Blog » IT-Updates mit netgo

NIS-2: Wer ist betroffen von der Richtlinie?

Geschrieben von Lisa Placa | 21.2.24

Das Wichtigste in Kürze:

  • Mit der NIS-2-Richtlinie soll die Sicherheit kritischer Infrastrukturen und digitaler Dienste in der EU erhöht werden, aktuell ist das Gesetz (NIS2UmsuCG bzw. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) noch nicht umgesetzt in Deutschland.
  • Die Richtlinie fordert von Unternehmen aus verschiedenen Sektoren einige Maßnahmen zur Verbesserung der Cybersicherheit, dabei werden wichtige und besonders wichtige Einrichtungen unterschieden.
  • Die umzusetzenden Maßnahmen umfassen Bereiche wie Risikomanagement, Cyber-Sicherheit, Business Continuity, Verschlüsselung und Zutrittskontrollen sowie eine Meldepflicht erheblicher Sicherheitsvorfälle.

NIS-2: Worum geht es?

Die NIS-2-Richtlinie soll die Sicherheit kritischer Infrastrukturen und digitaler Dienste innerhalb der Europäischen Union erhöhen und beinhaltet einige wichtige Verpflichtungen für wesentliche Wirtschaftszweige.
Die Richtlinie zielt weiterhin darauf ab, die Verantwortlichkeit und Haftung für die Sicherheit von Netz- und Informationssystemen zu stärken. Sie soll darüber hinaus sicherstellen, dass Unternehmen – und ihre Führungskräfte – angemessene Maßnahmen zum Schutz dieser Systeme implementieren.

Zum einen beinhaltet die Richtlinie die Verpflichtung zur fristgerechten Meldung schwerwiegender Sicherheitsvorfälle an nationale Behörden. Zum anderen sind die Planung und Umsetzung angemessener Sicherheitsmaßnahmen verpflichtend.
Außerdem soll durch die NIS-2-Richtlinie gewährleistet werden, dass effektive Mechanismen für die Zusammenarbeit eingerichtet werden, die eine Erhöhung der Informationssicherheit ermöglichen. 

Welche Unternehmen und Organisationen sind von NIS-2 betroffen?

Während die ursprüngliche NIS-Richtlinie sich primär an die Betreiber kritischer Infrastrukturen richtete, sind mit NIS-2 viel mehr Unternehmen in der EU betroffen. Die Richtlinie zielt auf mittlere und große Unternehmen aus 18 unterschiedlichen Sektoren ab.

Die genaue Zuordnung hängt von verschiedenen Faktoren ab, darunter die folgenden:

  • Branche: Bestimmte Branchen wie Energie, Transport, Gesundheitswesen oder Finanzdienstleistungen gelten aufgrund ihrer kritischen Infrastruktur als besonders schützenswert.
  • Unternehmensgröße: Unternehmen ab einer bestimmten Anzahl an Mitarbeitenden oder einem bestimmten Umsatz fallen in der Regel unter die NIS-2-Richtlinie.
  • Art der Dienstleistungen: Unternehmen, die digitale Dienste anbieten oder von digitalen Diensten abhängig sind, sind ebenfalls betroffen.

Darüber hinaus wird zwischen wesentlichen ("essential") Einrichtungen mit hoher Kritikalität und wichtigen ("important") Einrichtungen unterschieden. In der nachfolgenden Übersicht werden die Unterschiede zwischen den Einrichtungsarten aufgezeigt.

 

Merkmale wesentlicher Einrichtungen Merkmale wichtiger Einrichtungen
  • mehr als 250 Mitarbeitende 
oder
  • ein jährlicher Umsatz von mindestens 50 Mio. EUR bzw. 43 Mio. EUR Jahresbilanz
  • mindestens 50 Mitarbeitende
oder
  • ein Jahresumsatz ab 10 Mio. EUR
Die wesentlichen Einrichtungen umfassen die folgenden Sektoren:
  • Energie (Strom, Erdgas, Wasserstoff, Fernwärme/Kälte)
  • Transport (Luft-, Schienen-, Straßenverkehr und Schifffahrt)
  • Bankwesen
  • Finanzmarktinfrastrukturen wie Börsen oder Abwicklungssysteme
  • Gesundheitswesen
  • Trinkwasserversorgung und -verteilung
  • Abwasserentsorgung
  • Digitale Infrastruktur, z. B. Rechenzentren
  • IT-Service-Management
  • Öffentliche Verwaltung
  • Weltraum (Bodeninfrastruktur)

Darüber hinaus umfassen die wichtigen Einrichtungen alle Sektoren der wesentlichen Einrichtungen sowie die folgenden:

  • Post- und Kurierdienstanbieter
  • Abfallwirtschaft
  • Industrie und Herstellung, z. B. Maschinenbau, Pharmazeutika oder Chemikalien
  • Lebensmittelproduktion und -verarbeitung und Großhandel
  • Chemikalien
  • Forschungsinstitute
  • Anbieter digitaler Dienste (z. B. Online-Marktplätze oder Suchmaschinen)

Welche konkreten Anforderungen stellt NIS-2 an betroffene Unternehmen?

Von der NIS-2-Richtlinie betroffene Unternehmen müssen einige Maßnahmen hinsichtlich der Informationssicherheit umsetzen. Hier ist vor allem das Einrichten von Risiko- und Notfallmanagement ein fundamentaler Bestandteil. Außerdem sollen Unternehmen angemessene Sicherheitstechnologien einsetzen. 

Die zeitnahe Meldepflicht von schwerwiegenden Sicherheitsvorfällen an nationale Behörden ist außerdem ein zentrales Element der Richtlinie. Die NIS-2-Richtlinie differenziert zwischen wesentlichen und wichtigen Einrichtungen. Die Anforderungen sollen dazu dienen, die Sicherheit kritischer Infrastrukturen und digitaler Dienste zu sichern. 

Die NIS-2-Anforderungen sehen folgende Aspekte vor: 
  • Risikomanagement und Sicherheitsvorkehrungen: Es werden Maßnahmen zur Minimierung der Auswirkungen von Sicherheitsvorfällen gefordert, z. B. durch Cyber-Risikomanagement, Business Continuity Management, Verschlüsselung und Zugriffskontrollen. 
  • Meldung von schwerwiegenden Sicherheitsvorfällen: Schwerwiegende Sicherheitsvorfälle müssen zeitnah und umfassend den nationalen Behörden gemeldet werden. Angemessene Maßnahmen müssen ergriffen werden, um zu reagieren. 
  • Kontinuierliche Überprüfung und Aktualisierung: Eine kontinuierliche Überprüfung der Maßnahmen muss erfolgen, um eventuell notwendige Aktualisierungen vorzunehmen. Das Sicherheitsniveau sollte stets auf dem neusten Stand der Technik sein. 
  • Zusammenarbeit mit Behörden: Durch eine effektive Zusammenarbeit und einen produktiven Austausch zwischen den Mitgliedsstaaten soll die Cybersicherheit erhöht werden, z. B. durch Kooperations-Gruppen mit Vertretern der nationalen Behörden für Cybersicherheit der Mitgliedstaaten. 

Die NIS-2-Richtlinie sollte ursprünglich bis 17. Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht überführt werden. Durch die Verzögerung in der Umsetzung wird das NIS2UmsuCG in Deutschland voraussichtlich erst im Frühjahr 2025 in Kraft treten. 

Welche Sanktionen drohen bei Nichtbeachtung von NIS-2?

Sofern Unternehmen gegen die NIS-2-Anforderungen verstoßen und wichtige Maßnahmen nicht ergreifen, werden entsprechend Sanktionen von den Mitgliedsstaaten verhängt. Für "wesentliche" Einrichtungen sind dabei höhere Geldstrafen vorgesehen als für "wichtige Einrichtungen". 

Die Haftungsfrage wurde in der NIS-2-Richtlinie im Gegensatz zur originalen NIS-Richtlinie weiter verschärft. Gemäß der NIS2-Richtlinie können Mitgliedstaaten angemessene Sanktionen gegen Unternehmen verhängen, die gegen die Bestimmungen der Richtlinie verstoßen. 

Die Besonderheit daran: Dies kann auch die Haftung der Leitungsebene oder der verantwortlichen Führungskräfte einschließen. Somit können in einigen Fällen Geldstrafen oder andere administrative Sanktionen gegen Unternehmen oder bestimmte Führungskräfte verhängt werden, um sicherzustellen, dass Verstöße gegen die Cybersicherheitsbestimmungen angemessen geahndet werden. Die Obergrenze der Haftung soll sich auf bis zu 2% des globalen jährlichen Umsatzes eines Unternehmens belaufen.

 

Wie sollten von NIS-2 betroffene Unternehmen nun vorgehen?

Die NIS-2-Richtlinie sorgt für reichlich Gesprächsstoff in den verschiedenen Sektoren und teilweise auch zu Unsicherheiten. Viele Unternehmen und insbesondere die Leitungsebenen müssen zunächst prüfen, ob und inwiefern sie von NIS-2 betroffen sind und inwiefern die gesetzlichen Anforderungen auf sie zutreffen. Unser kostenloser NIS-2-Self-Checkunterstützt Sie bei der Frage, in welche Kategorie Ihr Unternehmen fällt. 

Im Anschluss an den NIS-2-Self-Check empfehlen wir Ihnen eineInitialberatung zu NIS-2, um die weiteren Schritte festzulegen. 

Unser kompetentes Team aus Sicherheitsexperten der netgo und sila consulting steht Ihnen jederzeit gerne zur Seite.  
Vollständigen Beitrag anzeigen