Sind Sie bereit für NIS2? In diesem Artikel erfahren Sie, was die NIS2 Richtlinie ist, warum sie wichtig ist und was Sie unternehmen müssen, wenn Sie betroffen sind. Sie erhalten außerdem nützliche Informationen, wie Sie Ihre NIS2 Umsetzungsstrategie entwickeln können. Die neue EU Richtlinie bietet Ihnen die Gelegenheit, die Informationssicherheit in Ihrem Unternehmen zu stärken und sich auf die digitalen Herausforderungen der Zukunft vorzubereiten.
Lernen Sie in meinem Crashkurs alles Wichtige über die NIS2 Richtlinie.
Unverbindlich, kostenlos und unkompliziert! Und als Bonbon gibt es meinen NIS2 Fahrplan zur Umsetzung kostenfrei dazu.
Was ist die NIS2 Richtlinie?
Die NIS2 Richtlinie (RICHTLINIE (EU) 2022/2555) ist eine europäische Gesetzgebung, die dazu dient, die Cybersicherheit innerhalb der EU zu erhöhen. Sie ist eine Weiterentwicklung der NIS1-Richtlinie und sieht strengere Anforderungen an die Sicherheit von IT-Systemen und Netzwerken vor.
Sie wurde entwickelt, um sicherzustellen, dass kritische Infrastrukturen und wesentliche Dienstleistungen vor Cyberangriffen geschützt sind und im Falle eines Angriffs schnell wiederhergestellt werden können.
In dieser Richtlinie werden Maßnahmen festgelegt, mit denen in der gesamten Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll, um so das Funktionieren des Binnenmarkts sicherzustellen.
Art. 1 Abs. 1 RL EU 2022/2555
Die NIS2 Richtlinie legt fest, welche Sektoren von dieser Regelung erfasst werden und welche Maßnahmen notwendig sind, um ein angemessenes Schutzniveau zu erreichen.
Die konkrete Ausgestaltung für Deutschland und damit auch deutsche Unternehmen hängt von den Bestimmungen des deutschen Umsetzungsgesetzes ab. Im Juli veröffentlichte das Bundesministeriums des Innern und für Heimat hierzu einen Entwurf zur Umsetzung der NIS-2-Richtlinie als „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG).
Warum die NIS2 Richtlinie?
Es gibt viele Gründe dafür, warum die NIS2-Richtlinie notwendig ist. Der Wichtigste ist die steigende Bedrohung durch Cyberangriffe. In einer modernen Gesellschaft sind IT-Systeme nicht mehr wegzudenken.
In der Wirtschaft existiert kaum ein Prozess, der ohne digitale Unterstützung auskommt. Unternehmen müssen sich darauf vorbereiten und ihre Sicherheitsvorkehrungen entsprechend anpassen.
Aber auch öffentliche Einrichtungen können Opfer von Cyberangriffen sein, wie der Hack der Landkreisverwaltung von Anhalt-Bitterfeld sehr deutlich gezeigt hat.
Insbesondere Betreiber kritischer Infrastruktur und Anbieter wesentlicher Dienstleistungen müssen in ihre Informationssicherheit investieren, um das Vertrauen in digitale Dienste aufrechtzuerhalten und somit wirtschaftliche Stabilität sowie sozialpolitischen Frieden in Europa sicherzustellen.
Längst werden Kriege auch auf dem digitalen Schlachtfeld ausgetragen, dem sogenannten Cyberraum.
Die NIS2 Richtlinie schafft einen gemeinsamen Mindeststandard für Cybersicherheitsmaßnahmen in der gesamten EU.
Was reguliert NIS2?
Die NIS2 Richtlinie regelt in 46 Artikeln eine ganze Reihe an Themen zur Verbesserung der Cybersicherheit in der EU. Nicht alle NIS2 Anforderungen sind auf Unternehmen bezogen.
Da wären beispielsweise die Verpflichtung zur Einführung einer „nationalen Cybersicherheitsstrategie“ (Artikel 7), die Einrichtung von nationalen „Computer-Notfallteams (CSIRTs)“ (Artikel 10) und Anforderungen an diese (Artikel 11), aber auch die „Aufsicht und Durchsetzung“ (Kapitel VII) inklusive Geldbußen und Sanktionen.
Für Unternehmen ist eine der wichtigsten Vorgaben der NIS2 Richtlinie die Verpflichtung zur Einführung von „Risikomanagementmaßnahmen im Bereich der Cybersicherheit“ (Artikel 21).
Zusätzlich werden diverse Pflichten geregelt, wie beispielsweise die Registrierungspflicht oder die Meldepflicht bei Sicherheitsvorfällen.
NIS2 Richtlinie wer ist betroffen?
Welche Unternehmen die Anforderungen der NIS2 Richtlinie erfüllen müssen, regelt Artikel 3 „Wesentliche und wichtige Einrichtungen“. Dabei werden Unternehmen nach Art der Tätigkeit (z.B. Sektor oder öffentliche Verwaltung) und Größe (Umsatz und Mitarbeiterzahl) klassifiziert.
Unternehmensklasse
Die Klassifizierung eines Unternehmens stammt aus einem weiteren Amtsblatt der Europäischen Union. In 2003/361/EG, Artikel 2, Absatz 1-3 werden kleine und mittelständische Unternehmen (KMU) in 3 Klassen unterteilt.
Die vierte Unternehmensklasse „Großunternehmen“ ergibt sich als logische Schlussfolgerung, da sie nicht mehr zu den KMU zählt und somit größer sein muss.
| Unternehmensklasse | Eckdaten | Zitat aus 2003/361/EG |
| Großunternehmen | >250 Mitarbeiter und Jahresumsatz >50 Mio. € oder Jahresbilanzsumme >43 Mio. € | n/a |
| mittleres Unternehmen | <250 Mitarbeiter und Jahresumsatz <50 Mio. € oder Jahresbilanzsumme <43 Mio. € | Die Größenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) setzt sich aus Unternehmen zusammen, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft. |
| kleines Unternehmen | <50 Mitarbeiter und Jahresumsatz oder Jahresbilanzsumme <10 Mio. € | Innerhalb der Kategorie der KMU wird ein kleines Unternehmen als ein Unternehmen definiert, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR nicht übersteigt. |
| Kleinstunternehmen | <10 Mitarbeiter und Jahresumsatz oder Jahresbilanzsumme <2 Mio. € | Innerhalb der Kategorie der KMU wird ein Kleinstunternehmen als ein Unternehmen definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet. |
NIS2 Kategorie
Haben Sie die Größenklasse Ihres Unternehmens ermittelt, erfolgt die Bestimmung der Tätigkeitsart. Anschließend kann die Einordnung in eine der zwei Kategorien erfolgen:
- wesentliche Einrichtung oder
- wichtige Einrichtung
Welche Anforderungen Ihr Unternehmen zu erfüllen hat, hängt von dieser Kategorie ab. Mithilfe der nachfolgenden Tabelle wird es Ihnen möglich sein, Ihr Unternehmen in die korrekte NIS2 Kategorie einzuordnen.
Anders als in der NIS2 Richtlinie bezeichnet der deutsche Gesetzesentwurf „NIS2UmsuCG“ die „wesentlichen und wichtigen Einrichtungen“ als „besonders wichtige und wichtige Einrichtungen“. Für deutsche Unternehmen wird diese Umsetzung relevant sein, weshalb ich nachfolgend diese Bezeichnungen verwenden werde.
| Kategorie | Unternehmensklasse | Tätigkeitssektor |
| Besonders wichtige Einrichtung (§ 28 Absatz 6 NIS2UmsuCG) | Großunternehmen | Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten (Business-to-Business) oder Weltraum |
| Großunternehmen und mittlere Unternehmen | Anbieter von Telekommunikationsdiensten oder öffentlich zugänglichen Telekommunikationsnetzen | |
| unabhängig | qualifizierter Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter | |
| unabhängig | Betreiber kritischer Anlagen | |
| unabhängig | Einrichtungen der öffentlichen Verwaltung | |
| Wichtige Einrichtung (§ 28 Absatz 7 NIS2UmsuCG) | Mittlere Unternehmen | Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten (Business-to-Business) oder Weltraum |
| Großunternehmen und mittlere Unternehmen | Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, Anbieter digitaler Dienste oder Forschung | |
| unabhängig | Vertrauensdiensteanbieter | |
| unabhängig | wer Güter im Sinne des Teils B der Kriegswaffenliste herstellt oder entwickelt oder vom Bundesamt zugelassene Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentliche Komponenten solcher Produkte herstellt | |
| unabhängig | Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung |
Wann kommt NIS2?
Die Richtlinie (EU) 2022/2555 über “Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“, besser bekannt als NIS2 Richtlinie, wurde im November 2022 vom Rat der EU und dem Europäischen Parlament angenommen. Sie gilt seit Anfang 2023 und ist bis Oktober 2024 von den Mitgliedsstaaten umzusetzen.
Bis zum 17. Oktober 2024 erlassen und veröffentlichen die Mitgliedstaaten die erforderlichen Vorschriften, um dieser Richtlinie nachzukommen. Sie setzen die Kommission unverzüglich davon in Kenntnis.
Art. 41 Abs. 1 RL EU 2022/2555
Sie wenden diese Vorschriften ab dem 18. Oktober 2024 an.
Ja, richtig gelesen: Die NIS2 Richtlinie gilt bereits und muss von den EU Staaten bis Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland existiert ein Gesetzesentwurf: Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).
Es ist unklar, ob es Übergangsfristen für die Umsetzung des NIS2UmsuCG in Unternehmen geben wird. Sie sind also gut beraten, wenn Sie die NIS2 Anforderungen schon jetzt in Angriff nehmen!
NIS2 und NIS2UmsuCG Anforderungen
Als Unternehmer sollten Sie sich bereits mit den Anforderungen des NIS2UmsuCG auseinandersetzen, auch wenn das deutsche Umsetzungsgesetz bisher nicht fertig ist.
Hier eine Zuordnung der Anforderungen zu den Kategorien der Einrichtungen als Übersicht. Für Betreiber kritischer Anlagen gelten in NIS2UmsuCG teilweise erhöhte Anforderungen, weshalb sie in der Übersicht gesondert aufgeführt werden.
| Betreiber kritischer Anlagen (§ 28 Absatz 2 & 3 NIS2UmsuCG) | Besonders wichtige Einrichtung (§ 28 Absatz 6 NIS2UmsuCG) | Wichtige Einrichtung (§ 28 Absatz 7 NIS2UmsuCG) | |
| Risikomanagementmaßnahmen (§ 30 NIS2UmsuCG) | X | X | X |
| erhöhte Anforderungen an Risikomanagementmaßnahmen (§ 30 Absatz 3 NIS2UmsuCG) | X | ||
| Meldepflichten (§ 31 NIS2UmsuCG) | X | X | X |
| zusätzliche Meldepflicht (§ 31 Absatz 4 NIS2UmsuCG) | X | ||
| Registrierungspflicht (§ 32 NIS2UmsuCG) | X | X | X |
| zusätzliche Registrierungspflicht (§ 32 Absatz 3 & 4 NIS2UmsuCG) | X | ||
| Nachweispflicht (§ 34 NIS2UmsuCG) | X | X | |
| Unterrichtungspflicht (§ 35 NIS2UmsuCG) | X | X | X |
| Pflichten der Einrichtungsleitung (§ 38 NIS2UmsuCG) | X | X | X |
| Einsatz von geeigneten Systemen zur Angriffserkennung (§ 39 NIS2UmsuCG) | X | ||
| Untersagung des Einsatzes kritischer Komponenten (§ 41 NIS2UmsuCG) | X |
Die Anforderungen in der NIS2 Richtlinie beziehungsweise NIS2UmsuCG sind als einzelne Artikel verfasst und beschrieben. Die rechtliche Schreibweise dieser Artikel ist nicht für jeden leicht verständlich, also habe ich die für Unternehmen relevanten Informationen und deren Anforderungen leicht verständlich in meinem NIS2 Crashkurs zusammengefasst.
NIS2UmsuCG Sanktionen
Unter NIS2UmsuCG werden drastische Sanktionen für Nachlässigkeiten in der Cybersicherheit eingeführt (NIS2UmsuCG § 60).
Wichtige Einrichtungen riskieren nun Geldstrafen von 7 Millionen Euro oder einen Höchstbetrag von mindestens 1,4 Prozent des Jahresumsatzes.
Für besonders wichtige Einrichtungen und Betreiber kritischer Anlagen können die Strafen sogar 10 Millionen Euro oder einen Höchstbetrag von mindestens 2 Prozent des Jahresumsatzes erreichen.
Die Unternehmensführung wird für Verstöße haftbar gemacht und die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden erweitert. Es kann direkt Einfluss auf Ihr Unternehmen nehmen und Maßnahmen ergreifen, unter anderem Inspektionen vor Ort und verbindliche Anweisungen zur Umsetzung von Anforderungen aus NIS2UmsuCG.
Die NIS2 Richtlinie umsetzen
Wenn Ihr Unternehmen von der NIS2 Richtlinie betroffen ist, rate ich umgehend mit der Erstellung einer Umsetzungsstrategie zu beginnen.
Das Thema mag wie ein unüberwindbares Hindernis wirken, aber mit einem durchdachten Plan, lässt sich die Herausforderung sehr gut bewältigen. Trotzdem drängt die Zeit und eine Umsetzung sollten Sie umgehend in Angriff nehmen.
Hier noch mal ein Überblick, über die für Unternehmen relevanten Anforderungen aus NIS2UmsuCG:
- Risikomanagementmaßnahmen
- Meldepflichten
- Registrierungspflicht
- Nachweispflicht
- Unterrichtungspflicht
- Pflichten der Einrichtungsleitung
Der umfangreichste Punkt ist dabei der Erste. Das zeigt auch schon die detailliertere Auflistung der geforderten Risikomanagementmaßnahmen in § 30 Absatz 4 NIS2UmsuCG:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Sie sollten alle relevanten Abteilungen Ihres Unternehmens involvieren und gemeinsam ein Konzept zur Umsetzung erarbeiten. Welche Abteilungen sind relevant? Informationssicherheit, IT, Datenschutz, Legal, Office Management und die Personalabteilung. Also eigentlich alle.
Erstellen Sie eine Übersicht mit den für Ihr Unternehmen relevanten Anforderungen, um die Umsetzung nachzuverfolgen. Legen Sie dabei auch Verantwortlichkeiten und Verbindlichkeiten fest. So weiß jeder, was von wem und bis wann erwartet wird.
Organisieren Sie regelmäßige Termine, um den Fortschritt zu besprechen und zu überprüfen. Achten Sie darauf, die Aufgaben nicht nur gleichmäßig auf die Verantwortlichen zu verteilen, sondern auch über die Zeit. Informationssicherheit ist ein Marathon, kein Sprint!
Sollten Sie selbst keine Zeit haben, sich um die Umsetzungsplanung zu kümmern, empfehle ich einen verfügbaren Mitarbeiter dafür zu benennnen, um eine eindeutige Verantwortlichkeit und Verbindlichkeit für die Thematik herzustellen.
Sollte sich in Ihrem Unternehmen kein verfügbarer Mitarbeiter finden, empfehle ich die Beauftragung einer externen Unterstützung. Hierfür dürfen Sie mich gerne kontaktieren.
Sowieso empfehle ich Ihnen eine enge Zusammenarbeit mit Experten auf dem Gebiet der Informationssicherheit. Diese können Ihnen bei der Umsetzung helfen und gegebenenfalls weitere Verbesserungsvorschläge geben.
Während es einige Ressourcen erfordern kann, um Ihre NIS2 Umsetzungsstrategie zu entwickeln und umzusetzen, wird dies langfristig dazu beitragen, Ihr Unternehmen zu stärken und zu schützen.
Brauchen Sie Unterstützung?
Buchen Sie gerne einen kostenlosen und unverbindlichen Beratungstermin!
Fazit: NIS2 Richtlinie und NIS2UmsuCG
Zusammenfassend ist die NIS2 Richtlinie eine bedeutende EU-Initiative, die darauf abzielt, die Cybersicherheit zu verbessern und Unternehmen dabei zu unterstützen, sich wirksam vor Cyberangriffen zu schützen. Angesichts der zunehmenden Bedrohung durch Cyberkriminalität ist diese Richtlinie unerlässlich.
Die umfassenden Regelungen der NIS2 Richtlinie decken verschiedene Aspekte zur Stärkung der Cybersicherheit in der EU ab. Unternehmen werden anhand ihrer Tätigkeitsart und Größe klassifiziert, um festzulegen, welche Anforderungen sie erfüllen müssen.
Das NIS2UmsuCG, das im Oktober 2024 in Kraft treten soll, setzt die NIS2 Richtlinie in nationales Recht um, bisher ohne Übergangsfristen vorzusehen. Unternehmen sollten ihre Vorbereitungen also rechtzeitig beginnen, obwohl sich bis Oktober noch Änderungen ergeben können.
In Anbetracht der umfangreichen Anforderungen aus dem NIS2UmsuCG, wie Risikomanagement, Melde- und Registrierungspflichten, Nachweis- und Unterrichtungspflichten sowie die Pflichten der Einrichtungsleitung, ist es ratsam, sofort mit der Erstellung einer Umsetzungsstrategie zu beginnen.
Unternehmen sollten alle relevanten Abteilungen einbinden und gemeinsam ein Konzept zur Umsetzung erarbeiten. Die Erstellung einer klaren Übersicht mit relevanten Anforderungen, Verantwortlichkeiten und Terminen ist entscheidend, um den Fortschritt zu überwachen.
Sollte die Unternehmensleitung selbst keine Zeit haben, sich um die Umsetzungsplanung zu kümmern, empfiehlt es sich hierfür einen verfügbaren Mitarbeiter zu benennen oder externe Unterstützung zu beauftragen.
Obwohl die Umsetzung der NIS2 Richtlinie und des NIS2UmsuCG eine Herausforderung darstellen kann, ist es von großer Bedeutung, diese Anforderungen ernst zu nehmen und in die Unternehmensstrategien zu integrieren.
Die erfolgreiche Umsetzung wird nicht nur Ihre Informationssicherheit erhöhen, sondern auch das Vertrauen der Kunden stärken und das Image als verantwortungsvolle Organisation festigen. Investitionen in die Umsetzung der Anforderungen werden sich langfristig als lohnenswert erweisen.
- Familienvater & Ehemann
- Experte für Informationssicherheit
- Kaffeejunkie
- Technerd
- Fitness Enthusiast
