Die NIS-2-Richtlinie: Ein umfassender Blick auf die "DSGVO 2.0"

Die digitale Transformation schreitet unaufhaltsam voran und mit ihr die Bedrohung durch Cyberangriffe. Um dieser wachsenden Gefahr zu begegnen, hat die Europäische Union die NIS-2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union) verabschiedet. Diese Richtlinie, die häufig als "DSGVO 2.0" bezeichnet wird, stellt Unternehmen und Organisationen vor neue Herausforderungen im Bereich der IT-Sicherheit.

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie ist eine Weiterentwicklung der ersten NIS-Richtlinie aus dem Jahr 2016 und zielt darauf ab, ein höheres Maß an Cybersicherheit in der gesamten EU zu gewährleisten. Sie erweitert den Anwendungsbereich der ursprünglichen Richtlinie erheblich und erfasst nun eine größere Anzahl von Sektoren und Unternehmen. Zu den zentralen Neuerungen gehören:

• Ausweitung des Anwendungsbereichs: Neben den bereits unter die NIS-Richtlinie fallenden kritischen Infrastrukturen (KRITIS) erfasst die NIS-2-Richtlinie nun auch weitere Sektoren wie die Abfallwirtschaft, die Lebensmittelindustrie und den Gesundheitssektor.
• Verschärfte Sicherheitsanforderungen: Die Richtlinie schreibt strengere Vorgaben für das Risikomanagement, die Meldung von Sicherheitsvorfällen und die Zusammenarbeit zwischen den Mitgliedstaaten vor.
• Höhere Strafen bei Verstößen: Bei Verstößen gegen die NIS-2-Richtlinie drohen Unternehmen empfindliche Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Welche Unternehmen sind betroffen?

Die NIS-2-Richtlinie betrifft eine breite Palette von Unternehmen und Organisationen, die in zwei Kategorien eingeteilt werden:

1. Besonders wichtige Einrichtungen

Zu dieser Kategorie gehören Unternehmen, die in Sektoren von entscheidender Bedeutung für das Gemeinwohl tätig sind, z. B. Energie, Verkehr, Wasserversorgung, Gesundheitswesen und digitale Infrastruktur. Die Einstufung als "besonders wichtige Einrichtung" erfolgt anhand von Kriterien wie der Größe des Unternehmens, der Bedeutung der erbrachten Dienstleistungen und der potenziellen Auswirkungen eines Sicherheitsvorfalls.

2. Wichtige Einrichtungen

Diese Kategorie umfasst Unternehmen, die zwar nicht in Sektoren von kritischer Bedeutung tätig sind, deren Ausfall oder Beeinträchtigung jedoch erhebliche Auswirkungen auf die Wirtschaft oder die Gesellschaft haben könnte. Dazu gehören beispielsweise Unternehmen aus den Bereichen Lebensmittelproduktion, Chemieindustrie und Post- und Kurierdienste.

Welche Herausforderungen ergeben sich für Unternehmen?

Die Umsetzung der NIS-2-Richtlinie stellt Unternehmen vor eine Reihe von Herausforderungen:

• Komplexität der Anforderungen: Die Richtlinie ist komplex und erfordert ein tiefes Verständnis der technischen und organisatorischen Sicherheitsmaßnahmen.
• Hoher Implementierungsaufwand: Die Implementierung der erforderlichen Sicherheitsmaßnahmen kann mit einem erheblichen Zeit- und Kostenaufwand verbunden sein.
• Mangel an Fachkräften: Der Mangel an qualifizierten IT-Sicherheitsexperten erschwert die Umsetzung der NIS-2-Richtlinie zusätzlich.

Wie können sich Unternehmen vorbereiten?

Um die Anforderungen der NIS-2-Richtlinie zu erfüllen, sollten Unternehmen folgende Schritte unternehmen:

• Betroffenheitsanalyse: Unternehmen sollten zunächst prüfen, ob sie unter die NIS-2-Richtlinie fallen und welche Anforderungen für sie relevant sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet hierzu eine kostenlose Online-Prüfung an.
• Risikoanalyse: Unternehmen müssen eine umfassende Risikoanalyse durchführen, um potenzielle Bedrohungen und Schwachstellen zu identifizieren.
• Implementierung von Sicherheitsmaßnahmen: Auf Grundlage der Risikoanalyse müssen Unternehmen geeignete technische und organisatorische Sicherheitsmaßnahmen implementieren, um die identifizierten Risiken zu minimieren.
• Schulung von Mitarbeitern: Mitarbeiter müssen für das Thema IT-Sicherheit sensibilisiert und geschult werden, um Sicherheitsvorfälle zu vermeiden.
• Meldung von Sicherheitsvorfällen: Unternehmen sind verpflichtet, Sicherheitsvorfälle an die zuständige Behörde zu melden. Die Meldepflichten sind in der NIS-2-Richtlinie detailliert geregelt.

Fazit

Die NIS-2-Richtlinie ist ein wichtiger Schritt zur Stärkung der Cybersicherheit in der EU. Unternehmen und Organisationen, die unter die Richtlinie fallen, müssen die neuen Anforderungen ernst nehmen und rechtzeitig mit der Umsetzung beginnen. Nur so können sie sich vor den wachsenden Bedrohungen durch Cyberangriffe schützen und ihre Geschäftsprozesse sicherstellen.

Quellen:

• https://www.faz.net/aktuell/wirtschaft/unternehmen/neue-richtlinie-nis-2-jetzt-kommt-die-dsgvo-2-0-110050675.html
• https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-Richtlinien/nis-richtlinie_node.html
• https://www.pwc.de/de/cyber-security/europaeische-nis-2-richtlinie-implikationen-fuer-unternehmen-und-institutionen.html
• https://www.berater-der-zeitarbeit.de/news/pressespiegel/2305-jetzt-kommt-die-dsgvo-2-0
• https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html
• https://www.secjur.com/blog/fur-wen-gilt-nis2
• https://www.noerr.com/de/insights/nis2-richtlinie-neue-entwurfe-von-umsetzungsrechtsakten-veroffentlicht
• https://www.ihk-muenchen.de/de/Service/Digitalisierung/Informationssicherheit/NIS-2-Kritis/