Mit dem Inkrafttreten des neuen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes am 18. Oktober 2024 verfolgt die Europäische Union das Ziel, das Cybersicherheitsniveau in allen Mitgliedstaaten zu vereinheitlichen und zu stärken. Das Gesetz ist ein wesentlicher Schritt in der europäischen Cybersicherheitsstrategie und stellt erhöhte Anforderungen an Unternehmen verschiedener Branchen.
Was genau ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie, die bereits seit Januar 2023 in Kraft ist, spielt eine entscheidende Rolle in der europäischen Sicherheitslandschaft. Sie erfordert von den EU-Mitgliedstaaten, die Richtlinien bis zum 17. Oktober 2024 vollständig umzusetzen. In Deutschland wird erwartet, dass der entsprechende Gesetzesentwurf im April 2024 endgültig verabschiedet wird. Unternehmen, die unter diese Richtlinie fallen, müssen sich verstärkt mit Cyber-Risikomanagement, Incident Response und Business Continuity befassen. Neu ist auch die Ausweitung der Kategorien der betroffenen Organisationen sowie verschärfte Haftungsregeln für das Management.
Wer ist betroffen?
Die NIS-2-Richtlinie erweitert den Kreis der betroffenen Organisationen deutlich. Es wird zwischen besonders wichtigen und wichtigen Einrichtungen unterschieden, wobei besondere Kriterien wie Mitarbeiterzahl, Jahresumsatz und Bilanzsumme eine Rolle spielen. Die Anforderungen betreffen sowohl Organisationen, die bereits unter bestehende Regelungen wie die BSI-Kritisverordnung fallen, als auch solche in neuen Sektoren.
Anforderungen und Implementierung
Unternehmen müssen wirksame Maßnahmen zur Sicherung ihrer IT-Systeme und Prozesse implementieren. Dies beinhaltet Risikoanalysen, Sicherheitsmanagement, Backup-Strategien, Sicherheit in der Lieferkette und die fortlaufende Schulung von Mitarbeitern. Ein mehrstufiges Meldeverfahren für Sicherheitsvorfälle ist ebenso vorgesehen, wie regelmäßige Überprüfungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Haftungs- und Sanktionsverschärfungen
Bei Nichteinhaltung der Anforderungen der NIS-2-Richtlinie drohen empfindliche Bußgelder, die bis zu 10 Millionen Euro bzw. 2 % des weltweiten Gesamtumsatzes erreichen können. Auch die Geschäftsführung kann persönlich haftbar gemacht werden.
Empfehlungen zur Umsetzung
In der verbleibenden Zeit bis zur vollständigen Umsetzung der Richtlinie empfehlen wir die Durchführung einer Gap-Analyse und die Identifizierung konkreter Handlungsfelder zur schrittweisen Verbesserung des Cybersicherheitsniveaus. Unsere Beratungsdienste unterstützen Sie dabei in allen Aspekten – von der Schulung über die rechtliche Beratung bis hin zur technischen Umsetzung.
Zusätzlich bieten wir spezialisierte Dienste in IT- und Cybersecurity an, die Sie auf unserer Website einsehen können: IT- und Cybersecurity Dienste. Die Einhaltung der NIS-2-Richtlinie ist nicht nur eine rechtliche Notwendigkeit, sondern auch ein entscheidender Schritt zur Stärkung der Unternehmenssicherheit und zur Minimierung von Cyber-Risiken. Bitte kontaktieren Sie uns für weitere Informationen und Unterstützung bei der Umsetzung dieser neuen Anforderungen.