NIS2: Diese Cyber-Vorschrift sollten Unternehmen kennen
Wer ist betroffen? Welche Maßnahmen müssen ergriffen werden? Die wichtigsten Fragen zur neuen Richtlinie aus Brüssel.
- Viel mehr Unternehmen als bisher betroffen
- Für wen gilt die NIS2-Richtlinie?
- Was heißt in dem Fall „kritische Infrastruktur“?
- Was, wenn mein Sektor als kritisch eingestuft wird?
- Was müssen Unternehmen tun, die die Kriterien der Richtlinie erfüllen?
- Was passiert, wenn die Auflagen nicht beachtet werden?
- Das Gesetz ist noch nicht da, was kann ich als Unternehmen jetzt schon tun?
Drei Buchstaben, von denen Sie unbedingt wissen sollten, ob sie für Sie wichtig werden! NIS steht für „Network and Information Security“ und ist die Abkürzung der EU-Cybersicherheitsvorschriften, die viel mehr Unternehmen betrifft als bisherige Regelungen.
Viel mehr Unternehmen als bisher betroffen
Die neue Richtlinie NIS2 erweitert die Anzahl der betroffenen Sektoren. Wenn vorher nur wichtige Bereiche wie zum Beispiel Klärwerke oder Telekommunikationsunternehmen bestimmte IT-Sicherheitsmaßnahmen erfüllen mussten, ist es jetzt viel komplexer und umfassender. Nach Schätzungen des Vereins „eurobits“ werden in Deutschland rund 30.000 Unternehmen betroffen sein, die bislang nicht Teil der kritischen Infrastruktur waren, etwa 3.000 bis 5.000 kleine und mittelständische Unternehmen allein in Nordrhein-Westfalen.
Obwohl die offizielle Umsetzungsfrist eigentlich bis Oktober 2024 galt, ist die Richtlinie bisher nicht in ein nationales Gesetz umgewandelt worden. Jana Knuth, Projektleiterin der NIS2-Anlaufstelle NRW des Vereins „eurobits“, rechnet mit einer Umsetzung bis Ende 2025. Auf bestimmte Unternehmen kommen durch die europäische Richtlinie einige neue Sicherheitsmaßnahmen und Meldepflichten zu, mit denen die IT-, Informations- und Cyber-Sicherheit erhöht werden sollen. Wir beantworten die wichtigsten Fragen zum Thema!
Für wen gilt die NIS2-Richtlinie?
Das Wichtigste zuerst: Unternehmen müssen eigenständig prüfen, ob sie unter die NIS2-Richtlinie fallen. Eine Benachrichtigung durch die Behörden erfolgt nicht. Betroffen sind Unternehmen bestimmter Branchen und Sektoren, die als wichtig oder besonders wichtig eingestuft werden. Dies gilt natürlich für Betreiber von kritischen Infrastrukturen, kann aber auch Firmen wie Kurierdienste, Lebensmittelproduzenten oder Maschinenbau betreffen.
Doch Unternehmen können auch indirekt betroffen sein. Denn selbst wenn man nicht unter die NIS2-Kriterien fällt, kann es sein, dass man als Zulieferer oder Vertrieb von den Maßnahmen betroffen ist. Denn von NIS2 betroffene Unternehmen müssen sicherstellen, dass die Sicherheit auch in ihrer Lieferkette gewährleistet ist. Weitere Faktoren sind die Zahl der Mitarbeiterinnen und Mitarbeiter und des Jahresumsatzes.
Das Verfahren ist komplex, zur Unterstützung bei der Prüfung stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Selbsttest zur Verfügung. Außerdem berät die kostenfreie NIS2-Anlaufstelle NRW des Vereins „eurobits“ kleine und mittelständische Unternehmen unter nis2-anlaufstelle@eurobits.de oder 0172/4178048. Und im Zweifel gilt: Rufen Sie die IHK an, wenn Sie unsicher sind (0221 1640-1520)!
Was heißt in dem Fall „kritische Infrastruktur“?
Das entscheidende Wort bei der Einstufung lautet im besten Behördendeutsch: „Kritikalität“. Das ist die Abstufung, nach der die Richtlinie zwischen Unternehmen mit einem hohen oder niedrigen Cyber-Risiko unterscheidet. Folgende Branchen werden beispielsweise zum Bereich „Sektoren mit hoher Kritikalität“ gezählt: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trink- oder Abwasser.
Weniger kritisch und damit mit weniger Maßnahmen verbunden sind „Sektoren mit sonstiger Kritikalität“, zum Beispiel Post- und Kurierdienste, Abfallbewirtschaftung, die Produktion oder der Handel mit chemischen Stoffen, Lebensmittelverarbeitung, oder Forschungseinrichtungen. Wer keinem kritischen Sektor zugerechnet wird, ist von der Richtlinie befreit.
Was, wenn mein Sektor als kritisch eingestuft wird?
Dann kommt es auf die Zahl der Mitarbeiterinnen und Mitarbeiter sowie die Bilanz an! Ein Beispiel: Wenn Ihr Unternehmen unter „sonstige Kritikalität“ eingestuft wird, Sie mehr als 50 Menschen beschäftigen und/oder der Umsatz mehr als 10 Millionen Euro beträgt, werden Sie als wichtige Einrichtung gezählt und müssen Maßnahmen ergreifen.
Liegen Sie deutlich über den Schwellwerten (z. B. mehr als 250 Beschäftigte), kann das Unternehmen als „besonders wichtige Einrichtung“ eingestuft werden – und Sie müssen noch strengere Maßnahmen erarbeiten. Liegen Sie unter den Grenzen, ist der Betrieb nicht von der NIS2-Richtlinie betroffen.
Was müssen Unternehmen tun, die die Kriterien der Richtlinie erfüllen?
Betroffene Unternehmen müssen sich eigenständig bei einer Behörde melden und die erforderlichen Maßnahmen herausarbeiten. Wo genau, steht noch nicht fest: Details zum Meldevorgang sind aktuell noch nicht kommuniziert, da die Meldepflichten erst in Kraft treten, wenn es ein nationales Gesetz gibt. Mögliche (dann verpflichtende!) Maßnahmen sind zum Beispiel Verschlüsselung, Multi-Faktor-Authentifizierung, Back-up- und Krisenmanagement, Unterrichtungspflichten und Schulungspflicht für Geschäftsleiter. Was genau zu tun ist, hängt davon ab, wie wichtig die Infrastruktur der Firmen eingestuft wird. Die laut NIS2 wesentlichen Einrichtungen müssen mehr Maßnahmen erfüllen als sogenannte wichtige Einrichtungen.
Was passiert, wenn die Auflagen nicht beachtet werden?
Unternehmen, die den Anforderungen nicht nachkommen, müssen mit Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen rechnen. Bei wichtigen Einrichtungen beläuft sich die Strafe auf bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes. Zusätzlich können Führungskräfte persönlich haftbar gemacht werden, wenn die Auflagen nicht erfüllt werden.
Das Gesetz ist noch nicht da, was kann ich als Unternehmen jetzt schon tun?
„Cyber-Security ernst nehmen, prüfen, ob man betroffen ist, einen Fahrplan entwickeln, mit dem man die Vorgaben erfüllen kann und dann in die Umsetzung starten“, lautet die Handlungsanweisung von NIS2-Expertin Jana Knuth.
SAVE THE DATE! Am 16. September dreht sich in der IHK Köln alles rund um Digitalisierung & Recht. Bei unserer Veranstaltung „WWW – Website Werbung Widerruf“ erläutern Expertinnen und Experten die neuesten Entwicklungen der Branche. Hier geht es zur Anmeldung für die Veranstaltung. Wie man Cyberangriffe erkennen und abwehren kann, erfahren Sie am 30. September. Mehr Informationen zum Workshop erhalten auf unserer Homepage.
Kontakt
Dieter Schiefer
Digitalisierung