Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) meldet, dass die Frequenz von Cyberangriffen auf deutsche Unternehmen im Jahr 2023 einen neuen Höchststand erreicht hat. Die Täter bedienen sich zunehmend raffinierter Taktiken, um an sensible Informationen zu gelangen und Unternehmen finanziell zu schädigen. Eine Aufstockung der Investitionen in die Cybersicherheit von Unternehmen ist deswegen schon lange kein gut gemeinter Rat mehr. Dennoch wird der Ausbau der eigenen Sicherheitsvorkehrungen häufig vernachlässigt und die Tragweite einer soliden Cybersicherheit unterschätzt. An diesem Punkt setzt die NIS-2-Richtlinie an, um diesem Missstand einen Riegel vorzuschieben. Bis zum 17. Oktober 2024 bleibt dir Zeit, um die Anforderungen dieser Richtlinie umzusetzen. Wir sagen dir, ob du handeln musst oder nicht.

Mehr Cybersicherheit mit der NIS-2-Richtlinie

Die NIS-2-Richtlinie, eine Initiative der Europäischen Union, zielt darauf ab, die Cybersicherheitsmaßnahmen von Unternehmen zu verstärken. Diese Neufassung der ursprünglich im Jahr 2016 verabschiedeten Richtlinie strebt eine Vereinheitlichung der Sicherheitsstandards an und soll die Resilienz innerhalb der EU verbessern. Dies geschieht durch die Angleichung der Sicherheitsanforderungen zwischen den Mitgliedsstaaten und den verschiedenen Wirtschaftszweigen und etabliert einen vereinheitlichten Ansatz im Kampf gegen Cybergefahren.

Die Revision dieser Richtlinie erscheint aus mehreren Gründen notwendig: Während einige Unternehmer die eingeschränkte Effektivität der ersten Fassung kritisieren, sehen andere in der Anpassung an die dynamischen und komplexen Herausforderungen der Cybersicherheit eine dringende Notwendigkeit.

Bist du von der NIS-2-Richtlinie betroffen?

Insbesondere für Betreiber essentieller Infrastrukturen ist die NIS-2-Richtlinie von großer Bedeutung, da Attacken auf diese Systeme weitreichende Konsequenzen haben können. Solche kritischen Einrichtungen, die eine zentrale Rolle für die öffentliche Sicherheit und Versorgung spielen, sind zunehmend im Fokus von Cyberkriminellen, besonders seit geopolitischen Spannungen wie dem Konflikt in der Ukraine. Dies bedeutet, dass du, sofern du in einem solchen Sektor tätig bist, besondere Aufmerksamkeit auf die Sicherheitsvorkehrungen legen solltest.

Definition „Mittleres Unternehmen“

Ein „mittleres Unternehmen“ sollte mindestens 50 und weniger als 250 Beschäftigte haben und z.B. zum Sektor Energie oder Verwaltung von IKT-Diensten bzw. zum verarbeitenden Gewerbe/ Herstellung von Waren oder Anbieter digitaler Dienste sein. 

Erweiterung der Sicherheitsanforderungen durch die NIS-2-Richtlinie

Ein Kernaspekt der NIS-2-Richtlinie ist die Ausdehnung ihres Geltungsbereichs auf weitere Sektoren und die Einführung einer Klassifizierung von Einrichtungen als „wesentlich“ oder „wichtig“. Die aktualisierte Liste beinhaltet nun Sektoren wie:

• Energieversorgung
• Transportwesen
• Finanzsektor
• Gesundheitswesen
• Wasserversorgung und -entsorgung
• Digitale Infrastruktur
• Staatliche Verwaltung
• Raumfahrtindustrie

Für kleinere Unternehmen tritt die Richtlinie nur in Kraft, wenn sie eine signifikante Rolle in der Bereitstellung essentieller Dienste spielen.

Wer gilt als „wichtige Einrichtung“?

Unternehmen gelten als „wichtige Einrichtung“, wenn sie in einem der insgesamt
aufgeführten 18 Sektoren tätig sind und nicht unter die Definition der „wesentlichen
Einrichtungen“ fallen.

1. Post- und Kurierdienste
2. Abfallbewirtschaftung
3. Produktion, Herstellung und Handel mit chemischen Stoffen
4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
5. Verarbeitendes Gewerbe/Herstellung von Waren
6. Anbieter digitaler Dienste
7. Forschung

Die genannten Sektoren unterteilt NIS2 noch in weitere Teilsektoren
Klein- und Kleinstunternehmen können ebenfalls unter die Richtlinie fallen, wenn sie

• in einem der 18 Sektoren bzw. in einem von NIS2 als Sonderfälle benannten Diensten tätig sind.
• entweder einen Jahresumsatz von mindestens 10 Mio. Euro, aber höchstens 50 Mio. Euro oder
• eine Jahresbilanzsumme von mindestens 10 Mio. Euro, aber höchstens 43 Mio. vorweisen. 

Unabhängig von der Größe der Einrichtungen gilt die NIS2-Richtlinie auch für
Einrichtungen, die in einem der in NIS2 aufgeführten 18 Sektoren tätig sind.

Deine Verantwortung gemäß der NIS-2-Richtlinie

Als Verantwortlicher deines Unternehmens bist du jetzt aufgefordert, weitreichende Maßnahmen zur Stärkung der Cybersicherheit zu ergreifen. Dies umfasst Strategien zur Risikoreduzierung, die frühzeitige Erkennung von Gefahren, schnelle Reaktionsmöglichkeiten bei Sicherheitsvorfällen und die restlose Wiederherstellung der betroffenen Systeme. Für eine tiefergehende Einsicht empfiehlt sich ein Blick in die EU-Direktive 2022/2555. Unsere Experten im Datenschutz stehen dir zur Seite, um deine Sicherheitsstrategien auf den neuesten Stand zu bringen.

Starte jetzt mit der Umsetzung

Noch hast du bis zum 17. Oktober 2024 Zeit, die Bestimmungen umzusetzen, wir empfehlen dir jedoch, schon jetzt mit der Umsetzung zu starten! Unsicher, wo du anfangen sollst oder ob die Richtlinie für dein Unternehmen relevant ist? Wir stehen dir natürlich für alle Fragen zur Verfügung.