KRITIS & NIS2: Neue gesetzliche Anforderungen zur IT-Sicherheit
Zur Stärkung des Schutzes wichtiger Infrastrukturen gegen IT-Störungen und Cyberangriffe hat die Europäische Union die NIS2-Richtlinie eingeführt. Ab spätestens 18. Oktober 2024 müssen betroffene Unternehmen IT-Sicherheitsmaßnahmen umsetzen und Vorfälle melden.
Alles zu KRITIS & NIS2 im Webinar am 15. Oktober!
Zum Thema bieten wir am 15. Oktober 2024 das kostenfreie Webinar “KRITIS & NIS2 im Fokus – Anforderungen, Umsetzung, Praxisbeispiele” an. Hier erfahren Sie, wie Sie Ihre Betroffenheit prüfen können und welche IT-Sicherheitsanforderungen Ihr Unternehmen zukünftig zu erfüllen hat. Zusätzlich zeigen wir Ihnen nützliche Hinweise, welche technischen Maßnahmen zur Prävention helfen.
Jetzt zu KRITIS & NIS2 im Fokus – Anforderungen, Umsetzung, Praxisbeispiele anmelden!
Was ist KRITIS, was ist NIS2?
Kritische Infrastrukturen, kurz “KRITIS”, sind Organisationen und Einrichtungen, die für das Funktionieren einer Volkswirtschaft von zentraler Bedeutung sind. Ihr Ausfall oder ihre Beeinträchtigung könnte zu langfristigen Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen gravierenden Konsequenzen führen. Mehr zu KRITIS.
“NIS” steht für Netzwerk und Informationssicherheit bzw. Network and Information Security. Die NIS2-Richtlinie ist eine überarbeitete Version der NIS-Richtlinie der Europäischen Union. Sie wurde am Ende 2022 veröffentlicht und soll die Cybersicherheitsanforderungen in der EU stärken und harmonisieren, um besser auf die wachsenden Bedrohungen und Herausforderungen im Bereich der Cybersicherheit reagieren zu können. Die Richtlinie steht nun vor der Umsetzung in nationales Recht zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz “NIS2UmsuCG“.
Welche Unternehmen sind von NIS2 (NIS2UmsuCG) betroffen?
Ein Unternehmen ist betroffen, wenn es
- die Schwellwerte für Mitarbeiteranzahl und Jahresumsatz/Jahresbilanzsumme überschreitet und
- in einem speziellen Branchensektor tätig ist (siehe Seite 72 mit Anlage 1 und 2 im Gesetzentwurf).
In den Anhängen I und II der EU-Richtlinie sind "Sektoren mit hoher Kritikalität" beziehungsweise "Sonstige kritische Sektoren" aufgelistet, die in Teilsektoren und "Art der Einrichtung" untergliedert sind. Konkret wird bei NIS2 zwischen “besonders wichtigen Einrichtungen” und “wichtigen Einrichtungen” unterschieden.
Ob Ihr Unternehmen von der NIS2-Umsetzung betroffen ist, können Sie beispielsweise mit Hilfe der "NIS2 Betroffenheitsprüfung" vom Bundesamt für Sicherheit in der Informationstechnik (BSI) prüfen.
Achtung: Unternehmen werden nicht automatisch informiert, ob sie betroffen sind. Sie sind verpflichtet, dies eigenständig zu prüfen! Wird eine Betroffenheit festgestellt, besteht eine Registrierungspflicht. Gegebenenfalls kann das BSI eine Betroffenheit anordnen.
Was müssen betroffene Unternehmen tun?
Das NIS2UmsuCG listet erforderliche Maßnahmen unter den Abschnitten “Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten” auf.
Die spezifischen Anforderungen variieren je nachdem, ob ein Unternehmen als “Betreiber kritischer Anlagen”, “besonders wichtige Einrichtung” oder “wichtige Einrichtung” eingestuft wird.
Folgende Pflichten sind für alle betroffenen Unternehmen relevant:
- Risikomanagementmaßnahmen
- Business Continuity Management
- Meldepflichten
- Registrierungspflicht
- Unterrichtungspflichten
- Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter
- Einsatz technischer Maßnahmen wie zum Beispiel Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
Für “Betreiber kritischer Anlagen” gelten zusätzlich spezifische Anforderungen.
Zahlreiche Fragen zu NIS2 beantwortet das BSI in einem Fragenkatalog.
Welche Sanktionen drohen bei Nichtbeachtung?
Außer der Meldepflicht für Vorfälle verschärft NIS2 auch die Sanktionen.
- Sollten die geforderten Vorgaben nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen.
- Aufsichtsbehörden verfügen hierbei über ein Kontroll- und Weisungsrecht mit Fristeinhaltung.
- Zudem existiert eine persönliche Haftung der Geschäftsleiter.
Bei besonders wichtigen Einrichtungen können die Bußgelder bis zu zehn Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist.
Bei wichtigen Einrichtungen ist das maximale Bußgeld auf sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes gedeckelt.
Die NIS2-Richtlinie sieht auch vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der IT-Sicherheitsmaßnahmen mit ihrem Privatvermögen haften. Das Bußgeld kann dabei maximal zwei Prozent des weltweiten Jahresumsatzes betragen.
IHK-Newsletter
Bleiben Sie up to date zum Thema Digitale Wirtschaft! Mit unserem kostenfreien Newsletter informieren wir Sie über aktuelle Themen und Veranstaltungen. Jetzt Rubrik “Digitale Wirtschaft” abonnieren.
Bleiben Sie up to date zum Thema Digitale Wirtschaft! Mit unserem kostenfreien Newsletter informieren wir Sie über aktuelle Themen und Veranstaltungen. Jetzt Rubrik “Digitale Wirtschaft” abonnieren.