72379 Hechingen
wind-sind-das-internet.jpeg
Ganzheitliche Betrachtung
bringt mehr Sicherheit
wind-sind-das-internet.jpeg
Wir sorgen für maximalen
Schutz für Ihr Netzwerk!
previous arrow
next arrow

NIS2: Ist Ihr Unternehmen betroffen?

Das müssen Sie jetzt wissen

Die neue EU-Richtline NIS2, auch als Cybersicherheitsstärkungsgesetz bekannt (NIS-2UmsuCG), erfordert dringendes Handeln der Unternehmen. Denn dadurch sind viele Unternehmen jetzt betroffen und die Zeit ist denkbar knapp!

Auch wenn das Gesetz erst 2024 in nationales Recht überführt sein muss - was für unsere Politiker schon eine sportliche Aufgabe ist - gibt es viele Probleme und Anforderungen zu lösen. Das ist nicht nur zeitaufwändig, sondern auch finanziell für viele Unternehmen eine Herausforderung.

Nicht zuletzt muss festgelegt werden, was muss alles umgesetzt werden, wer zuständig ist und wer kontrolliert und überwacht diese Vorgaben im Betrieb, wer macht die jährlichen Meldungen an das BSI.

Derzeit sind sich auch nur wenige Unternehmer bewusst, in welcher Situation sie sich befinden und dass sie hier dringenden Handlungsbedarf haben. Viele wird die Richtline völlig unvorbereitet treffen!

So verläuft der Zeitplan für die NIS2 Richtlinie:

27.12.2022

EU beschließt NIS2-Richtlinie

Die Minister der europäischen Union haben die erweiterte NIS2 Richtlinie verabschiedet

27.12.2022

16.01.2023

NIS2 Richtlinie tritt in Kraft

Durch die Veröffentlichung im Amtsblatt tritt die Richtline in Kraft. Jetzt müssen die EU-Mitgliedstaaten diese Richtline in nationales Recht überführen.

24.07.2024

Annahme des Gesetzentwurfs

Beginn des Gesetzgebungsverfahrene.

24.07.2024

17.10.2024

NIS2 muss in nationales Recht überführt sein

Der deutsche Gesetzgeber muss bis 17. Oktober 2024 die Richtline als nationales Gesetz verabschieden. Nach aktuellem Wissenstand soll es keine Übergangsfristen geben und Betriebe sind ab dem 18. Oktober verpflichtet, die Vorgaben einzuhalten.

18.10.2024

NIS2 ist verpflichtend für betroffene Unternehmen gültig

Ab dem 18.10.2024 ist die NIS2 Richtline ohne Übergangsfrist verpflichtend gültig, für alle Unternehmen, die davon betroffen sind.

18.10.2024

Die NIS2 Richtlinien müssen zum Oktober 2024 in nationales Recht überführt werden.

Zeit bis zum nationalen Gesetz:

Netzwerk- Informationssicherheit durch NIS2:

NIS2 EU Richtlinie

NIS2 ab 18.10.2024

Die EU-Richtlinie NIS2 soll am 17.10.2024 in nationales Recht umgesetzt werden. Damit gilt:

  • Registrierungspflicht bei nationaler Behörde

  • Meldung von Sicherheitsvorfällen

  • Einhaltung von Sicherheitsanforderungen

  • Regelmäßiger NAchweis (Compliance) durch Zertifizierung/Audit

Cybersicherheits-Maßnahmen

Sicherheitsmaßnahmen

Für die Umsetzung der Richtlinie müssen entsprechende Cybersicherheitsmaßnahmen umgesetzt werden:

  • Aufsetzen von Richtlinien

  • Fall-Management

  • Geschäftskontinuität

  • Mitarbeitertraining

  • Sicherung der Vermögenswerte

  • Pflicht für Reporting

Meldepflichten Sicherheitsvorfälle

Meldepflichten

Es gelten strenge Vorschriften für die Meldung von Sicherheitsvorfällen:

  • Melden eines Vorfalls: 24 Std.

  • Erster Bericht mit Angaben zum Vorfall: 72 Std.

  • Abschlussbericht: 1 Monat

Meldepflichten Sicherheitsvorfälle

Strafen

Werden Verstöße festgestellt, können empflindliche Strafen drohen - auch mit persönlicher Haftung der Geschäftsführer:

  • Geschäftsführung haftet persönlich

  • Hohe Bußgelder mit bis zu 10 Millionen EUR oder 2% des Jahresumsatzes (weltweit!)

Betroffene Unternehmen nach Umsatz und Anzahl Mitarbeiter

Unternehmensgröße

Anzahl der Mitarbeiter


Umsatz


Bilanz

Mittel
50-249
oder
< 50 Mio. €
und

< 43 Mio. €

Groß
ab 250
oder
> 50 Mio. €

und

> 43 Mio. €

Betroffene Branchen/Kategorien: seit NIS1 KRITIS

Energie

Fiinanzmarkt

Trinkwasser

Digitale Infrastruktur/Netze

Anbieter digitaler Dienste

Gesundheit

Verkehr

Ernährung

Seit NIS2 zusätzlich

Forschung

Bankwesen

Weltraum

Öffentliche Verwaltung

Abfall

Post- und Kurierdienste

Abwasser

Verwalter ITK-Dienste

Chemie

Industrie/Produktion

Das Wichtigste in Kurzform:

Was ist NIS2?

Von der bisherigen Regelung zur Cyber- und Informationssicherheit waren bisher nur Unternehmen und Institutionen im KRITIS-Bereich betroffen.

Mit NIS2 (Network and Information Security Directive) werden die Cybersicherheitsanforderungen und Sanktionen nochmals deutlich verschärft und gelten durch die neuen Vorgaben nahezu für alle (auch nicht-KRITIS) Unternehmen.

In Deutschland wurde bereits ein erster Entwurf dazu vorgelegt und ist als Cybersicherheitsstärkungsgesetz bekannt (NIS-2UmsuCG). Dieses Gesetz muss bis Oktober 2024 in nationales Recht umgesetzt werden.

Wer ist betroffen?

Das erste Kriterium, ob man von NIS-2 betroffen ist, hängt von der Betiebsgrösse und dem Umsatz ab:

  1. Unternehmen ab 50 Mitarbeitern
    und einem Jahresumsatz zwischen 10-50 Millionen Euro und einer Jahresbilanzsumme zwischen 10-43 Millionen Euro.

  2. Unternehmen ab 250 Mitarbeitern
    und einem Jahresumsatz ab 50 Milliionen Euro, oder eines Jahresbilanzsumme von mehr als 43 Millionen Euro.

Das zweite Kriterium ist der Untenehmensektor. Dazu gibt es 18 Sektoren, die das zweite ausschlaggebende Kriterium, zusätzlich zur Unternehmensgröße vorgaben.

Wenn beide Kriterien zutreffen, trifft die NIS-2 Richtlinie für Ihr Unternehmen zu.

Aber es gibt dazu auch einige Ausnahmen, unabhängig von der Unternehmensgrösse (Siehe nächster Punkt)

Wann gilt NIS2 unabhängig von der Unternehmensgröße?

Leider ist die Einstufung nach NIS2 nicht so einfach.

Neben der Unternehmensgröße und den Sektoren gibt es einige Sektoren, die auch Unternehmen erfassen, die weniger als 50 Mitarbeiter haben.

Beschrieben werden dies als "kritische Tätigkeiten" mit Auswirkungen auf die öffentlich Ordnung oder Systemrisiken bestehen. Auch bei grenzüberschreitenden Auswirkungen bei einem Ausfall der Systeme gilbt NIS2 unabhängig von der Unternehmensgrösse.

Wer ist von NIS2 befreit?

Die Bereiche und Verteidigung, nationale Sicherheit, öffentliche Sicherheit und Strafverfolgung sind nicht von NIS2 betroffen. Justiz, Parlamente und Zentralbanken sind ebenso ausgenommen.

Im nationalen Recht können aber diese Einrichtung per Gesetz wieder von NIS2 betroffen sein.

Ab wann ist das Gesetz rechtskräftig?

Das Gesetz wurde von der EU am 27.12.2022 beschlossen und trat am 16.01.2023 in Kraft.

Gemäß den EU-Vorgaben müssen die Länder dieses Gesetzt zum 17. Oktober 2024 in nationales Recht überführt haben.

Nach derzeitigem Kenntnisstand soll es keine Übergangsfristen geben und Betriebe sind ab dem 18.10.2024 verpflichtet, die Vorgaben einzuhalten.

Da die Umsetzung nicht nur finanziell anspruchsvoll ist, sondern auch enorme Aufwände bei der IT bedeuten, ist die Zeit schon jetzt denkbar knapp - und das obwohl die genauen gesetzlichen Vorgaben noch nicht vorhanden sind. Es existiert lediglich ein grober Rahmen, den es zu erfüllen gibt.

Was ist, wenn ich einfach nichts mache? Welche Strafen und Sanktionen gibt es?

Die Höhe der Strafen ist von der Einstufung "wichtig" oder "besonders wichtig" abhängig. Es wird nicht zwischen KRITIS oder Wichtigen Anlagen unterschieden.

 

Bußgeldrahmen für "wichtige Einrichtungen"

  • Bis zu 7 Millionen Euro oder ein Höchstbetrag von mindestens 1,4% des Umsatzes aus dem Vorjahr

 

Busgeldrahmen für "besonders Wichtige Einrichtungen"

  • Bis zu 10 Millionen Euro, oder mindestens 2% des Umsatzes aus dem Vorjahr

Um diesen Sanktionen zu entgehen, sollte jedes Unternehmen sicher sein, ob Sie die gesetzlichen Vorgaben erfüllen, bzw. ob Sie betroffen sind.

Wer haftet bei fehlender Umsetzung?

Bei einem erfolgreichen Cyberangriff durch mangelnde Sicherheitsmaßnahmen und/oder fehlendem Risikomanagement und Überwachung, unter den Gesichtspunkten des Cybersicherheitsgesetzes NIS-2, haften sowohl die Geschäftsleitung, wie auch der Geschäftsleiter:

Haftung für die Geschäftsleitung

  • Kosten für Forensik und externe Dienstleister

  • Zahlungen von Lösegeld

  • Zahlung Bußgelder

Haftung für die Geschäftsleiter

  • für den entstandenen Schaden

    Ein Verzicht der Geschäftsleitung gegenüber dem Geschäftsleiter ist unwirksam.
    Außer bei Zahlungsunfähigkeit des Geschäftsleiters kann ein Vergleich mit den Gläubigern erfolgen.

Wozu ist NIS2 gut?

Aufgrund der hohen Schäden in Milliardenhöhe sollen die Unternehmen durch die Einführung eines einheitlich, hohen Schutzniveaus in der EU besser geschützt werden!

Wir erfahren leider täglich, dass viele Unternehmen den Ernst der Lage nicht erkannt haben.

Derzeit soll es keine Übergangsfristen geben.

Es ist auch tatsächlich eine sportliche Herausforderung für unsere Politik, das Gesetzt wirklich bis Oktober 2024 zu verabschieden. Das würde bedeuten, dass praktisch keine Zeit bleibt, die final festgelegten Rahmenbedingunen nach nationalem Recht umzusetzen.

Es bleibt zu hoffen, dass den Unternehmen dann doch eine Übergangsfrist zugestanden wird.

Wer kontrolliert eigentlich, ob ich die Vorgaben von NIS2 umgesetzt habe?

Eine direkte Kontrolle gibt es nicht. Jedoch sieht das Gesetzt vor, dass die betroffenen Unternehmen selbstständig einmal jährlich die Meldung beim BSI abgeben, dass die Vorgaben umgesetzt werden.

Solange es keinen erfolgreichen Cyberangriff auf das Unternehmen gibt, ist wohl nur wenig zu befürchten.

Kommt es aber zu einem Vorfall, dann haben Sie nicht nur den Schaden durch die Hacker, sondern zahlen obendrauf noch eine empfindliche Strafe. Zudem haften Sie sowohl als Geschäftsleitung, wie auch als Geschäftsleiter für die Schäden und Sanktionen.

Da sollten Sie es sich gut überlegen, ob Sie eine solche gesetzliche Vorgabe ignorieren können.

Welche Vorteile kann NIS2 für Unternehmen haben?

Auch wenn NIS2 für einige Unternehmen eine ziemliche Herausforderung ist, darf man die Intension des Gesetzes nicht außer Acht lassen.

Zuviele Unternehmen haben sich bisher nur wenig oder überhaupt nicht um die Sicherheit der IT-Infrastruktur gekümmert und sind damit ein zusätzliches Risiko für alle anderen Netze.

Mit der Richtlinie werden jetzt alle Unternehmen der genannten Gruppen dazu "gezwungen", sich um die eigene IT-Sicherheit zu kümmern.

Was müssen Unternehmen jetzt tun?

Betroffenheit ermitteln

Prüfen Sie anhand der Regelungen für die Einstufung von Unternehmen, ob Sie zu den betroffenen Unternehmen gehören.

Dabei gilt es auch, die Kategorien für betroffene Unternehmen genau zu untersuchen!

Schutzstatus prüfen

Gleichen Sie die bestehenden Maßnahmen mit den neuen Auflagen aus der NIS2 Richtlinie ab und legen Sie fest, welche Punkte noch offen sind.

Klären Sie dann die Verantwortlichkeit im Unternehmen oder beauftragen externe Dienstleister.

Schutzniveau anpassen

Umsetzen der offenen Punkte aus der Prüfung des bestehenden Schutzstatus und den zusätzlichen Anforderungen nach NIS2.

Verantwortlichkeiten definieren, Überwachung und Meldeverfahren festlegen.

Gehört Ihr Unternehmen zu einer der beiden Gruppen?

Der Gesetzgeber unterscheidet zwischen "Besonders wichtigen Einrichtung" mit hoher Kritikalität und "wichtigen Einrichtungen" mit sonstiger Kritikalität.

Besonders wichtige Einrichtungen

„Kritische Infrastrukturen“ Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der wirtschaftlichen Tätigkeit, der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.



  • Ein Großunternehmen, das einer der durch Rechtsverordnung nach § 15 bestimmten Einrichtungsarten der Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten (Business-to-Business) oder Weltraum zuzuordnen ist,

  • Ein qualifizierter Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter, jeweils unabhängig von der Unternehmensgröße,

  • Ein mittleres Unternehmen, das Anbieter von Telekommunikationsdiensten oder öffentlich zugänglichen Telekommunikationsnetzen ist

  • Ein Betreiber kritischer Anlagen

  • Eine Einrichtung, die gemäß Rechtsverordnung nach § 15 dem Teilsektor Zentralregierung des Sektors öffentliche Verwaltung angehört, - 7 - Bearbeitungsstand: 25.07.2023 17:45 ausgenommen Einrichtungen, die gemäß Artikel 2 Absatz 4 der Verordnung (EU) 2022/2554 von deren Anwendungsbereich ausgenommen wurden sowie solche, die als Finanzunternehmen gemäß Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 vergleichbaren Anforderungen unterliegen, wie sie dieser Teil für besonders wichtige Einrichtungen vorsieht.

Wichtige Einrichtungen

Ein Unternehmen das keine besonders wichtige Einrichtung ist, sowie ausgenommen Einrichtungen, die gemäß Artikel 2 Absatz 4 der Verordnung (EU) 2022/2554 von deren Anwendungsbereich ausgenommen wurden sowie solche, die als Finanzunternehmen gemäß Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 vergleichbaren Anforderungen unterliegen, wie sie dieser Teil für besonders wichtige Einrichtungen vorsieht.

  • Ein mittleres Unternehmen, das einer der durch Rechtsverordnung nach § 15 bestimmten Einrichtungsarten der Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten (Business-to- Business) oder Weltraum zuzuordnen ist,

  • Ein mittleres Unternehmen oder Großunternehmen, das einer der durch Rechtsverordnung nach § 15 bestimmten Einrichtungsarten der Sektoren Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, Anbieter digitaler Dienste oder Forschung zuzuordnen ist,

  • Wer Güter im Sinne des Teils B der Kriegswaffenliste herstellt oder entwickelt oder vom Bundesamt zugelassene Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentliche Komponenten solcher Produkte herstellt

  • wer Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung oder nach § 1 Absatz 2 der Störfall-Verordnung einem solchen gleichgestellt ist

  • Eine Einrichtung, die gemäß Rechtsverordnung nach § 15 dem Teilsektor Zentralregierung des Sektors öffentliche Verwaltung angehört, - 7 - Bearbeitungsstand: 25.07.2023 17:45 ausgenommen Einrichtungen, die gemäß Artikel 2 Absatz 4 der Verordnung (EU) 2022/2554 von deren Anwendungsbereich ausgenommen wurden sowie solche, die als Finanzunternehmen gemäß Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 vergleichbaren Anforderungen unterliegen, wie sie dieser Teil für besonders wichtige Einrichtungen vorsieht.

Welche technischen Vorgaben ergeben sich aus der NIS2 Richtline?

Durch die Cybersicherheitsvorgaben müssen folgende Bereiche überprüft und ggf. angepasst werden, um ein höheres Schutzniveau zu erreichen:

  • Umsetzung von Sicherheitsrichtlinien wie Netzwerk-Segmentierung oder Multifaktor Authentifizierung

  • Incident-Management

  • Trainings: Regelmäßige Mitarbeiter Schulungen CyberSecurity

  • Regelmäßige Sicherheitsscans intern und extern

  • Supply Chain/Sicherer Einkauf, Lieferkettengesetz

  • Zugangs-/Zutrittskontrolle

  • Anmeldung/Registrierung beim BSI für die jährliche Meldung

  • Handbuch/Dokumentation

  • Krisen-/Notfall-Management

  • Einführung eines Risikomanagements

  • Einführung einer Überwachungs- und Kontrollinstanz mit Meldeverfahren

  • und vieles mehr

Wir empfehlen jedem, sich rechtzeitig mit diesem Thema auseinanderzusetzen. Denn die Zeit ist knapp und die Anforderungen hoch.

Bei Fragen können Sie uns gerne kontaktieren.

Wir übernehmen keine Gewähr für die Vollständigkeit bzw. Richtigkeit der Angaben. Die Richtline ist derzeit auch noch nicht in nationales Recht überführt und es können sich danach noch Änderungen ergeben!

Möchten Sie weitere Informationen zu NIS2 erhalten? Dann kontaktieren Sie uns:

Bitte alle Pflichtfelder ausfüllen!
Bitte alle Pflichtfelder ausfüllen!
Bitte alle Pflichtfelder ausfüllen!
Bitte alle Pflichtfelder ausfüllen!
Bitte alle Pflichtfelder ausfüllen!
Bitte alle Pflichtfelder ausfüllen!