fTeilen
Pin It
Richtlinie für Unternehmen Symbolbild von Clint Patterson auf unsplash
Richtlinie für Unternehmen Symbolbild von Clint Patterson auf unsplash

Lange dauert es nicht mehr, bis die NIS2-Richtlinie diesen Oktober in Kraft tritt. Das von der EU beschlossene Gesetzespaket ist eine Erweiterung der seit 2016 gültigen NIS-Richtlinie. Mit der Verschärfung der Richtlinie trägt die EU der gewachsenen Bedrohungslage sowie der steigenden Abhängigkeit vom Internet Rechnung. Der Prozess der Digitalisierung soll nach Einschätzung von Experten schließlich erst abgeschlossen sein, wenn digitale und analoge Welt gänzlich miteinander verschmolzen sind. Betroffene Unternehmer sollten sich bei der Umsetzung beeilen, zumal die Strafen bei Verstößen erhöht wurden.



Gründe für die Einführung der NIS2-Richtlinie 


NIS2 für Unternehmen bedeutet „Netz- und Informationssicherheit“, was einen Hinweis gibt, worum es in der NIS2-Richtlinie geht. Mit der Erweiterung der NIS-Richtlinie verfolgt die EU das Ziel, die Cyberresilienz und Cybersecurity im EU-Raum zu stärken und den Schaden zu minimieren, den staatlich beauftragte wie private Hacker jedes Jahr anrichten. Laut den 2023 vorgenommenen Berechnungen des Branchenverbandes der deutschen Informations- und Telekommunikationsbranche, Bitkom e. V., entsteht der deutschen Wirtschaft ein jährlicher Verlust von 206 Milliarden Euro durch Cyberattacken wie Datenklau, Diebstahl von IT-Ausrüstung, Sabotage und Spionage.

Analog zu den Einschätzungen der EU zur bedrohlicher gewordenen Sicherheitslage konstatiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Lagebericht 2023, dass Cyberangriffe „nicht nur zunehmend professioneller“ werden, sondern auch „immer öfter kleine und mittlere Organisationen, Kommunen und staatliche Institutionen“ von den Angriffen betroffen sind. Weiterhin seien neue Risiken durch die gegenwärtige KI-Revolution hinzugetreten.

Ein weiterer Grund für die Umsetzung besteht darin, dass nach Ansicht der zuständigen Behörden die Mitgliedsländer die Maßnahmen der NIS-Richtlinie nicht einheitlich umgesetzt und sich im Tempo der notwendigen Maßnahmen für mehr Cybersicherheit erheblich voneinander unterschieden haben. In diesem Punkt verfolgt die EU mit der NIS2-Richtlinie das Ziel einer Harmonisierung bei der Umsetzung ihrer digitalen Sicherheitsstandards.



Welche Unternehmen sind betroffen?

Dem NIS2-Maßnahmenpaket unterliegen sämtliche Unternehmen, die von der EU als sicherheitskritisch in Bezug auf die digitale Infrastruktur im EU-Raum angesehen werden. Kriterien sind hierzu die Branche und Größe des Unternehmens. Statt 7 sind es jetzt 18 Branchen, die als sicherheitsrelevant eingestuft sind. Gemeint sind die Branchen Energie, Finanzen, Transport, Bankwesen, Medizin, Trinkwasser, digitale Infrastruktur, Abwässer, IKT-Dienstleistungsmanagement, Weltraum, öffentliche Verwaltung, Post- und Kurierdienste, Abfallwirtschaft, Lebensmittel, Chemie, Industrie/Produktion, digitale Anbieter und Forschung.

 

Hinsichtlich der Unternehmensgröße entscheidet der Gesetzgeber zwischen wichtigen und besonders wichtigen Marktakteuren. Als wichtig werden Betriebe ab einer Größe von 50 Mitarbeitern und einem Jahresumsatz ab 10 Millionen Euro eingeordnet, während Betriebe ab 250 Beschäftigten und einem Jahresumsatz ab 50 Millionen Euro oder einer Jahresbilanzsumme von 43 Millionen Euro als besonders wichtig gelten.

 

Insgesamt sollen es mehr als 30.000 Unternehmen in Deutschland sein, die zur Umsetzung der NIS2-Richtlinie verpflichtet sind. Ausnahmen für kleinere Unternehmen, die trotz ihrer geringen Größe als sicherheitsrelevant eingestuft werden und von der NIS2-Richtlinie betroffen sind, wurden von der EU definiert.

 

 

Welche Maßnahmen werden vorgeschrieben?

 

Die Maßnahmen zur Stärkung der Cybersicherheit von Unternehmen zum Schutz vor Hackern sind im Detail festgelegt. Unternehmen haben die Möglichkeit, für die Umsetzung der NIS2-Richtlinie die Dienste von spezialisierten Dienstleistern zu nutzen. Eine allgemeine Orientierungshilfe bietet die international anerkannte Norm für Informationssicherheitsmanagementsysteme (ISMS) ISO 27001. Im Einzelnen bezieht sich die Einhaltung der Compliance für NIS2 auf die folgenden Aspekte:

 

 

  • Sicherung von Lieferketten
  • Prävention von Hackerangriffen
  • Krisenbewältigung und Kontinuität
  • Meldepflichten bei Vorfällen
  • Durchführung von Penetrationstests
  • Datenverschlüsselung und Authentifizierung
  • Schulung zur Cyberhygiene
  • umfassende Netzwerksicherheit
  • Eliminierung von Schwachpunkten
  • Organisation der Zugriffskontrolle
  • Kryptografie
  • Sichere Kommunikation
  • Verschärfung der Meldepflichten

 

 

Sanktionen bei Nichteinhaltung

 

Mit der NIS2-Richtlinie hat die EU die Strafen verschärft, die Unternehmen bei Nichteinhaltung der einzelnen Maßnahmen drohen. Als Sanktionen sind Geldstrafen bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes möglich. Dabei gilt der höhere Betrag.

Darüber hinaus hat der Staat nun die Befugnis, im Ernstfall ganze Geschäftsführungen temporär von der Leitung ihrer Betriebe auszuschließen. Dies ist ein Hinweis darauf, dass sich die EU angesichts der wachsenden konfliktgeladenen Konkurrenz mit autoritären und totalitären Staaten nicht mehr vollständig auf die Prinzipien des Liberalismus verlassen möchte. In Deutschland ist das BSI die zuständige Aufsichtsbehörde für Unternehmen, die vom Gesetzeswerk betroffen sind.

Mit Klick auf das Bild gelangen Sie auf die Homepage von Sempachsersee Tourismus
Mit Klick auf das Bild gelangen Sie auf die Homepage von Luzern Tourismus
Luzern Tourismus Kapellbrücke
Sörenberg Flueli Tourismusdestination im Sommer
Mit Klick auf das Bild gelangen Sie auf die Homepage von Sempachsersee Tourismus