Klären Sie zeitnah ab, ob Ihr Unternehmen zu den nach der NIS-2-Directive definierten „wesentlichen“ oder „wichtigen“ Unternehmen zählt und damit in deren Anwendungsbereich fällt. 

Wichtig: Es wird Ihnen keine Behörde mitteilen, ob Ihr Betrieb von der Richtlinie betroffen ist; Sie müssen dies eigenständig anhand uniformer Kriterien beurteilen. Im nächsten Stepp sollten Sie prüfen, ob Ihre vorhandenen IT-Sicherheitsmaßnahmen bereits die geforderten Anforderungen erfüllen oder weitere Schritte notwendig sind, um etwaige Lücken zu schließen.

Bei der Einordnung können nach jetzigem Stand (August 2023) folgende Fragen hilfreich sein:

• Ist mein Unternehmen in einem der betroffenen NIS-2-Sektoren tätig?
• Erreicht mein Unternehmen den definierten Schwellenwert?
• Führt mein Unternehmen eine kritische Tätigkeit aus  oder ist es Bestandteil einer KRITIS-Lieferkette?
• Sind meine Partner, Dienstleister und Kunden NIS-2-konform?  Oder wurden an mein Unternehmen bereits spezifisch definierte Anforderungen aus Geschäfts- und Partnerbeziehungen gestellt?

Machen Sie sich mit den erwarteten NIS-2-Anforderungen vertraut und definieren Sie auf Grundlage dessen etwaige Sicherheitslücken und erforderliche Handlungsmaßnahmen für Ihr Unternehmen. Ist Ihr Unternehmen im Bereich IT-Sicherheit bereits (vermeintlich) gut aufgestellt, kann auch ein sogenannter Penetrationstest ratsam sein, um die Wirksamkeit Ihrer Bemühungen zu bestätigen.

Die Umsetzung der NIS-2-Richtlinie fällt nach aktuellem Stand (August 2023) insbesondere in die Verantwortlichkeit der Geschäftsführung, daher sollte diese sich umfassend mit der europäischen Cyberrichtlinie auseinandersetzen – schließlich sind Sie dafür verantwortlich, dass Ihr Unternehmen die Security-Erfordernisse erfüllt . Verfolgen Sie auch die weiteren Entwicklungen der Richtlinie – bis zur finalen Gesetzgebung können sich Details ändern oder erweitert werden!

Aktuell zeichnet sich ab, dass die NIS-2-Directive ein beschleunigtes Meldeverfahren von IT-Sicherheitsvorfällen für Unternehmen vorsieht. Dies beinhaltet unter anderem die Frühwarnung eines begründeten Verdachts innerhalb von 24 Stunden  (auch an Sonn- und Feiertagen) an die Behörden . Unternehmen müssen künftig in der Lage sein, diesen Meldepflichten nachzukommen und sollten sich bereits jetzt vorbereiten, indem ein adäquates Verfahren eingeführt bzw. bestehende Prozesse dahingehend optimiert werden.

Verpflichtend werden mit NIS 2 voraussichtlich auch Notfallpläne für den Ernstfall, um Ihre Business Continuity zu wahren. Kurzum: Sie müssen sicherstellen, dass Ihr Unternehmen auch im Falle eines Sicherheitsvorfalls handlungsfähig bleibt. Mögliche Handlungsbereiche können hier unter anderem ein geeignetes Backup-Management oder ein zielführendes Krisenmanagement sein, es kann aber auch Ihre eigene Lieferkette betreffen. „Kontinuität“ ist hier das Schlagwort: Die fortlaufende Einhaltung der Richtlinie erfordert ein proaktives und ganzheitliches Sicherheitskonzept – und wird künftig alle zwei Jahre nachgewiesen werden müssen.

Proaktives schnelles Handeln ist entscheidend: Haben Sie auf Basis der bereits bekannten NIS-2-Anforderungen etwaigen Handlungsbedarf in der IT-Sicherheitsstrategie Ihres Unternehmens ermittelt, sollten Sie so bald wie möglich beginnen, diesen zu decken – und dafür ggf. externen Rat einholen sowie IT-Dienstleister ansprechen. Je nach erforderlichen Soft- und Hardwarelösungen zum Schutze Ihrer IT-Security und Einhaltung der NIS-2-Richtlinie können die Implementierungszeiten mehrere Monate bis zu mehreren Jahren in Anspruch nehmen.

Die NIS-2-Richtlinie steht für „The Network and Information Systems“ und ist die Weiterentwicklung der seit 2016 auf EU-Ebene geltenden NIS-Richtlinie.

Die NIS-2-Richtlinie betrifft Unternehmen, die als kritische Infrastrukturen oder digitale Dienstleister agieren. Dazu gehören beispielsweise Unternehmen aus den Bereichen Energie, Gesundheitswesen, Finanzen, Verkehr und digitale Plattformen. Diese Unternehmen müssen sich den Herausforderungen der Richtlinie stellen und geeignete Maßnahmen ergreifen, um ihre Netzwerke und Informationssysteme abzusichern.

Die Umsetzung der NIS-2-Richtlinie erfordert von betroffenen Unternehmen die Implementierung angemessener strenger Sicherheitsmaßnahmen zum Schutz ihrer Netzwerke und Informationssysteme. Dafür müssen klare Vorgaben und Standards eingehalten werden. Dies beinhaltet u.a. die Entwicklung von Sicherheitsrichtlinien, die Einrichtung von Prozessen zur Erkennung und Abwehr von Cyberbedrohungen sowie regelmäßige Schulungen für Mitarbeitende, um das Bewusstsein für Cybersicherheit zu stärken. Die Definition von Prozessen und die richtige Vergabe von Verantwortlichkeiten im Unternehmen sind ebenfalls von großer Bedeutung. Es gilt zu prüfen, ob Sie mit Ihrer vorhandenen IT-Infrastruktur bereits die Voraussetzung erfüllen und welche Schritte darüber hinaus nötig sind, um etwaige Lücken zu schließen.

Die NIS-2-konforme Wirksamkeit von IT-Security-Maßnahmen wird in einem zweijährlichen Rhythmus behördlich geprüft. Darüber hinaus sollen jährliche Penetrationstest Pflicht werden. Auch bislang bestehende KRITIS-Prüfungen blieben zusätzlich bestehen.
 

Mit den erhöhten Anforderungen gehen auch strengere Sanktionen einher: Nach aktuellem Stand der Vorgaben auf EU-Ebene können „wesentliche Einrichtungen“ mit Strafzahlungen von bis zu 10 Mio . Euro oder 2 % des weltweiten Umsatzes und „wichtige Einrichtungen“ mit bis zu 7 Mio. EUR der 1,4% des weltweiten Umsatzes  belegt werden. Welche Strafhöhe Deutschland in der nationalen Rechtsverordnung einsetzt, gilt es abzuwarten. Darüber hinaus können  die Geschäftsführung, Geschäftsleitung oder  Gesellschafter in schwerwiegenden Fällen mit dem Privatvermögen haften.
 

Nein, die Behörden teilen Ihnen nicht mit, ob die NIS-2-Richtlinie auch auf Ihr Unternehmen zutrifft. Sie müssen dies anhand „uniformer Kriterien“ selbst beurteilen.

NIS 2 definiert Betreiber kritischer Infrastrukturen als „wesentliche Unternehmen“, darunter die Sektoren:

• Energie
• Gesundheit
• Trinkwasser
• Abwasser
• Transport
• Bankwesen
• Finanzmärkte
• Öffentliche Verwaltung
• Digitale Infrastruktur
• ICT Service Management
• Weltraum

NIS 2 definiert zudem als „wichtige Unternehmen“ folgende Sektoren:

• Chemie
• Lebensmittel
• Post-/Kurierdienste
• Forschung
• Herstellung
• Abfall(-bewirtschaftung)
• Digitale Dienste

Wichtig: Auch Unternehmen, die Bestandteil der Lieferkette der oben genannten NIS-2-Sektoren sind oder hierfür Dienstleistungen erbringen, können von der EU-Richtlinie betroffen sein!

Ein verbessertes Sicherheitsniveau schützt Ihre Geschäftsprozesse und Kundendaten vor Bedrohungen, stärkt das Vertrauen Ihrer Kunden und verringert das Risiko von Datenverlusten oder Betriebsausfällen. Die Einhaltung der Richtlinie kann Ihnen auch helfen, Ihren Ruf zu wahren und sich als vertrauenswürdiges Unternehmen zu positionieren. Zudem trägt die Einhaltung der Richtlinie dazu bei, mögliche Bußgelder oder rechtliche Konsequenzen zu vermeiden. Nutzen Sie diese Gelegenheit als Chance!
 

Möchten Sie Ihre IT-Sicherheitsstrategie mit wirksamen Maßnahmen rund um Softwarelösungen und Hardware-Komponenten für NIS 2 vorbereiten, kann es sinnvoll sein, einen externen IT-Dienstleister anzusprechen.

Jedes EU-Mitglied muss bis die NIS-2-Richtlinie bis Oktober 2024 in nationales Recht überführen, dabei können einzelne Vorgaben länderspezifisch voneinander abweichen. Sollte Ihr Unternehmen geschäftlich in mehreren EU-Ländern tätig sein, müssen die Vorgaben pro Land geprüft und eingehalten werden.