

Was bedeutet das für Unternehmen?

Als Unternehmen sollten Sie die NIS-2-Richtlinie nicht unterschätzen, denn sie legt umfangreiche Pflichten fest, die Sie einhalten müssen, um den Schutz Ihrer IT-Infrastruktur und die Cybersicherheit zu gewährleisten. Damit Sie den Anforderungen dieser neuen Gesetzgebung gerecht werden, haben wir Ihnen im Folgenden die wichtigsten Punkte zusammengefasst.

Ausweitung des Anwendungsbereichs

Die NIS-2-Richtlinie gilt nun auch für kleinere Unternehmen als zuvor. Unternehmen mit mindestens 50 Mitarbeitern, einem Jahresumsatz von 10 Millionen Euro oder einer Jahresbilanzsumme von 10 Millionen Euro fallen unter diese Richtlinie. Bei Verstößen drohen – ähnlich wie bei der DSGVO – empfindliche Sanktionen.

Die Mitgliedstaaten der EU haben die Verpflichtung, die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Auch wenn das nationale Umsetzungsgesetz noch nicht vorliegt, sollten Unternehmen sich bereits jetzt vorbereiten.

Welche Unternehmen sind von der NIS-2 Richtlinie betroffen?

Die Richtlinie gilt für Unternehmen in „Sektoren mit hoher Kritikalität“ wie Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum.

Zu den „sonstigen kritischen Sektoren“ gehören unter anderem Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Lebensmittelproduktion, verarbeitendes Gewerbe (z. B. Maschinenbau, Fahrzeugbau), Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) und Forschung.

Weitreichende Anforderungen an das Risikomanagement

Die NIS-2-Richtlinie legt großen Wert auf eine effektive Risikomanagementkultur. Wesentliche und wichtige Einrichtungen müssen angemessene technische, operative und organisatorische Maßnahmen ergreifen – darunter Risikoanalysen, Sicherheitskonzepte, Backup- und Krisenmanagement, Zugriffskontrollen und Verschlüsselungskonzepte. Diese Maßnahmen sollen dem Stand der Technik entsprechen und auf die individuellen Risiken zugeschnitten sein.

Verfolgung eines ganzheitlichen Sicherheitsansatzes als Ziel

Cyberbedrohungen können unterschiedliche Ursachen haben. Daher sollten Risikomanagementmaßnahmen nicht nur auf Cyberangriffe, sondern auch auf physische Gefahren wie Diebstahl, Brand oder unbefugten Zugang abzielen. Welche Maßnahmen sinnvoll sind, hängt von der Risikoexposition Ihres Unternehmens ab und sollte im Verhältnis zu den möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen eines Vorfalls stehen.

Unternehmen müssen Sicherheitsvorfälle melden

Unternehmen müssen erhebliche Sicherheitsvorfälle unverzüglich melden. Dies erfolgt in einem mehrstufigen Verfahren: Frühwarnung, Meldung des Vorfalls selbst und Abschlussbericht. Zusätzlich können Unternehmen verpflichtet sein, betroffene Kunden und Nutzer zu informieren, wenn ihre Dienste beeinträchtigt werden.

Unternehmensleitung trägt die Verantwortung

Die Leitungsorgane müssen sicherstellen, dass ausreichende Ressourcen für die Cybersicherheit bereitgestellt werden. Außerdem braucht es eine klare Aufteilung der Verantwortlichkeiten im Unternehmen. Regelmäßige Bewertungen und Anpassungen der Sicherheitsmaßnahmen sind notwendig, um mit den Bedrohungen Schritt zu halten.

Weitreichende Sanktionen vorgesehen

Die Aufsichtsbehörden erhalten weitreichende Befugnisse, darunter Vor-Ort-Kontrollen, die Anforderung von Informationen oder unabhängige Audits.

Bei Verstößen drohen hohe Geldbußen:

  • Für wesentliche Einrichtungen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.
  • Für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes.

In besonders schweren Fällen kann die Behörde sogar Leitungspersonen vorübergehend abberufen.

Verbindung zur DSGVO

Bei erheblichen Sicherheitsvorfällen können auch personenbezogene Daten betroffen sein. Dann muss der Vorfall zusätzlich zur NIS-2-Meldung nach Artikel 33 DSGVO an die Datenschutzbehörde gemeldet werden. Eine doppelte Geldbuße für denselben Verstoß ist ausgeschlossen – andere Maßnahmen bleiben aber möglich.

Fazit

Unternehmen, die der NIS-2-Richtlinie unterliegen, müssen ihre Sicherheitsmaßnahmen frühzeitig anpassen. Wer vorbereitet ist, reduziert Risiken, vermeidet Sanktionen und stärkt seine Cybersicherheit nachhaltig.

Nehmen Sie noch heute Kontakt zu uns auf und lassen Sie uns gemeinsam Ihre Cybersicherheit stärken!

Über die Autorin:

Olga Stepanova

Olga Stepanova