Mit der NIS2-Richtlinie hat die Europäische Union ein neues Regelwerk zur Cybersicherheit geschaffen, das Unternehmen zu erheblich strengeren Maßnahmen verpflichtet. Die Verordnung ersetzt die bisherige NIS1-Richtlinie und legt einen erweiterten Fokus auf die Sicherheit kritischer Infrastrukturen sowie eine verbesserte Widerstandsfähigkeit gegen Cyberangriffe.

Laut Schätzungen betrifft die NIS2 in Deutschland zwischen 29.000 und 40.000 Unternehmen. Betroffene Unternehmen müssen innerhalb eines definierten Zeitraums ein Informationssicherheitsmanagementsystem (ISMS) implementieren, um die gesetzlichen Anforderungen zu erfüllen.

Warum wurde NIS2 eingeführt?

Die digitale Bedrohungslage nimmt stetig zu. Besonders in Folge geopolitischer Spannungen wie dem Ukraine-Krieg 2022 wurden kritische Infrastrukturen, darunter Energieversorger, Wasserversorgung und Kommunikationsnetze, verstärkt zum Ziel von Cyberangriffen. Um diesen Bedrohungen entgegenzuwirken, hat die EU die NIS2-Richtlinie ins Leben gerufen, die eine einheitliche und umfassende Sicherheitsstrategie vorschreibt.

Welche Unternehmen sind betroffen?

Die NIS2-Richtlinie betrifft Unternehmen aus 18 verschiedenen Sektoren, darunter:

• Energieversorgung

• Transport und Logistik

• Finanzwesen

• Gesundheitswesen

• Digitale Infrastruktur

• Lebensmittelversorgung

• Online-Marktplätze und Cloud-Dienstleister

Unternehmen, die mehr als 50 Mitarbeitende beschäftigen und mindestens 10 Millionen Euro Jahresumsatz erzielen, sind verpflichtet, die neuen Anforderungen umzusetzen.

Welche neuen Anforderungen gelten durch NIS2?

Unternehmen müssen sich selbst einstufen und sich innerhalb von drei Monaten nach Identifikation bei der zuständigen Behörde registrieren. Besonders wichtige Einrichtungen sind zudem verpflichtet, sich aktiv am Informationsaustausch mit der zentralen Austauschplattform des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu beteiligen.

Zudem erfordert die NIS2-Richtlinie unter anderem folgende Maßnahmen:

1. Etablierung eines Risikomanagements
   Unternehmen müssen ein umfassendes Risikomanagement für ihre Informationssicherheit implementieren. Dies umfasst:

   • Identifikation potenzieller Bedrohungen

   • Technische, operative und organisatorische Maßnahmen zur Minderung der Risiken

   • Sicherheitsstandards nach dem Stand der Technik

2. Absicherung der Lieferkette
   Unternehmen sind dafür verantwortlich, dass auch ihre Zulieferer angemessene Sicherheitsvorkehrungen treffen. Dies kann durch:

   • Vertragsvereinbarungen mit Sicherheitsklauseln

   • Zertifizierungen (z. B. TISAX in der Automobilbranche)

   • Regelmäßige Sicherheitsübungen gewährleistet werden.

3. Meldung und Behandlung von Sicherheitsvorfällen
   Betreiber kritischer Infrastrukturen müssen signifikante Störungen und Cyberangriffe unverzüglich den zuständigen Behörden melden. Dies erfordert:

   • Ein effektives Sicherheitsprogramm zur Vorfallserkennung

   • Notfallpläne und Eskalationsprozesse

   • Transparente Kommunikation mit Kunden und Geschäftspartnern

Zusätzliche Anforderungen der NIS2-Richtlinie

Neben diesen Kernanforderungen verlangt die NIS2-Richtlinie weitere Maßnahmen:

• Business Continuity Management: Notfallpläne und Krisenmanagement zur Sicherstellung des Geschäftsbetriebs

• IT-Beschaffung: Berücksichtigung von Cybersicherheitsaspekten beim Einkauf von IT-Systemen

• Messung der Sicherheitsmaßnahmen: Unternehmen müssen kontinuierlich die Effektivität ihrer Sicherheitsstrategie überprüfen

• Cybersecurity-Hygiene: Schulung von Mitarbeitenden zu Themen wie Passwortsicherheit und Phishing-Erkennung

• Kryptografie: Implementierung sicherer Verschlüsselungstechniken

• Authentifizierung: Nutzung von Multi-Faktor-Authentifizierung und Single Sign-On zur Erhöhung der Zugriffssicherheit

Welche Sanktionen drohen bei Nichteinhaltung?

Unternehmen, die gegen die Vorgaben der NIS2 verstoßen, müssen mit erheblichen Strafen rechnen. Die Sanktionen können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen. Zudem droht persönliche Haftung der Geschäftsführung, wenn die Umsetzung der NIS2-Anforderungen vernachlässigt wird.

Wie CoBaTh IT Sachverständiger Unternehmen unterstützt

Die Einhaltung der NIS2-Richtlinie erfordert eine umfassende Planung und Implementierung geeigneter Maßnahmen. CoBaTh IT Sachverständiger unterstützt Unternehmen durch:

• Beratung zur NIS2-Compliance: Identifikation und Bewertung von Risiken

• Implementierung eines ISMS: Einrichtung und Betrieb eines NIS2-konformen Informationssicherheitsmanagementsystems

• Schulungen und Awareness-Programme: Training der Mitarbeitenden zur Stärkung der Cybersicherheitskultur

• Technische und organisatorische Sicherheitsmaßnahmen: Entwicklung von Sicherheitsrichtlinien und Notfallplänen

• Audits und Zertifizierungen: Begleitung bei der Einhaltung von Standards wie ISO 27001 oder TISAX

Fazit

Die NIS2-Richtlinie stellt Unternehmen vor neue Herausforderungen, um einheitliche und robuste Sicherheitsstandards in der EU zu gewährleisten. Unternehmen, die sich frühzeitig mit den Anforderungen auseinandersetzen, können nicht nur gesetzliche Sanktionen vermeiden, sondern auch ihre Widerstandsfähigkeit gegen Cyberangriffe deutlich erhöhen.

Mit CoBaTh IT Sachverständiger als erfahrenem Partner gelingt die effiziente Umsetzung der NIS2-Standards, um langfristig eine sichere IT-Infrastruktur und den Schutz kritischer Daten zu gewährleisten.

Image by Darwin Laganzon from Pixabay