Fachartikel

NIS-2: für ein höheres Cyber-Sicherheitsniveau


LMIS Logo

Von LMIS


Ihr Unternehmen hat mindestens 50 Beschäftigte oder einen Mindestjahresumsatz von zehn Millionen Euro? Dann könnten Sie von der neuen NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) betroffen sein.

NIS-2 gibt den neuen Mindeststandard auf dem Gebiet der Cyber-Sicherheit vor. Sie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Seit 2023 ist die NIS-2 auf EU-Ebene in Kraft. Bis Oktober 2024 müssen die Mitgliedsstaaten der EU die Richtlinie in nationales Recht überführen. Und dann wird es ernst: Betreffende Unternehmen haben bei Missachtung mit hohen Geldstrafen zu rechnen.

In unserem Cyber Security Managementforum am 07. März war die neue NIS-2-Richtlinie Fokusthema. Unsere Speaker aus unterschiedlichen Bereichen gaben Entscheidern Tipps zum Umgang mit der Richtlinie und wiesen auf die Notwendigkeit einer guten Cyber Security hin.

Wir erklären, wer betroffen ist, was NIS-2 vorsieht und welche Strafen im Fall der Fälle auf Unternehmen zukommen.

Welche Unternehmen sind von der NIS-2-Richtlinie betroffen?

Generell betroffen sind öffentliche und private Einrichtungen in insgesamt 18 Sektoren. Die NIS-2-Richtlinie unterscheidet zwischen "Wesentliche Einrichtungen" und "Wichtige Einrichtungen".

  • Wesentliche Einrichtungen sind zum Beispiel Einrichtungen des Gesundheitswesens, der Finanzmarktinfrastrukturen oder der Energieversorgung.
  • Wichtige Einrichtungen sind beispielsweise Post- und Kurierdienste, Anbieter digitaler Dienste oder Suchmaschinen.

Welche Maßnahmen sieht NIS-2 vor?

Gemäß den Bestimmungen von NIS-2 sind Unternehmen verpflichtet, die Cyber Security-Maßnahmen zu implementieren. So sollen sie die Risiken für die Sicherheit ihrer Netz- und Informationssysteme kontrollieren und die Auswirkungen von Sicherheitsvorfällen verhindern oder minimieren. Sie müssen einen ganzheitlichen Ansatz verfolgen, der sowohl die IT-Systeme als auch ihre physische Umgebung schützt („All-Gefahren-Ansatz“). Die angemessene Umsetzung dieser Maßnahmen sollte auf einem risikobasierten Ansatz aufbauen.

Weitere Vorschriften

Unternehmen sind neben der Implementierung dieser Maßnahmen durch NIS-2 dazu verpflichtet, erhebliche Sicherheitsvorfälle der nationalen Behörde zu melden und gegebenenfalls die Empfänger der eigenen Dienste zu informieren. Dabei gibt es verschiedene Fristen, die Unternehmen einzuhalten haben.

  • Frühwarnung: Innerhalb von 24 Stunden, nachdem ein Unternehmen einen Vorfall zur Kenntnis genommen hat, muss eine Frühwarnung ausgegeben werden.
  • Ausführlicher Bericht: Innerhalb von 72 Stunden nach dem Erkennen eines Vorfalls müssen Unternehmen einen ausführlichen Bericht mit eigener Bewertung einreichen.
  • Fortschritts- bzw. Abschlussbericht: Spätestens einen Monat nach der Meldung ist nach NIS-2 ein Fortschritts- bzw. Abschlussbericht fällig.

Sollte ein Unternehmen zukünftig von der NIS-2-Richtlinie betroffen sein, muss es sich außerdem bei der nationalen Behörde registrieren.

Was passiert, wenn die Vorschriften von NIS-2 nicht eingehalten werden?

Verstoßen Unternehmen gegen die Maßnahmen oder die Meldepflicht von Sicherheitsvorfällen, drohen ihnen nach NIS-2 hohe Geldstrafen.

  • Wesentliche Einrichtungen: Bis zu 2 % des weltweiten Jahresumsatzes oder 10 Mio. Euro (je nachdem, welcher Betrag höher ist).
  • Wichtige Einrichtungen: Bis zu 0,5 % des weltweiten Jahresumsatzes oder 5 Mio. Euro (je nachdem, welcher Betrag höher ist).

Welche Verantwortung trägt die Geschäftsführung?

Die Geschäftsführung hat die Umsetzung der Maßnahmen zu überwachen – und das aus eigenem Interesse. Verletzt sie die Überwachungspflichten, haftet ein Geschäftsführer nach NIS-2 für die entstandenen Schäden. Um als gutes Vorbild voranzugehen, muss die Geschäftsführung ab Oktober an entsprechenden Schulungen teilnehmen und diese auch ihren Mitarbeitenden zugänglich machen.

NIS-2 – Jetzt handeln

Unternehmen sollten sich frühzeitig um eine umfassende Infrastruktur ihrer Cyber-Sicherheit kümmern. Ab Oktober wird es mit NIS-2 ernst und Unternehmen müssen im schlimmsten Fall mit schweren Strafen rechnen.

Wir helfen Ihnen bei der Umsetzung! Mit Darktrace haben Sie eine umfassende Cyber-Defense-Lösung, die Unternehmen und Geschäftsführern im Kontext der NIS-2-Richtlinie einen wirksamen Schutz bieten kann. Sprechen Sie uns an und lassen Sie sich (gut) beraten von unseren Experten für KI-basierte Cyber Defence.