14.12.2023
Cybersicherheit unter EU-Richtlinie NIS2
In genau dieser Sekunde finden 19 Cyberangriffe statt.
Jetzt wieder. Jetzt wieder. Nun reicht es der EU.
Zunächst möchten wir Sie ganz trocken darüber aufklären, um was es der Europäischen Union im Bezug zu Cybersicherheit überhaupt geht. Dazu lesen Sie hier den ersten Artikel der vorherigen Fassung von 2016:
„Diese Richtlinie legt Maßnahmen fest, die von den Mitgliedstaaten zu ergreifen sind, um ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der Union sicherzustellen und die Sicherheit des Binnenmarkts zu gewährleisten. Diese Maßnahmen müssen die Fähigkeit zur Reaktion auf Cyberattacken auf diese Systeme verbessern.“
Um die Erweiterung der ursprünglichen NIS-Richtlinie (NIS= Network and Information Systems) aus 2016 auf eine deutlich verschärfte Fassung von 2023 zu verstehen hier einige Zahlen zum Thema Cybersicherheit:
- Pro Sekunde finden 19 Ransomware-Angriffe statt
- Die Anzahl der Schadprogramme hat 2016 um 116 Millionen zugenommen
- 53% der Unternehmen melden, schon einmal Opfer eines Cyberangriffs gewesen zu sein
- Bis zu 470.000 unterschiedliche Schadsoftware Varianten sind täglich im Umlauf
Mit der EU-Richtlinie NIS2 reagiert die EU somit auf eine immense Sicherheitsbedrohung, die stetig wächst. Die wichtigste Botschaft lautet: Die Umsetzung dieser Richtlinie ist eine rechtlich verbindliche Pflichtaufgabe für nun wesentlich mehr Unternehmen. Wahrscheinlich auch für Ihres.
Da eine EU-Richtlinie aber immer ein sperriges Werk ist, haben wir für Sie die wichtigsten Informationen aufgeschlüsselt. Und hier kommen sie…
NIS2: Worum geht es im Detail?
Die NIS2-Richtlinie, auch als „NIS 2.0“ oder „Richtlinie über Netz- und Informationssicherheit 2“ bekannt, hat das Ziel, die Cybersicherheit in der Europäischen Union zu stärken und auf die veränderte Bedrohungslandschaft im Bereich der Informationstechnologie zu reagieren. Sie baut auf der vorherigen NIS-Richtlinie (2016/1148) auf und führt strengere Anforderungen und Maßnahmen ein, um die Widerstandsfähigkeit gegenüber Cyberangriffen in der EU zu erhöhen.
Die Hauptziele der NIS2-Richtlinie, wie bereits angedeutet, sind:
Stärkung der Widerstandsfähigkeit: Die Richtlinie zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyberangriffen in einer breiten Palette von EU-Unternehmen und Branchen zu erhöhen, darunter kritische Infrastrukturen, Anbieter digitaler Dienste und andere Organisationen.
Einheitliches hohes Sicherheitsniveau:
Sie strebt danach, ein hohes, einheitliches Sicherheitsniveau für Netzwerk- und Informationssysteme in der gesamten EU zu etablieren.
Sicherheit der Lieferketten:
Ein besonderes Augenmerk liegt auf der Sicherheit der Lieferketten, um Schwachstellen in diesen Ketten zu minimieren.
Verschärfte Meldepflichten:
Die Richtlinie führt strengere Vorschriften für die Meldung von Sicherheitsvorfällen ein, um sicherzustellen, dass diese Vorfälle angemessen dokumentiert und gemeldet werden.
Verbesserte Überwachungsmechanismen:
Es erfolgt eine verstärkte Überwachung der Umsetzung der Sicherheitsmaßnahmen.
Zusammenfassend soll die NIS2-Richtlinie die Cybersicherheit in der EU erhöhen, die Widerstandsfähigkeit gegenüber Cyberangriffen stärken und die EU insgesamt sicherer gestalten. Sie wird auch dazu beitragen, den sicheren Datenverkehr zwischen Unternehmen und Partnern in Europa und weltweit zu erleichtern.
NIS2: Welche Unternehmen müssen die Richtlinie umsetzen? Und wann?
Die NIS-2-Richtlinie ist eine gesetzliche Vorgabe der Europäischen Union zur Sicherheit von Netzwerken und Informationssystemen, die am 16. Januar 2023 in Kraft getreten ist. Die EU-Mitgliedstaaten sind verpflichtet, diese Richtlinie bis spätestens zum 17. Oktober 2024 in ihre nationalen Rechtsvorschriften zu integrieren. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums zur Umsetzung der NIS-2-Richtlinie (NIS-2UmsuCG) vor.
Mit der Einführung dieser neuen Richtlinie werden viele Unternehmen von den verschärften Bestimmungen betroffen sein. Sie werden mit höheren Anforderungen konfrontiert sein, und es wird ein verstärkter Druck zur Einhaltung der Vorschriften bestehen. Dies kann sich in Form von erhöhten Sanktionsdrohungen und der Übernahme von Verantwortung auf der Managementebene äußern.
In der NIS-2-Richtlinie erfolgt eine Unterscheidung zwischen „Besonders wichtigen Einrichtungen“ und „Wichtigen Einrichtungen“. Der Hauptunterschied besteht darin, dass für „Wichtige Einrichtungen“ geringere Geldbußen vorgesehen sind, und sie unterliegen einer reaktiven Überwachung durch die Behörden im Gegensatz zur proaktiven Aufsicht, die den „Besonders wichtigen Einrichtungen“ vorbehalten ist.
Die EU beabsichtigt, einheitliche Kriterien anzuwenden, um die Betroffenheit festzustellen, anstatt unterschiedliche Mindestschwellenwerte zu verwenden. Diese Regulierung wird sich auf mittlere und große Unternehmen erstrecken:
- Unternehmen oder rechtlich unselbstständige Organisationseinheiten von Körperschaften mit 50 bis 249 Mitarbeitenden und einem Jahresumsatz von weniger als 50 Mio. EUR oder einer Jahresbilanzsumme von weniger als 43 Mio. EUR, oder
- Unternehmen mit weniger als 50 Mitarbeitenden und einem Jahresumsatz zwischen 10-50 Mio. EUR und einer Jahresbilanzsumme zwischen 10 und 43 Mio. EUR.
Die Reichweite der Richtlinie betrifft nicht nur kritische Infrastrukturen
Es ist klar, dass der Anwendungsbereich der NIS-2-Richtlinie über die bisher bekannten kritischen Infrastrukturen hinausgeht. Im Energiesektor, beispielsweise, war die NIS-Richtlinie immer auf Unternehmen beschränkt, die in der Erzeugung, Lieferung oder Regulierung von Energie im Strom- und Gassektor tätig waren. Unter NIS-2 wird erwartet, dass auch die Lieferkette, wie beispielsweise die Hersteller von Windturbinen und die Betreiber von Elektrofahrzeug-Ladestationen, den neuen Anforderungen unterliegen.
Besonders wichtige Einrichtungen:
- Energie
- Luft-, Schienen-, Straßen- und Schiffsverkehr
- Bankwesen/Finanzwesen
- Gesundheit
- Wasserversorgung
- Digitale Infrastruktur und IT-Dienste
- Öffentliche Verwaltung
- Raumfahrt
Im Energiesektor:
- Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Heizung/Kühlung, Wasserstoff, Betreiber von Ladestationen für Elektrofahrzeuge.
Wichtige Einrichtungen:
- Anbieter von Post- und Kurierdiensten
- Abfallwirtschaft
- Chemische Erzeugnisse
- Lebensmittelindustrie
- Hersteller
- Digitale Dienstleister
- Forschungseinrichtungen
NIS2: Was passiert, wenn Unternehmen sich nicht an der Richtlinie halten?
Mit NIS-2-sind deutliche verschärfte Sanktionen für Unternehmen und sogar für verantwortliche Personen in Unternehmen verbunden.
Sanktionsvorschriften und Stufenkonzept für Bußgeldtatbestände:
Es gelten unterschiedliche Bußgelder für wesentliche und wichtige Einrichtungen:
Für wesentliche Einrichtungen können Sanktionen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes verhängt werden, wobei der höhere Betrag maßgeblich ist.
Bei wichtigen Einrichtungen belaufen sich die Bußgelder auf bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes, wobei auch hier der höhere Betrag entscheidend ist.
Risikomanagement und Haftung der Leitungsorgane:
Unternehmen und Organisationen, die von den neuen Vorschriften betroffen sind, müssen angemessene Maßnahmen in verschiedenen Bereichen ergreifen, darunter:
- Cyber-Risikomanagement
- Sicherheit in der Lieferkette
- Business Continuity Management
- Verschlüsselung
- Zutrittsbeschränkungen
- Berichterstattung an die Behörde
- Abhilfemaßnahmen
Gemäß dem Entwurf des Bundesinnenministeriums werden die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften. Die Obergrenze für diese Haftung entspricht 2 % des globalen Jahresumsatzes des Unternehmens. Es ist wichtig festzustellen, dass es unter der NIS-2-Richtlinie keine Unterscheidung zwischen besonders wichtigen Einrichtungen und kritischen Anlagen gibt. Die Sanktionen und Haftungsregelungen gelten allgemein für wesentliche und wichtige Einrichtungen, abhängig von den jeweiligen Umständen und dem Verschulden.
NIS2: Ein 10-Punkte-Programm zur Herangehensweise
Schritt 1: Überprüfung der Betroffenheit und Schulung
Prüfen Sie, ob Ihre Organisation von den Vorschriften der NIS-2-Richtlinie betroffen ist. Klären Sie den geografischen Anwendungsbereich der Richtlinie und ermitteln Sie, ob Ihr Unternehmen in diesen Bereich fällt.
Schulen Sie Ihr Management in Sachen Cybersicherheits-Risikomanagement.
Schritt 2: Sensibilisierung und Schulung
Stellen Sie sicher, dass Ihre Mitarbeiter sich der Risiken in Bezug auf Cybersicherheit bewusst sind und entsprechende Schulungen erhalten.
Bieten Sie gezielte Schulungen und Ressourcen zur Sensibilisierung an.
Implementieren Sie spezifische Maßnahmen zur Risikobewältigung im Bereich Cybersicherheit.
Schritt 3: Verständnis der NIS2-Anforderungen und Sanktionen
Schaffen Sie Klarheit über die Anforderungen und möglichen Strafen gemäß der NIS2-Richtlinie.
Berücksichtigen Sie die beiden Arten von Sanktionen in der NIS2, nämlich hohe und vordefinierte Geldbußen sowie die Haftung von Geschäfts- und C-Level-Führungskräften.
Schritt 4: Budgetierung
Planen und budgetieren Sie die erforderlichen Ausgaben für die Umsetzung der NIS2-Richtlinie.
Schritt 5: Überprüfung der NIS2-Maßnahmen
Überprüfen Sie die zehn Maßnahmen, die von der NIS2-Richtlinie für das Management von Cybersicherheitsrisiken vorgeschrieben sind.
Bewertet, wie gut Ihre derzeitigen Richtlinien und Verfahren zur Cybersicherheit mit den NIS2-Maßnahmen in Einklang stehen.
Schritt 6: Optimierung des Meldeverfahrens für Zwischenfälle
Vereinfachen Sie den Prozess zur Meldung von Vorfällen.
Gewährleisten Sie, dass alle Mitarbeiter die richtigen Kanäle für Meldungen kennen.
Schritt 7: Bewertung der Sicherheit der Lieferketten
Analysieren Sie die Risiken in Bezug auf Cybersicherheit.
Stellen Sie sicher, dass auch Ihre Lieferanten die Anforderungen der NIS2-Richtlinie erfüllen. Entwickeln Sie einen Plan zur Aufrechterhaltung der Geschäftskontinuität und zum Krisenmanagement.
Schritt 8: Einführung eines Informationssicherheits-Managementsystems (ISMS)
Implementieren Sie ein ISMS, das den Vorgaben und Maßnahmen der NIS2-Richtlinie und den Standards der ISO 27001 entspricht.
Schritt 9: Förderung sicherer Entwicklungspraktiken
Führen Sie in Ihrer Organisation sichere Entwicklungspraktiken ein, um die Sicherheit von Anwendungen und Systemen zu gewährleisten.
Schritt 10: Kontinuierliche Überwachung und Verbesserung
Stellen Sie sicher, dass Ihr Unternehmen die Bedeutung der Cybersicherheit verinnerlicht und sich kontinuierlich verbessert.
Bitte beachten Sie dringend, dass die gesamten Ausführungen in diesem Artikel eine erste Grundlage für Ihre interne Herangehensweise darstellen – aber noch keine vollständige oder individuelle Beratung. Die Komplexität des Themas erfordert eine durch Experten begleitete Einführung und rechtliche Absicherung. Sprechen Sie uns gerne an!
Grund 3: Strategische Adaptivität
Märkte verändern sich so schnell wie nie zuvor – es ist unternehmerische Pflicht und Chance, strategisch flexibel agieren zu können. Und zwar ohne, dass es aus der IT heißt, dass die Systeme nicht darauf vorbereitet sind – oder es dafür Monate, wenn nicht sogar Jahre braucht.
Diese Situation verschärft sich durch zwei konträre Entwicklungen, die den Druck auf ein neues Verständnis für Business Software erhöhen:
- Über 60% der Unternehmen geben an, dass die Aktualisierung ihrer Bestandssysteme höchste Priorität hat. Dabei wird die Flexibilität und Anpassungsfähigkeit der vorhandenen Systeme mit der schlechtesten Note 3,27 bewertet.
- Demgegenüber kann die Abwanderungsquote um 15% reduziert bzw. die Betreuungskosten um bis zur Hälfte gesenkt werden, wenn ein Unternehmen den Kunden in den Mittelpunkt seines Handelns stellt und flexibel auf seine Bedürfnisse einzugehen vermag.
Was wären Ihre individuellen Gesprächsthemen
Wenn dies auch für Sie spannende und relevante Fragen sind, nehmen Sie Kontakt mit uns auf: Per E-mail an info@zendigma.de, über unser Onlineformular oder telefonisch unter +49 89 954 57 65-53.
Oder buchen Sie hier direkt einen kostenlosen Termin zur Analyse Ihres Bedarfs rund um Digitalisierungsfragen und Business Software: Hier unverbindlich Termin buchen