Was die neue EU-Richtlinie NIS2 für Ihr Unternehmen bedeutet

Dr. Folkert Wierda

Senior Digitalization Consultant

Die Europäische Union (EU) hat sich zunehmend auf Cybersicherheit konzentriert und erkennt die entscheidende Bedeutung des Schutzes ihrer digitalen Infrastruktur vor böswilligen Bedrohungen an. Die NIS2-Richtlinie, formal bekannt als Richtlinie (EU) 2022/2555, ist ein bedeutender Schritt zur Verbesserung der Cyberresilienz in den Mitgliedstaaten. Diese Richtlinie baut auf ihrer Vorgängerin, der NIS-Richtlinie (Netz- und Informationssicherheit), auf und zielt darauf ab, den sich entwickelnden Bedrohungslandschaften zu begegnen.

Die NIS2-Richtlinie setzt höhere Standards für kritische Einrichtungen und essentielle Dienste, um die Cybersicherheitslage in der EU zu verbessern. Sie fördert die Zusammenarbeit und den Informationsaustausch zwischen Mitgliedstaaten und dem öffentlichen sowie privaten Sektor. Zudem soll sie die Resilienz der digitalen Infrastruktur der EU gegenüber Cyberangriffen erhöhen.

Einer der bedeutenden Änderungen, die durch NIS2 eingeführt wurden, ist der erweiterte Anwendungsbereich der Richtlinie. Während sich die ursprüngliche NIS-Richtlinie auf Betreiber wesentlicher Dienste (OES) und digitale Dienstleister (DSP) konzentrierte, erweitert NIS2 dies auf eine breitere Palette von Einrichtungen.
NIS2 führt zwei neue Kategorien von Einrichtungen ein: essentielle Einrichtungen und wichtige Einrichtungen. Diese Kategorien umfassen verschiedene Sektoren und Dienste, die für das Funktionieren der Gesellschaft und der Wirtschaft von entscheidender Bedeutung sind, darunter:

  • Energie: Strom-, Öl- und Gaslieferanten und -betreiber.
  • Transport: Fluggesellschaften, Eisenbahnen, Schifffahrtsunternehmen und öffentliche Verkehrsbetriebe.
  • Banken und Finanzmarktinfrastrukturen: Banken, Börsen und Zahlungsdienstleister.
  • Gesundheit: Krankenhäuser, Kliniken und andere Gesundheitsdienstleister.
  • Trinkwasserversorgung und -verteilung: Wasserwerke und -lieferanten.
  • Digitale Infrastruktur: Internet-Knotenpunkte, Domain-Name-Systeme und Cloud-Computing-Dienste.

NIS2 legt mehrere wichtige Bestimmungen und Anforderungen fest, um die Sicherheit und Resilienz von Netz- und Informationssystemen zu gewährleisten. Diese umfassen:

1.

Essentielle und wichtige Einrichtungen sind verpflichtet, Risikomanagementmaßnahmen zu ergreifen, um die Auswirkungen von Cybervorfällen zu verhindern und zu minimieren. Diese Maßnahmen müssen die Sicherheit von Netz- und Informationssystemen sowie die physische Umgebung und die personellen Ressourcen abdecken. Einrichtungen sind auch verpflichtet, Vorfälle, die erhebliche Auswirkungen auf ihre Dienste haben, den zuständigen nationalen Behörden zu melden.

NIS2 schreibt vor, dass Einrichtungen eine Reihe von Sicherheitsmaßnahmen umsetzen, darunter:

  • Zugangskontrolle und Identitätsmanagement.
  • Fähigkeiten zur Erkennung und Reaktion auf Vorfälle.
  • Geschäftskontinuitäts- und Notfallwiederherstellungsplanung.
  • Regelmäßige Sicherheitsbewertungen und -audits.
2.

Einrichtungen müssen auch geeignete Governance-Strukturen einrichten, um die Umsetzung dieser Maßnahmen zu überwachen und die Einhaltung der Richtlinie sicherzustellen.

Zur Förderung der Zusammenarbeit und Koordination sieht NIS2 mehrere Mechanismen und Gremien vor, darunter:

  • CSIRTs-Netzwerk: Ein Netzwerk nationaler Computer-Sicherheitsvorfall-Teams (CSIRTs), um den Informationsaustausch und die koordinierte Reaktion auf Vorfälle zu erleichtern.
  • Kooperationsgruppe: Eine Gruppe, die sich aus Vertretern der Mitgliedstaaten, der Europäischen Kommission und ENISA (Europäische Agentur für Cybersicherheit) zusammensetzt, um die strategische Zusammenarbeit und den Informationsaustausch zu unterstützen und zu fördern.
  • ENISA: Die Europäische Agentur für Cybersicherheit, die eine entscheidende Rolle bei der Unterstützung der Umsetzung von NIS2 und der Bereitstellung von Leitlinien und Fachwissen für die Mitgliedstaaten spielt.
3.

Um die Einhaltung der Richtlinie sicherzustellen, enthält NIS2 Bestimmungen zu Strafen und Durchsetzung. Die Mitgliedstaaten sind verpflichtet, wirksame, verhältnismäßige und abschreckende Strafen für die Nichteinhaltung der Anforderungen der Richtlinie festzulegen. Diese Strafen können Geldbußen, Sanktionen und andere Verwaltungsmaßnahmen umfassen. Darüber hinaus sind die nationalen Behörden befugt, Audits und Inspektionen durchzuführen, um die Einhaltung zu überprüfen.

NIS2 verpflichtet die Mitgliedstaaten, die Richtlinie bis zum 18. Oktober 2024 in nationales Recht umzusetzen. Dies umfasst die Aktualisierung bestehender Gesetze oder die Einführung neuer Gesetze, um den Bestimmungen der Richtlinie zu entsprechen. Die Mitgliedstaaten müssen auch zuständige Behörden benennen und CSIRTs einrichten, um die Umsetzung und Durchsetzung der Richtlinie zu überwachen.

Obwohl NIS2 einen bedeutenden Schritt zur Verbesserung der Cybersicherheit in der EU darstellt, bleiben einige Herausforderungen bestehen. Dazu gehören:

  • Harmonisierung: Sicherstellung einer einheitlichen Umsetzung und Durchsetzung in den Mitgliedstaaten, um eine regulatorische Fragmentierung zu vermeiden.
  • Ressourcenzuweisung: Zuweisung ausreichender Ressourcen an nationale Behörden und CSIRTs, damit sie ihre Aufgaben effektiv wahrnehmen können.
  • Einbindung des privaten Sektors: Ermutigung privater Unternehmen, in Cybersicherheitsmaßnahmen zu investieren und diese zu priorisieren.

In Zukunft wird erwartet, dass NIS2 bedeutende Verbesserungen in der Sicherheit und Resilienz der digitalen Infrastruktur der EU vorantreibt. Durch die Festlegung höherer Standards und die Förderung einer besseren Zusammenarbeit und eines besseren Informationsaustauschs zielt die Richtlinie darauf ab, eine sicherere und geschütztere digitale Umgebung für alle EU-Bürger und -Unternehmen zu schaffen.

Abschließend lässt sich sagen, dass die NIS2-Richtlinie ein entscheidendes Gesetzeswerk ist, das den sich wandelnden Bedrohungslandschaften begegnet und das Cybersicherheitsrahmenwerk der EU stärkt. Ihre umfassenden Bestimmungen und Anforderungen werden eine entscheidende Rolle beim Schutz der digitalen Infrastruktur der Union und der Sicherstellung des weiteren Funktionierens essentieller Dienste in den Mitgliedstaaten spielen.

Was bedeutet das für Ihr Unternehmen?

Wenn Ihr Unternehmen als kritische Einrichtung oder als Anbieter essentieller Dienste eingestuft wird, müssen Sie sich auf verschärfte Cybersicherheitsanforderungen einstellen. Dies könnte bedeuten, dass Sie Ihre bestehenden Sicherheitsmaßnahmen überprüfen und möglicherweise verbessern müssen, um den neuen Standards zu entsprechen. Darüber hinaus kann es erforderlich sein, die Zusammenarbeit mit anderen Unternehmen und Behörden zu intensivieren, um einen effektiven Informationsaustausch und eine koordinierte Reaktion auf Cyberbedrohungen zu gewährleisten.

Öffentliche Fördermittel

Cybersicherheit hat ihren Preis, und Unternehmen müssen verstärkt in den Schutz ihrer digitalen Infrastrukturen investieren, um den wachsenden Bedrohungen gerecht zu werden. Glücklicherweise gibt es in Deutschland mehrere öffentliche Fördermittel, die bei der Finanzierung dieser wichtigen Maßnahmen helfen können.

Ein Beispiel hierfür ist die Unterstützung durch die NRW.BANK. Sie bietet für Projekte im Bereich der Cybersicherheit Kredite zu Nullzinsen an, was eine erhebliche finanzielle Entlastung darstellen kann.

Doch die NRW.BANK ist nur ein Beispiel von vielen. Verschiedene Wirtschaftsförderungsgesellschaften in Deutschland stellen ebenfalls Mittel zur Verfügung, um die Informationssicherheit in Unternehmen zu verbessern und die Anforderungen der NIS2-Richtlinie umzusetzen. Diese Fördergesellschaften unterstützen durch Zuschüsse und günstige Kredite Projekte, die darauf abzielen, die Cybersicherheitsmaßnahmen zu verstärken und die digitale Resilienz der Unternehmen zu erhöhen.

Die Inanspruchnahme solcher Fördermittel kann entscheidend dazu beitragen, die Kosten für die Implementierung fortschrittlicher Sicherheitslösungen zu senken und gleichzeitig die Anforderungen der NIS2-Richtlinie zu erfüllen. Es ist daher empfehlenswert, sich über die verschiedenen verfügbaren Förderprogramme zu informieren und diese aktiv zu nutzen, um die Cybersicherheit im eigenen Unternehmen auf ein höheres Niveau zu bringen.

Fachspezifische Unterstützung

Cybersicherheit ist ein Bereich, der sowohl ein hohes Maß an Kompetenz in Bezug auf Standards als auch technisches Fachwissen erfordert. Es ist daher von entscheidender Bedeutung, mit Spezialisten zusammenzuarbeiten, um den aktuellen Sicherheitsstatus Ihrer Organisation zu bewerten, und um die notwendigen Schritte zu bestimmen und zu planen. Durch die Expertise dieser Fachleute können Schwachstellen identifiziert und effektive Maßnahmen ergriffen werden, um die digitale Resilienz Ihres Unternehmens zu erhöhen und den wachsenden Bedrohungen im Cyberraum effektiv zu begegnen.

Die Quintessenz daraus ist: Warten Sie nicht, beginnen Sie jetzt damit, Ihre Cyber-Resilienz zu bewerten und planen Sie die notwendigen Maßnahmen zur Stärkung, um Ihr Unternehmen zu schützen und die neuen Anforderungen der NIS2-Richtlinie zu erfüllen.