Digitalisierung
NIS-2: Neue Pflichten für mehr IT-Sicherheit
Die NIS-2-Richtlinie (Network and Information Security) ist eine EU-weite Regelung zur Cyber- und Informationssicherheit. Zur Stärkung von Unternehmen und kritischen Infrastrukturen gegenüber Cyberattacken und IT-Störungen gibt es neue Vorgaben und Pflichten, die in Kürze zu erfüllen sind.
Was ist die NIS-2-Richtlinie und ab wann gilt sie?
Die NIS-2-Richtlinie (Network and Information Security) ist eine EU-weite Regelung zur Cyber- und Informationssicherheit von Unternehmen und Instituten.
Im kommenden Jahr sollen diese Vorgaben in ein nationales Recht überführt werden und dann auch für die Unternehmen und Institutionen in unserer Region direkt gelten. Für diese Umsetzung liegt ein Referentenentwurf NIS-2-Umsetzungs-und Cybersicherheitsstärktungsgesetz (kurz NIS2UmsuCG) vor.
Wie wirkt sich NIS-2 auf Unternehmen aus?
Je nach Einstufung der Unternehmen müssen Maßnahmen, Registrierungs-, Dokumentations- oder Unterrichtungspflichten für mehr IT-Sicherheit erfüllt werden. Dabei müssen besonders wichtige Einrichtungen (Hohe Kritikalität) mehr erfüllen, als sogenannte wichtige Einrichtungen (Sonstige Kritikalität).
Welche Unternehmen sind von NIS-2 betroffen?
Alle Unternehmen müssen eigenständig prüfen, ob Sie von den Regelungen betroffen sind. Eine behördliche Information erfolgt nicht. Auf der Website der Aufsichtsbehörde Bundesamt für Sicherheit in der Informationstechnik gibt es ein Webtool NIS-2-Betroffenheitsprüfung, das bei der Einschätzung unterstützt, allerdings nicht verbindlich ist.
Wird eine Betroffenheit vom Unternehmen selbst festgestellt, besteht eine Registrierungspflicht des Unternehmens beim Bundesamt für Sicherheit in der Informationstechnik (BSI). In bestimmten Fällen kann das BSI eine Betroffenheit auch anordnen.
Ein Unternehmen ist betroffen, wenn es
- die Schwellwerte (Anzahl Mitarbeiter oder Jahresumsatz/Jahresbilanzsumme) überschreitet und
- in einem bestimmten Sektor tätig ist
Einstufungen, Schwellenwerte und Sektoren
Hohe Kritikalität (besonders wichtige Einrichtungen):
Schwellenwert:
- Einrichtungen ab 250 Mitarbeitende ODER mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme in den Bereichen:
Sektoren:
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur (ohne Rücksicht auf Schwellenwert)
- Verwaltung von IKT-Diensten (B2B)
- Öffentliche Verwaltung (ohne Rücksicht auf Schwellenwert)
- Weltraum
- Anbieter öffentlicher TK-Netze und TK-Dienste
Sonstiger Kritikalität (wichtige Einrichtung)
Schwellenwert:
- Einrichtungen ab 50 Mitarbeitende ODER mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme
Sektoren:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe / Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
- Mittlere Unternehmen der besonders wichtigen Einrichtungen (bei Erfüllung der Schwellenwerte 50-249 Mitarbeiter und 10 Mio Jahresbilanzsumme)
Was muss ein betroffenes Unternehmen konkret tun?
- Betroffene Unternehmen müssen sich eigenständig bei einer Behörde melden. (Details zum Meldevorgang sind aktuell noch nicht veröffentlicht) – (§§ 34, 34)
- Einhaltung von Melde- und Dokumentationspflichten für erhebliche Sicherheitsvorfälle (z. B. 24 h nach Kenntnis, ausführlicher Bericht 72 nach Kenntnis.) – (§32)
- Ergreifung von operativen Maßnahmen und Anforderungen ab Oktober 2024 . Diese variieren je nachdem, ob ein Unternehmen als „Betreiber kritischer Anlagen”, „Besonders wichtige Einrichtung” oder „Wichtige Einrichtung” eingestuft wird. Daher ist unerlässlich, dass NIS2UmsuCG als betroffenes Unternehmen sorgfältig zu analysieren und die erforderlichen Maßnahmen für sich herauszuarbeiten.
Pflichten für alle betroffenen Unternehmen sind unter anderem:
- Risikomanagementmaßnahmen, Business Continuity Management, dazu gehört z. B. der Einsatz technischer Maßnahmen wie Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
- Maßnahmen zur Aufrechterhaltung und Wiederherstellung, Back-up-Management, Krisenmanagement
- Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
- Unterrichtungspflichten
- Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter
Welche Folgen drohen bei Nichtbeachtung?
Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen von einer Aufsichtsbehörde. Diese verfügen über Kontroll- und Weisungsrecht bei der Fristeinhaltung. Zudem existiert eine persönliche Haftung der Geschäftsführer.
Wo finde ich weitere Hilfestellungen?
Fragen und Antworten (FAQ) zu NIS-2 vom BSI
Infoblatt NIS-2 Mittelstand-Digital Zentrum Handel
NIS-2 Anlaufstelle NRW bei eurobits e. V.
Fragen und Antworten (FAQ) zu NIS-2 vom BSI
Infoblatt NIS-2 Mittelstand-Digital Zentrum Handel
NIS-2 Anlaufstelle NRW bei eurobits e. V.