Fit für die NIS2-Richtlinie: So stellen Sie Ihr Unternehmen zukunftssicher auf

Niklas König lacht
Niklas Koenig
08. April 2024
15 Min.

Die EU wird mit Ihrer europäischen Richtlinie zur Cybersicherheit, auch bekannt als "NIS2", die Anforderungen an die IT-Sicherheit nun deutlich anheben. Sie wird eingeführt, um ein hohes Cybersicherheitsniveau in der Europäischen Union zu schaffen. Hintergrund sind die zunehmende Digitalisierung, die wachsende Bedrohung durch Cyberangriffe auf Unternehmen sowie Organisationen und die bisher fehlende Verpflichtungen für Unternehmen sich an die schnell zunehmenden Herausforderungen anzupassen.

Die NIS2-Richtlinie muss bis zum 17. Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Somit bleibt nur noch etwas Zeit für die Vorbereitung. Unternehmen, die in den Anwendungsbereich fallen, sollten sich dennoch bereits mit den Anforderungen auseinandersetzen. Denn die Umsetzung erfordert oft weitreichende Anpassungen bei technischen und organisatorischen Sicherheitsmaßnahmen.

Unser Beitrag behandelt, welche Unternehmen konkret von der NIS2-Richtlinie betroffen sind, was die wichtigsten Neuerungen sind, welche Haftungen und Herausforderungen für Unternehmen bestehen und welche Schritte diese jetzt einleiten sollten. Wir haben die Schlüsselaspekte der Richtlinie analysiert und geben Ihnen kompakte Handlungsempfehlungen an die Hand. So sind Sie bestens vorbereitet, wenn die neuen Regeln in Kraft treten.

Die Umsetzung der NIS2-Vorgaben ist nicht nur eine gesetzliche Pflicht, sondern auch eine Chance, die Cybersicherheit Ihres Unternehmens ganzheitlich auf den Prüfstand zu stellen und zukunftssicher aufzustellen.

Welche Unternehmen sind von der NIS2-Richtlinie betroffen?

Die NIS2-Richtlinie unterscheidet zwischen "wesentlichen Einrichtungen" (Essential Entities) und "wichtigen Einrichtungen" (Important Entities). Die Einstufung hängt von der Branche und der Unternehmensgröße ab. Folgende Sektoren fallen in den Anwendungsbereich.

EU NIS2 – Annex I „Essential Entities”

NIS 2 Annex I Subsektor Essential Entities
Energie Elektrizität • Elektrizitätsunternehmen (Art. 2 Nr. 57 EU 2019/944)
• Verteilernetzbetreiber (Art. 2 Nr. 29 EU 2019/944)
• Übertragungsnetzbetreiber (Art. 2 Nr. 35 EU 2019/944)
• Erzeuger (Art. 2 Nr. 38 EU 2019/944)
• Strommarktbetreiber (Art. 2 Nr. 8 EU 2019/943)
• Aggregierung/Laststeuerung (Art. 2 Nr. 25 EU 2019/943)
• Energiespeicherung (Art. 2 Nr. 18, 20, 59 EU 2019/944)
• Ladepunkte
Fernwärme • Fernwärme und -kälte (Art. 2 Nr. 19 EG 2009/119)
Erdöl • Fernleitungen
• Produktion, Raffination und Aufbereitung
• Erdöllager
• Zentrale Bevorratungsstellen (Art. 2 lit. f EU 2019/944)
Erdgas • Versorgungsunternehmen (Art. 2 Nr. 8 EG 2009/73)
• Verteilernetzbetreiber (Art. 2 Nr. 6 EG 2009/73)
• Fernleitungsnetzbetreiber (Art. 2 Nr. 4 EG 2009/73)
• Speicheranlage (Art. 2 Nr. 10 EG 2009/73)
• LNG-Anlage (Art. 2 Nr. 12 EG 2009/73)
• Erdgasunternehmen (Art. 2 Nr. 1 EG 2009/73)
• Raffination und Aufbereitung
Wasserstoff • Erzeugung, Speicherung und Fernleitung
Transport Luftverkehr • Luftfahrtunternehmen (Art. 3 Nr. 4 EG 300/2008)
• Flughafenleitungsorgane (Art. 2 Nr. 2 EG 2009/12)
• Flughäfen (Anh. II Ab. 2 EU 1315/2013)
• Flugverkehrskontrolldienste (Art. 2 Nr. 1 EG 549/2004)
Schienenverkehr • Infrastrukturbetreiber (Art. 3 Nr. 2 EU 2012/34)
• Eisenbahnunternehmen (Art. 3 Nr. 1 EU 2012/34)
• Serviceeinrichtung (Art. 3 Nr. 12 EU 2012/34)
Schifffahrt • Passagier- und Frachtbeförderung (Anhang I EG 725/2004)
• Leitungsorgane von Häfen (Art. 3 Nr. 1 EG 2005/65)
• Hafenanlagen (Art. 2 Nr. 11 EG 725/2004)
• Schiffsverkehrsdienste (Art. 3 lit. o EG 2002/59)
Straßenverkehr • Straßenverkehrsbehörden (Art. 2 Nr. 12 EU 2015/962)
• Intelligente Verkehrssysteme (Art. 4 Nr. 1 EU 2010/40)
Bankwesen • Kreditinstitute (Art. 4 Nr. 1 EU 575/2013)
Finanzmärkte • Handelsplätze (Art. 4 Nr. 24 EU 2014/65)
• Zentrale Gegenparteien (Art. 2 Nr. 1 EU 648/2012)
Gesundheit • Gesundheitsdienstleister (Art. 3 lit. g EU 2011/24)
• EU Labore (Art. 15 EU 2022/2371)
• Medizinforschung (Art. 1 Nr. 2 EG 2001/83)
• Pharmazeutik (Abschnitt C Abt. 21 NACE)
• Medizinprodukte (Art. 22 EU 2022/123)
Trinkwasser • Lieferanten und Versorger (Art. 2 Nr. 1 lit. a EU 2020/2184)
Abwasser • Abwasserentsorgung (Art. 2 Nr. 1-3 EWG 91/271)
Digitale Infrastruktur • Internet-Knoten (IXPs mit mehr als 2 ASn)
• DNS-Diensteanbieter (ohne Root)*
• TLD Registries*
• Cloud Provider
• Rechenzentren
• Content Delivery Networks
• Vertrauensdienste* (TSP, Art. 3 Nr. 19 EU 910/2014)
• Kommunikationsnetze*
• Kommunikationsdienste* (Art. 2 Nr. 4 EU 2018/1972)
ICT Service Management (sofern B2B) • Managed Services (IT, Netze/Infrastruktur, Anwendungen)
• Managed Security Services (Risiko und Cyber Security)
Öffentliche Verwaltung • Einrichtungen von Zentralregierungen*
• Einrichtungen auf regionaler Ebene*
Weltraum • Bodeninfrastrukturen von weltraumgestützten Diensten (Art. 2 Nr. 8 EU 2018/1972)

EU NIS2 – Annex II „Important Entities“

NIS 2 Annex II Subsektor Important Entities
Post und Kurier • Post- und Kurierdienste (Art. 2 Nr. 1a EG 97/67)
Abfall • Abfallbewirtschaftung (Art. 3 Nr. 9 EG 2008/98)
Chemikalien • Produktion, Herstellung, Handel (Art. 3 Nr. 9 und 14 EG 1907/2006) und Erzeugnisse (Art. 3 Nr. 3 1907/2006)
Lebensmittel • Produktion, Herstellung, Handel (Art. 3 Nr. 9 und 14 EG 1907/2006) und Erzeugnisse (Art. 3 Nr. 3 EU 1907/2006)
Herstellung Medizinprodukte • Unternehmen aus Abschnitt C Abt. 26 NACE
DV (Computer), Elektronik, Optik • Luftfahrtunternehmen (Art. 3 Nr. 4 EG 300/2008)
• Flughafenleitungsorgane (Art. 2 Nr. 2 EG 2009/12)
• Flughäfen (Anh. II Ab. 2 EU 1315/2013)
• Flugverkehrskontrolldienste (Art. 2 Nr. 1 EG 549/2004)
Elektrische Ausrüstung • Unternehmen aus Abschnitt C Abt. 27 NACE
Maschinenbau • Unternehmen aus Abschnitt C Abt. 28 NACE
Kraftwagen und Teile • Unternehmen aus Abschnitt C Abt. 29 NACE
Fahrzeugbau • Kreditinstitute (Art. 4 Nr. 1 EU 575/2013)
Finanzmärkte • Unternehmen aus Abschnitt C Abt. 30 NACE
Digitale Dienste • Marktplätze
• Suchmaschinen (Art. 2 Nr. 5 EU 2019/1150)
• Soziale Netzwerke
Forschung • Forschungsinstitute (ohne Bildungseinrichtungen)

Quelle: OpenKRITIS

 

Unternehmen gelten als "Essential Entities", wenn sie in einem Sektor mit hoher Kritikalität tätig sind und in der Regel mehr als 250 Mitarbeiter oder 50 Mio. €Jahresumsatz haben. "Important Entities" sind Unternehmen in weniger kritischen Sektoren ab 50 Mitarbeitern oder 10 Mio. € Umsatz.

Es gibt aber auch Sonderfälle wie Vertrauensdiensteanbieter, DNS-Anbieter oder Telekommunikationsnetzbetreiber, die unabhängig von ihrer Größe als essential oder important eingestuft werden können.

Schätzungen gehen davon aus, dass in Deutschland etwa 30.000 bis 40.000 Unternehmen von der NIS2-Richtlinie erfasst werden. EU-weit könnten es bis zu 160.000 Unternehmen sein.

Die wichtigsten Schlüsselpunkte der NIS2-Richtlinie

Die NIS2-Richtlinie bringt umfassende Neuerungen und Verschärfungen im Bereich der Cybersicherheit. Hier sind die wichtigsten Eckpunkte zusammengefasst:

Erweiterter Geltungsbereich

Die NIS2 erweitert den Kreis der betroffenen Unternehmen erheblich. Statt bisher zwei werden jetzt insgesamt 18Sektoren erfasst, die in "Essential Entities" und "ImportantEntities" unterteilt werden. Dazu gehören u.a. Energie, Transport, Banken, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Weltraum, Abfallwirtschaft, Lebensmittelproduktion und digitale Dienste. Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz können betroffen sein.

Verschärfte Sicherheitsanforderungen

Die NIS2 führt verpflichtende Mindestsicherheitsmaßnahmen für das Risikomanagement ein. Dazu zählen Incident Response, Business Continuity und Crisis Management, Sicherheit der Lieferkette und Abhängigkeiten von Dritten, Verschlüsselung und Mehrfaktor-Authentifizierung, Sicherheitstests und Audits, sowie die Nutzung sicherer Systeme und Infrastrukturen. Auch präventive Maßnahmen wie Mitarbeiterschulungen werden gefordert.

Strengere Meldepflichten

Meldepflichtige Sicherheitsvorfälle müssen künftig innerhalb von 24 Stunden an die zuständigen nationalen Behörden gemeldet werden. Dabei sind auch Informationen zu möglichen grenzüberschreitenden Auswirkungen, zur Schwere des Vorfalls und zu getroffenen Abhilfemaßnahmen mitzuteilen. Die Behörden können zusätzliche Informationen anfordern.

Neue Aufsichts- und Sanktionsbefugnisse

Die NIS2 stärkt die Befugnisse der nationalen Aufsichtsbehörden. Diese können künftig Nachweise über Sicherheitsmaßnahmen einfordern, Vor-Ort-Inspektionen und Sicherheitsaudits durchführen, Anweisungen erteilen und als Ultima Ratio sogar Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes verhängen. Auch Führungskräfte können persönlich zur Verantwortung gezogen werden.

Europäische Harmonisierung und Zusammenarbeit

Ein Ziel der NIS2 ist es, die Cybersicherheit EU-weit auf ein einheitlich hohes Niveau zu bringen. Dazu werden u.a. europäische Zertifizierungssysteme für IT-Produkte geschaffen. Außerdem wird die Zusammenarbeit zwischen den EU-Staaten intensiviert, z.B. durch einen verpflichtenden Informationsaustausch und gegenseitige Unterstützung. Die EU-Agentur für Cybersicherheit ENISA nimmt eine koordinierende Rolle ein.

Die NIS2-Richtlinie stellt somit einen Meilenstein für die Cybersicherheit in Europa dar. Sie schafft einen umfassenden und harmonisierten Rechtsrahmen mit klaren Vorgaben für Unternehmen und mehr Kompetenzen für Behörden. Ziel ist es, die Widerstandsfähigkeit gegen IT-Bedrohungen in den Mitgliedsstaaten deutlich zu erhöhen.

Mögliche Folgen für Unternehmen und Unternehmerhaftung

Die NIS2-Richtlinie bringt weitreichende Konsequenzen für betroffene Unternehmen mit sich. Sie müssen die verschärften Sicherheitsanforderungen wie verpflichtende Maßnahmen zum Risikomanagement, Incident Response und Supply Chain Security umsetzen sowie der Meldepflicht für schwerwiegende Cybervorfälle innerhalb von 24 Stundennachkommen. Bei Verstößen drohen empfindliche Sanktionen - Bußgelder können bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes betragen. Eine Besonderheit ist die Verschärfung der Haftung auf Leitungsebene. So können Mitgliedstaaten angemessene Sanktionen gegen verantwortliche Führungskräfteverhängen, wenn diese gegen die Bestimmungen der Richtlinie verstoßen. Geschäftsführer können somit für Verletzungen beim Risikomanagement persönlich zur Rechenschaft gezogen werden. Neben den rechtlichen und finanziellen Folgen birgt eine unzureichende Umsetzung der NIS2-Vorgaben auch das Risiko, schlechter gegen Cyberangriffe geschützt zu sein, was zu Betriebsunterbrechungen, Datenpannen und Vertrauensverlust führen kann. Unternehmen sollten daher frühzeitig Maßnahmen ergreifen, um Compliance sicherzustellen und Haftungsrisiken zu minimieren.

Handlungsempfehlungen zur Umsetzung der NIS2-Anforderungen

Unternehmen, die unter den Anwendungsbereich der NIS2-Richtlinie fallen, sollten jetzt aktiv werden und sich gründlich auf die neuen Anforderungen vorbereiten. Eine frühzeitige Auseinandersetzung mit der Thematik ist ratsam, denn die Umsetzung der NIS2-Vorgaben kann schnell 12 Monate oder länger dauern. Folgende konkrete Schritte werden empfohlen:

1. Prüfen, ob Ihr Unternehmen betroffen ist: Analysieren Sie anhand der Kriterien wie Branche, Unternehmensgröße und Kritikalität der erbrachten Dienstleistungen, ob Ihr Unternehmen in den Anwendungsbereich fällt. Nutzen Sie dafür auch Online-Tools wie den kostenlosen NIS2-Betroffenheits-Check.

2. Risikoanalyse durchführen: Identifizieren und bewerten Sie die cyber-spezifischen Risiken für Ihre kritischen Dienste und Anlagen. Betrachten Sie dabei auch Risiken, die von Lieferanten und Dienstleistern ausgehen können.

3. Sicherheitskonzept erstellen bzw. anpassen: Leiten Sie aus der Risikoanalyse notwendige Schutzmaßnahmen ab und dokumentieren Sie diese in einem ganzheitlichen Sicherheitskonzept. Orientieren Sie sich dabei an branchenspezifischen Standards und Best Practices.

4. Einführung eines ISMS prüfen: Der Aufbau eines Informationssicherheits-Managementsystems nach international anerkannten Standards wie ISO 27001 ist ein effektiver Weg, die NIS2-Anforderungen strukturiert und nachhaltig umzusetzen. Erwägen Sie eine Zertifizierung, um die Konformität gegenüber Behörden und Kunden nachzuweisen.

5. Technische Schutzmaßnahmen implementieren: Setzen Sie wirksame technische Sicherheitsmaßnahmen wie Systeme zur Angriffserkennung, sichere Authentifizierungsverfahren, Verschlüsselung, Sicherheits-Monitoring, Patch Management und Backups um. Nutzen Sie dafür möglichst automatisierte Lösungen.

6. Notfallpläne und Krisenteams aufstellen: Bereiten Sie sich auf mögliche Sicherheitsvorfälle vor, indem Sie Notfallpläne erstellen, Krisenteams benennen und regelmäßige Übungen durchführen. Stellen Sie insbesondere die Fähigkeit zur fristgerechten Meldung von Vorfällen an die Behörden sicher.

7. Mitarbeiter schulen und sensibilisieren: Sorgen Sie durch regelmäßige Schulungen und Awareness-Maßnahmen dafür, dass Ihre Mitarbeiter für Cyber-Risiken sensibilisiert sind und wissen, wie sie sich sicherheitskonform verhalten müssen. Die Unternehmensleitung sollte mit gutem Beispiel vorangehen.

8. Lieferanten und Dienstleister einbinden: Geben Sie relevante Sicherheitsanforderungen vertraglich an Ihre Lieferanten und Dienstleister weiter. Führen Sie regelmäßige Risikobeurteilungen und Audits durch, um die Einhaltung der Vorgaben zu überprüfen. Ein professionelles Lieferantenmanagement ist essenziell für die Cybersicherheit.

Die Umsetzung der NIS2-Richtlinie mag auf den ersten Blick komplex und aufwändig erscheinen. Doch mit einer strukturierten Herangehensweise, der Einbindung aller Unternehmensbereiche und der Unterstützung durch externe Experten lässt sich die Herausforderung meistern. Letztlich zahlt sich die Investition in mehr Cybersicherheit für die Zukunftsfähigkeit jedes Unternehmens aus.

Mögliche Folgen für Unternehmen und Unternehmerhaftung

Die NIS2-Richtlinie bringt umfassende Konsequenzen für betroffene Unternehmen mit sich. Sie müssen die verschärften Sicherheitsanforderungen wie verpflichtende Maßnahmen zum Risikomanagement, Incident Response und Supply Chain Security umsetzen sowie der Meldepflicht für schwerwiegende Cybervorfälle innerhalb von 24 Stunden nachkommen. Bei Verstößen drohen empfindliche Sanktionen - Bußgelder können bis zu 10 Mio. €oder 2 % des weltweiten Jahresumsatzes betragen. Eine Besonderheit ist die Verschärfung der Haftung auf Leitungsebene. So können Mitgliedstaaten angemessene Sanktionen gegen verantwortliche Führungskräfte verhängen, wenn diese gegen die Bestimmungen der Richtlinie verstoßen. Geschäftsführer können somit für Verletzungen beim Risikomanagement persönlich zur Rechenschaft gezogen werden. Neben den rechtlichen und finanziellen Folgen birgt eine unzureichende Umsetzung der NIS2-Vorgaben auch das Risiko, schlechter gegen Cyberangriffe geschützt zu sein, was zu Betriebsunterbrechungen, Datenpannen und Vertrauensverlust führen kann. Unternehmen sollten daher frühzeitig Maßnahmen ergreifen, um Compliance sicherzustellen und Haftungsrisiken zu minimieren.

Fazit

Die neue NIS2-Richtlinie wird die Cybersicherheit in Europa stärken. Sie erweitert den Kreis der betroffenen Unternehmen erheblich, definiert verpflichtende Sicherheitsmaßnahmen, verschärft die Meldepflichten und stattet die Aufsichtsbehörden mit weitreichenden Befugnissen aus. Für Unternehmen bedeutet dies einerseits deutlich mehr Aufwand und Kosten, andererseits aber auch mehr Rechtssicherheit und einen Schutzschirm gegen IT-Bedrohungen.

Betroffene Unternehmen sollten jetzt tätig werden und sich gründlich auf die neuen Anforderungen vorbereiten. Eine frühzeitige Auseinandersetzung mit der Thematik ist ratsam, denn die Umsetzungder NIS2-Vorgaben kann unter Umständen 6 bis 12 Monate oder noch länger dauern. Gefragt sind eine Bestandsaufnahme der eigenen IT-Sicherheit, die Einführung eines Informationssicherheits-Managementsystems (ISMS) sowie technische und organisatorische Schutzmaßnahmen.

Die Umsetzung der NIS2 ist nicht nur eine lästige Pflicht, sondern auch eine große Chance. Denn Investitionen in die Cybersicherheit zahlen sich langfristig aus - durch weniger Ausfälle, geringere Haftungsrisiken, mehr Vertrauen bei Kunden und Partnern sowie Wettbewerbsvorteile im digitalen Markt. In Zeiten von Remote Work, Cloud Computing und Industrie 4.0 wird eine resiliente IT-Infrastruktur immer mehr zum entscheidenden Erfolgsfaktor.

Es bleibt zu hoffen, dass möglichst viele Unternehmen die Zeichen der Zeit erkennen und die NIS2-Richtlinie als Impulsgeber für eine bessere Cybersicherheit nutzen. Denn im Kampf gegen Cyberkriminelle sind nicht nur der Staat und die Behörden gefordert, sondern auch die Wirtschaft als Ganzes. Nur wenn alle an einem Strang ziehen und gemeinsam ihre Hausaufgaben machen, kann das ehrgeizige Ziel eines hohen Schutzniveaus in ganz Europa Wirklichkeit werden.

Bildnachweis

seventyfourimages

Zwei Geschäftsmänner Icon
Close Icon

Jetzt Angebot anfordern

Informationen zur Verarbeitung Ihrer personenbezogenen Daten und zum Widerspruch finden Sie in unseren Datenschutzhinweisen.

Close Icon

Jetzt Termin buchen