Nach der offiziellen Veröffentlichung Ende 2022 haben die EU-Mitgliedstaaten 21 Monate Zeit – also bis zum 17.10.2024 – um die Vorgaben der Richtlinie in der nationalen Gesetzgebung konkret umzusetzen. Cyber Security muss für Unternehmen höchste Priorität haben. Im eigenen Interesse, aber auch aufgrund der Ausweitung der gesetzlichen Anforderungen ab 2024.
Worum geht es?
NIS 2 ist der Nachfolger von NIS 1. Das Gesetz zur Umsetzung der ersten Richtlinie für Netz- und Informationssicherheit gilt seit 2017 in Deutschland. Es beschreibt bestimmte IT-Sicherheitsanforderungen, Mindeststandards und Meldepflichten, die Betreiber sogenannter kritischer Infrastrukturen einhalten müssen.
Dazu gehören unter anderem Einrichtungen aus den Bereichen
- Energie- und Wasserversorger,
- Abfallwirtschaft,
- Maschinenbau und Produktion,
- Herstellung und Handel mit chemischen Stoffen,
- Finanz- und Versicherungswesen,
- Gesundheitswesen,
- Öffentliche Verwaltung,
- Verwaltung von IKT-Diensten,
- Digitale Infrastruktur und Digitale Dienste,
- Weltraum,
- öffentlicher Nahverkehr,
- Apotheken,
- Forschungseinrichtungen.
Wen betrifft NIS 2?
Während NIS 1 für gut 4.000 große Unternehmen gilt, gehen Rechtskreise davon aus, dass mit NIS 2 rund 30.000 weitere Unternehmen in Deutschland die neuen IT-Sicherheitsanforderungen erfüllen müssen.
Zum einen werden die Branchen weiter gefasst, so dass künftig beispielsweise auch Post- und Kurierdienste, Produzenten chemischer Stoffe, Maschinenbauer oder Anbieter digitaler Dienste betroffen sind. Zum anderen gilt NIS 2 bereits für Unternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Millionen Euro.
Welche neuen Pflichten entstehen?
Im Wesentlichen erlegt die EU den Unternehmen zwei wesentliche Pflichten auf. Erstens werden Maßnahmen zum Risikomanagement gefordert. Unternehmen müssen Konzepte entwickeln, um Cyber-Angriffe zu vermeiden oder im Falle eines Falles einen Notbetrieb aufrechtzuerhalten und so schnell wie möglich wieder arbeitsfähig zu sein.
Zweitens müssen sie einen Prozess etablieren, um Vorfälle zuverlässig an die zuständigen Aufsichtsbehörden zu melden.
Was können Unternehmen vorbereiten?
Mit dem Gesetz wird ein ausgewogenes Verhältnis zwischen regulatorischen Eingriffen auf der einen und der Stärkung der Cyber-Resilienz auf der anderen Seite geschaffen. Unternehmen sollten jetzt beginnen ihre Cyber-Abwehr durch Risikobewertung und Schwachstellenbehebung, z. B. durch Schutz von Konten mit Multi-Faktor-Authentifizierung, Backups usw. zu verbessern.
Lesen Sie auch unseren Blockartikel: Synergien zwischen DORA und DSGVO: Ein umfassender Ansatz zur Datensicherheit.
https://www.adorgasolutions.de/synergien-zwischen-dora-und-dsgvo-ein-umfassender-ansatz-zur-datensicherheit/
Quelle und weitere Informationen – Bundesamt für Sicherheit und Informationstechnik (BSI): https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-Richtlinien/nis-richtlinie_node.html
Bearbeitungsstand Referentenentwurf des BMI vom 07.05.2024: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/CI1/NIS-2-RefE.pdf?__blob=publicationFile&v=3
Haben Sie Fragen zu diesem und anderen Themen? Wir stehen Ihnen selbstverständlich gerne zur Verfügung – per E-Mail consulting@adorgasolutions.de oder telefonisch unter 0173 8198864.
