NIS2-Richtlinie: Das müssen Unternehmen bis Oktober beachten

Die Digitalisierung schreitet voran. Und damit auch das Sicherheitsniveau in der EU. Die Notwendigkeit wirksamer Vorgaben für die europäischen Mitgliedsstaaten, um auf Cyber-Angriffe vorbereitet zu sein und auf Bedrohungen reagieren zu können, wird immer wichtiger, denn jährlich entstehen der deutschen Wirtschaft Schäden in Höhe von 206 Milliarden Euro durch Diebstahl von IT-Geräten und Daten sowie durch digitale und analoge Spionage und Sabotage.

Eine Maßnahme gegen Angriffe und für die Sicherheit ist die NIS2-Richtlinie, die im Januar 2023 in Kraft trat. Richtlinien müssen jedoch zunächst in nationales Recht umgesetzt werden: Frist hierfür ist der 17. Oktober 2024.

Worum geht es genau?

Die NIS2-Richtlinie ist der Nachfolger der NIS1-Richtlinie aus dem Jahr 2016, die bereits Vorgaben für die Europäische Union zur Cybersicherheit enthielt, die jedoch nicht ausreichend umgesetzt wurden, da die Richtlinie den Mitgliedstaaten zu viel Spielraum ließ. NIS2 legt nun konkreter fest, was in den Bereichen IT-Sicherheit, Risikomanagement, Datenverschlüsselung, Schulung und Compliance-Anforderungen zu tun ist.

Für die betroffenen Unternehmen ist es daher wichtig, sich bereits jetzt auf die Anforderungen der NIS2-Richtlinie vorzubereiten und diese umzusetzen.

Wer ist betroffen und was muss getan werden?

Der Anwendungsbereich der NIS2-Richtlinie umfasst 18 Sektoren. Zum Beispiel Sektoren wie Energie, Verkehr, Bankwesen, Finanzmarktstrukturen, Gesundheit, Trinkwasser, Raumfahrt, digitale Infrastrukturen, also Anbieter von Cloud Computing, Dienstleistungen oder Rechenzentrumsleistungen und andere. (Eine Gesamtübersicht der wesentlichen und wichtigen Sektoren finden Sie hier.)

Im Gegensatz zu den kritischen Infrastrukturen, die deutsche Unternehmen bisher kannten, stellen diese Sektoren eine Erweiterung des Anwendungsbereiches dar: Man fällt nicht mehr als kritische Infrastruktur unter die NIS2-Richtlinie, sondern es kommt neben den Sektoren auf drei weitere wichtige Faktoren an:

• Mitarbeitendenanzahl: NIS2 richtet sich an mittlere (50-249 Beschäftigte) und große Unternehmen (>250 Beschäftigte), d. h. Unternehmen mit weniger als 50 Beschäftigten fallen nicht unter das neue Gesetz.
  • Umsatz: Mittlere Unternehmen müssen zusätzlich einen Umsatz von 10 bis 50 Mio. Euro nachweisen, große Unternehmen einen Umsatz von über 50 Mio. Euro.
  • Oder Jahresbilanz: Für die Jahresbilanzsumme gilt bei mittleren Unternehmen eine Grenze von 43 Mio. Euro, bei größeren Unternehmen muss die Bilanzsumme darüber liegen.

Mit der Aktualisierung der NIS2-Richtlinie wird die Zahl der betroffenen Unternehmen in Deutschland auf eine mittlere fünfstellige Zahl geschätzt. Daher ist es wichtig, dass sich nicht nur Unternehmen, die bereits zu den kritischen Infrastrukturen zählen, auf die neue Richtlinie vorbereiten, sondern auch Unternehmen, die neu betroffen sind, wissen, was auf sie zukommt.

Welche Schritte müssen eingeleitet werden?

NIS2 führt eine neue Meldepflicht ein. Das bedeutet, dass betroffene Unternehmen innerhalb von 24 Stunden nach einem Sicherheitsvorfall, der kritisch genug ist, diesen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen.

Nach weiteren 72 Stunden muss ein Zwischenbericht abgegeben werden, in dem die Aufarbeitung des Vorfalls und die einzelnen getroffenen und noch geplanten Maßnahmen erläutert werden. Nach einem Monat folgt ein Abschlussbericht. Das BSI wird in Zukunft gerade bei den wesentlichen Sektoren regelmäßig überprüfen, ob die Unternehmen die Anforderungen erfüllen oder nicht.

Bei Nichteinhaltung drohen hohe Bußgelder: Mittlere Unternehmen, die die Umsatzgrenze von 43 Mio. Euro einhalten und zu den wichtigen Sektoren gehören, müssen 7 Mio. Euro oder 1,4 % ihres weltweiten Jahresumsatzes als Strafe zahlen. Bei großen Unternehmen sind es sogar 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.

Zusammengefasst dienen diese technischen Anforderungen sowie die organisatorischen und operativen Schritte, die Unternehmen künftig einhalten müssen, dem Schutz von IT-Systemen vor Cyber-Angriffen und Bedrohungen.

Auch das Rechnungswesen und die Buchhaltung müssen umdenken!

Cyber-Angriffe oder IT-Ausfälle stellen aus Sicht der Finanzaufsicht BaFin eines der größten Risiken für den Finanzsektor dar. Da in der Buchhaltung und im Rechnungswesen die Bankdaten der Kundinnen und Kunden gespeichert sind und der Zahlungsverkehr abgewickelt wird, ist dieser Sektor ein besonders interessantes Angriffsziel.

Umso wichtiger ist es, Personen in diesen Schlüsselpositionen zu schulen und zu sensibilisieren – vor allem in Bezug auf Risikobewertung, mögliche Angriffsszenarien und Risikomanagementmaßnahmen.

So kann neben den Anforderungen der NIS2-Richtlinie auch geschultes Personal einen Beitrag zur Cybersicherheit leisten. Im Umkehrschluss bedeutet dies, die Sicherheit in Deutschland und der EU durch eine stärkere Regulierung zu erhöhen, was angesichts der seit Jahren hohen Bedrohungslage in Zukunft hoffentlich zu einem Rückgang der Angriffe führen wird.