Network & Security Cyber-Security NIS2

Bereit für NIS2? Was die neue Richtlinie fordert und wie Sie jetzt handeln sollten

von Nick Hakimi
3 Min. Lesezeit
6. Oktober 2023

Der Countdown läuft: Ab Oktober 2024 wird in Deutschland die von der europäischen Kommission im Dezember 2022 beschlossene erweiterte EU-Richtlinie NIS2 in nationales Recht überführt. Das Ziel: Die Cyber-Resilienz und Gefahrenabwehr kritischer Infrastrukturen sollen europaweit gestärkt werden. Im Vergleich zu KRITIS wird der Kreis der betroffenen Unternehmen damit deutlich ausgeweitet. Was so manchem aktuell noch als Damoklesschwert am Horizont erscheint, eröffnet angesichts von mehr als 200 Milliarden Euro Schaden pro Jahr durch Cyberkriminalität allein in deutschen Unternehmen auch enorme Chancen. Erfahren Sie hier, wie Sie diese Chancen nutzen und Ihre IT-Landschaft schon jetzt fit für die Anforderungen von NIS2 machen.

 

Inhalt

NIS2 - das Wichtigste auf einen Blick
Wer muss die neuen Anforderungen erfüllen
Jetzt handeln und die eigene Cyber-Resilienz stärken

 

NIS2 – das Wichtigste auf einen Blick

NIS2 ist eine Weiterentwicklung bestehender Regelungen zum Schutz der kritischen Netz- und Informationssysteme (NIS) in Europa. Die ursprüngliche Richtlinie stammt von 2016 und wurde in Deutschland mit dem IT-Sicherheitsgesetzes 2.0 umgesetzt. Dieses schreibt Unternehmen, die den Sektoren der kritischen Infrastruktur (KRITIS) angehören sowie Unternehmen von besonderem öffentlichen Interesse (UBI) vor,  Mindestanforderungen an die IT-Sicherheit und Meldepflichten von IT-Sicherheitsvorfällen einzuhalten. Daran wird sich mit Umsetzung von NIS2 im Grundsatz nichts ändern. Allerdings wird der Adressatenkreis deutlich ausgeweitet werden. Für betroffene Unternehmen bedeutet dies:  

  • Hohe Bußgelder bei Verstößen  
    Bei Nichtumsetzung der NIS2-Vorgaben drohen hohe Bußgelder. Die EU sieht Strafen von mindestens 7 Millionen Euro oder 1,4 Prozent des weltweiten Umsatzes vor. Verhängt wird die höhere Strafe, es gilt das Maximumprinzip. Weitere Sanktionen können die Mitgliedstaaten im Zuge der Umsetzung noch definieren – sie müssen wirksam, verhältnismäßig und abschreckend ausfallen. 

  • Persönliche Haftung der Unternehmensverantwortlichen
    NIS2 nimmt das Management betroffener Unternehmen in die persönliche Haftung. Sprich: Werden nach Cyber-Sicherheitsvorfällen Verstöße gegen die Vorgaben von NIS2 festgestellt, haften Geschäftsführer und Vorstände für Schäden mit ihrem eigenen Vermögen. Unter bestimmten Umständen kann das BSI den Verantwortlichen sogar zeitweise die Geschäftsführertätigkeit untersagen.  
     
  • Erhöhte Anforderungen an das Risikomanagement und die IT-Sicherheit
    NIS2-Unternehmen müssen künftig  umfassende technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Netzwerk- und Informationssysteme zu gewährleisten. Dies setzt eine ganzheitliche IT-Sicherheitsstrategie und entsprechende Lösungen voraus: dazu gehören etwa ein Informationssicherheits-Managementsystem (ISMS), Security-Schulungen, sichere Authentifizierungslösungen und KI-basierte Security-Konzepte sowie die ein Security Operation Center (SOC).

  • Verschärfte Meldepflichten und ein optimiertes Incident-Management
    Damit Unternehmen ihre Geschäftstätigkeit nach einem Sicherheitsvorfall zeitnah wieder aufnehmen können, muss ein Business Continuity Management implementiert sein – inklusive geeigneter Backup- und Recovery-Prozesse. Zudem müssen Sicherheitsvorfälle innerhalb von 24 Stunden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Hinzu kommen weitere Berichtspflichten.

  • Neue Kontrollpflichten im Hinblick auf die Lieferketten
    Ob Unternehmen ihren Geschäftstätigkeiten nachgehen können oder nicht, hängt nicht nur von deren eigener IT- und Netzwerk-Sicherheit ab. Entscheidend sind auch die Lieferketten und damit alle wesentlichen Zulieferer. Auch diese können Opfer von Cyber-Kriminalität werden. Um die Risiken zu minimieren, müssen unter NIS2 fallende Unternehmen künftig auch die Netzwerk- und Informationssicherheit ihrer Zulieferer bewerten und von diesen die Einhaltung der Standards verlangen. Durch diese Hintertür wird NIS2 einen noch mal stark erweiterten Kreis von Unternehmen erreichen.

 

Wer muss die neuen Anforderungen erfüllen?

Die neuen Vorgaben richten sich an Unternehmen aus 18 verschiedenen Wirtschaftssektoren! Ob ein Unternehmen unter die neue Richtlinie fällt, hängt zudem von Kriterien wie der Anzahl der Beschäftigten und dem Umsatz ab.  Mehr dazu erfahren Sie hier.

Die Anforderungen von NIS2 werden in Deutschland ab 2014 schätzungsweise bis zu 40.000 Unternehmen erfüllen müssen. Hinzukommen dürften tausende Betriebe, die indirekt betroffen sein werden. Denn NIS2 wird deutlich über den Kreis der direkten Adressaten hinauswirken. Der Grund ist oben bereits angedeutet: NIS2-Unternehmen müssen künftig auch ihre Lieferketten auf die Netzwerk- und IT-Security hin überprüfen und letztere sicherstellen. Dazu werden sie von ihren Lieferanten die Einhaltung vergleichbar hoher Standards verlangen. Sprich: Auch wer als Unternehmen Zulieferer einer solchen Organisation ist, fällt im weiteren Sinne unter die neue EU-Richtlinie und muss die NIS2-Vorgaben erfüllen.  

 

Jetzt handeln und die eigene Cyber-Resilienz stärken

Fakt ist: NIS2 kommt und wird die Netzwerk- und Informationssicherheit der Unternehmen in Europa auf ein höheres Niveau heben. Das sind, angesichts von jährlich allein in Deutschland mehr als 200 Milliarden Euro Schaden durch Cyberkriminalität, gute Nachrichten. Die noch bessere Nachricht für Sie lautet: Wenn Sie nicht warten, bis der Gesetzgeber Fakten geschaffen hat, sondern jetzt handeln, ersparen Sie sich später unnötige Hauruck-Aktionen. Denn auch, wenn die neue Richtlinie national noch nicht verabschiedet ist, sind die geforderten technischen Maßnahmen zur Stärkung der Cyber-Resilienz klar.  

Am besten starten Sie daher noch heute mit der Umsetzung und Integration erforderlicher technischer Lösungen wie etwa einer Multi-Faktor-Authentifizierung. Damit Ihnen dies möglichst effizient und ressourcenschonend – auch im Hinblick auf die Auslastung der eigenen Fachkräfte – gelingt, stehen Ihnen die Expertinnen und Experten von ACP IT Solutions mit ihrer Expertise sowie führenden technischen Lösungen gerne Seite.  

Ihre Vorteile: Indem Sie die NIS2-Anforderungen mit ACP schon heute umsetzen, erhöhen Sie die Cybersicherheit Ihres Unternehmens. Die Umsetzung weckt und stärkt das Vertrauen von Kunden, Partnern und Lieferanten. Dadurch erschließen Sie sich neue Marktpotenziale und Geschäftsmöglichkeiten. Zudem erfüllen Sie mit einer NIS2-konformen IT-Landschaft strengste Compliance-Anforderungen und vermeiden in Zukunft etwaige rechtliche oder finanzielle Konsequenzen. 

Mehr dazu erfahren Sie bei einem persönlichen Beratungsgespräch.

 

Jetzt Beratungsgespräch vereinbaren

ACP IT-Security Day vom 25.01.2024

Aufzeichnung anfordern

Nächster Blogpost
← Teamwork leicht gemacht: Wie Sie die Zusammenarbeit hybrider Teams stärken
Vorheriger Blogpost
New Work leicht gemacht: Mit Sicherheit und effizienter Geräteverwaltung →
IT-Sicherheit im Gesundheitswesen: So wird Ihre Organisation fit für NIS2
Network & Security

IT-Sicherheit im Gesundheitswesen: So wird Ihre Organisation fit für NIS2

28. November 2023 4 Min. Lesezeit
Power-Trio: Wie SIEM, SOC und Incident Response Ihre Resilienz gegen Cyberangriffe erhöhen
ACP Gruppe | IT for Innovators.
Network & Security

Power-Trio: Wie SIEM, SOC und Incident Response Ihre Resilienz gegen Cyberangriffe erhöhen

4. Dezember 2023 5 Min. Lesezeit
Sophos NDR: Die Lösung für Bedrohungserkennung und -reaktion im Netzwerk
ACP Gruppe | IT for Innovators
Network & Security

Sophos NDR: Die Lösung für Bedrohungserkennung und -reaktion im Netzwerk

19. Dezember 2023 4 Min. Lesezeit