NIS2: Diese Cyber-Vorschrift sollten Unternehmen kennen

Drei Buchstaben, von denen Sie unbedingt wissen sollten, ob sie für Sie wichtig werden! NIS steht für „Network and Information Security“ und ist die Abkürzung der EU-Cybersicherheitsvorschriften, die viel mehr Unternehmen betrifft als bisherige Regelungen.

Die neue Richtlinie NIS2 erweitert die Anzahl der betroffenen Sektoren. Wenn vorher nur wichtige Bereiche wie zum Beispiel Klärwerke oder Telekommunikationsunternehmen bestimmte IT-Sicherheitsmaßnahmen erfüllen mussten, ist es jetzt viel komplexer und umfassender. Nach Schätzungen des Vereins „eurobits“ werden in Deutschland rund 30.000 Unternehmen betroffen sein, die bislang nicht Teil der kritischen Infrastruktur waren, etwa 3.000 bis 5.000 kleine und mittelständische Unternehmen allein in Nordrhein-Westfalen.

Obwohl die offizielle Umsetzungsfrist eigentlich bis Oktober 2024 galt, ist die Richtlinie bisher nicht in ein nationales Gesetz umgewandelt worden. Jana Knuth, Projektleiterin der NIS2-Anlaufstelle NRW des Vereins „eurobits“, rechnet mit einer Umsetzung bis Ende 2025. Auf bestimmte Unternehmen kommen durch die europäische Richtlinie einige neue Sicherheitsmaßnahmen und Meldepflichten zu, mit denen die IT-, Informations- und Cyber-Sicherheit erhöht werden sollen. Wir beantworten die wichtigsten Fragen zum Thema!

Das Wichtigste zuerst: Unternehmen müssen eigenständig prüfen, ob sie unter die NIS2-Richtlinie fallen. Eine Benachrichtigung durch die Behörden erfolgt nicht. Betroffen sind Unternehmen bestimmter Branchen und Sektoren, die als wichtig oder besonders wichtig eingestuft werden. Dies gilt natürlich für Betreiber von kritischen Infrastrukturen, kann aber auch Firmen wie Kurierdienste, Lebensmittelproduzenten oder Maschinenbau betreffen.

Doch Unternehmen können auch indirekt betroffen sein. Denn selbst wenn man nicht unter die NIS2-Kriterien fällt, kann es sein, dass man als Zulieferer oder Vertrieb von den Maßnahmen betroffen ist. Denn von NIS2 betroffene Unternehmen müssen sicherstellen, dass die Sicherheit auch in ihrer Lieferkette gewährleistet ist. Weitere Faktoren sind die Zahl der Mitarbeiterinnen und Mitarbeiter und des Jahresumsatzes.

Das Verfahren ist komplex, zur Unterstützung bei der Prüfung stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Selbsttest zur Verfügung. Außerdem berät die kostenfreie NIS2-Anlaufstelle NRW des Vereins „eurobits“ kleine und mittelständische Unternehmen unter nis2-anlaufstelle@eurobits.de oder 0172/4178048. Und im Zweifel gilt: Rufen Sie die IHK an, wenn Sie unsicher sind (0221 1640-1520)!

Das entscheidende Wort bei der Einstufung lautet im besten Behördendeutsch: „Kritikalität“. Das ist die Abstufung, nach der die Richtlinie zwischen Unternehmen mit einem hohen oder niedrigen Cyber-Risiko unterscheidet. Folgende Branchen werden beispielsweise zum Bereich „Sektoren mit hoher Kritikalität“ gezählt: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trink- oder Abwasser.

Weniger kritisch und damit mit weniger Maßnahmen verbunden sind „Sektoren mit sonstiger Kritikalität“, zum Beispiel Post- und Kurierdienste, Abfallbewirtschaftung, die Produktion oder der Handel mit chemischen Stoffen, Lebensmittelverarbeitung, oder Forschungseinrichtungen. Wer keinem kritischen Sektor zugerechnet wird, ist von der Richtlinie befreit.

Dann kommt es auf die Zahl der Mitarbeiterinnen und Mitarbeiter sowie die Bilanz an! Ein Beispiel: Wenn Ihr Unternehmen unter „sonstige Kritikalität“ eingestuft wird, Sie mehr als 50 Menschen beschäftigen und/oder der Umsatz mehr als 10 Millionen Euro beträgt, werden Sie als wichtige Einrichtung gezählt und müssen Maßnahmen ergreifen.

Liegen Sie deutlich über den Schwellwerten (z. B. mehr als 250 Beschäftigte), kann das Unternehmen als „besonders wichtige Einrichtung“ eingestuft werden – und Sie müssen noch strengere Maßnahmen erarbeiten. Liegen Sie unter den Grenzen, ist der Betrieb nicht von der NIS2-Richtlinie betroffen.

Betroffene Unternehmen müssen sich eigenständig bei einer Behörde melden und die erforderlichen Maßnahmen herausarbeiten. Wo genau, steht noch nicht fest: Details zum Meldevorgang sind aktuell noch nicht kommuniziert, da die Meldepflichten erst in Kraft treten, wenn es ein nationales Gesetz gibt. Mögliche (dann verpflichtende!) Maßnahmen sind zum Beispiel Verschlüsselung, Multi-Faktor-Authentifizierung, Back-up- und Krisenmanagement, Unterrichtungspflichten und Schulungspflicht für Geschäftsleiter. Was genau zu tun ist, hängt davon ab, wie wichtig die Infrastruktur der Firmen eingestuft wird. Die laut NIS2 wesentlichen Einrichtungen müssen mehr Maßnahmen erfüllen als sogenannte wichtige Einrichtungen.

Unternehmen, die den Anforderungen nicht nachkommen, müssen mit Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen rechnen. Bei wichtigen Einrichtungen beläuft sich die Strafe auf bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes. Zusätzlich können Führungskräfte persönlich haftbar gemacht werden, wenn die Auflagen nicht erfüllt werden.

„Cyber-Security ernst nehmen, prüfen, ob man betroffen ist, einen Fahrplan entwickeln, mit dem man die Vorgaben erfüllen kann und dann in die Umsetzung starten“, lautet die Handlungsanweisung von NIS2-Expertin Jana Knuth.