NIS-2
Im Januar 2023 hat die EU die sogenannte NIS-2-Richtlinie verabschiedet. Das überarbeitete Gesetzespapier schreibt deutlich mehr Unternehmen und Institutionen aus ebenfalls umfangreicheren Branchen als bisher strengere Regeln für die Cybersicherheit vor. Obwohl die Umsetzung in nationales Recht bis Oktober 2024 erfolgen sollte, wird sie wahrscheinlich erst Anfang 2025 stattfinden, wie der aktuelle offizielle Referentenentwurf vermuten lässt. Für potenziell betroffene Einrichtungen ist es dennoch wichtig, sich frühzeitig mit den Anforderungen auseinanderzusetzen.
Die NIS-2-Richtlinie (kurz für Network and Information Security Directive 2) löst die bisher gültige NIS-Richtlinie von 2016 ab und erweitert den Kreis der betroffenen Unternehmen und Institutionen deutlich. Im Mai 2024 erschien mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz: NIS2UmsuCG) ein offizieller Referentenentwurf. Dieser ist die Datengrundlage für die Einschätzungen der Cyberexpertinnen und -experten der Ecclesia Gruppe. Bis zur offiziellen Umsetzung sind aber natürlich noch Anpassungen der Regelungen möglich.
Auch kleinere Einrichtungen betroffen
Zwei Kategorien werden im NIS2UmsuCG unterschieden: Zu den besonders wichtigen Einrichtungen gehören insbesondere Organisationen der kritischen Infrastruktur, aber beispielsweise auch Unternehmen der Energieversorgung, der Transportbranche oder der Informationstechnik und Telekommunikation mit mindestens 250 Mitarbeitenden oder einem Jahresumsatz ab 50 Millionen Euro. Die neu definierte Kategorie der wichtigen Einrichtungen umfasst zusätzliche Branchen wie die Chemie- und Lebensmittelbranche sowie das verarbeitende Gewerbe, aber auch die Unternehmen der in der ersten Kategorie definierten Branchen, die hier nicht die Größengrenzen erreichen. Betroffen sind in dieser Kategorie jeweils Organisationen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von mehr als zehn Millionen Euro.
Umfangreiche Sicherheitsmaßnahmen gefordert
„Wir wissen, dass deutlich mehr Unternehmen und Institutionen aus deutlich mehr Branchen von der neuen Richtlinie betroffen sein werden als bisher“, weiß Robert Drexler, Leiter von Ecclesia Cyber. „Es ist überaus entscheidend, sich möglichst frühzeitig mit den Anforderungen auseinanderzusetzen und das IT-Sicherheitsmanagement entsprechend dieser aufzubauen.“ Um die Anforderungen der NIS-2 zu erfüllen, müssen Betroffene verschiedene Maßnahmen umsetzungsbereit gewährleisten können, dazu zählen beispielsweise Risikoanalysekonzepte, Bewältigungsstrategien, die Gewährleistung der Aufrechterhaltung des Betriebs im Ernstfall, Zugriffskontrollkonzepte und gesicherte Notfallkommunikationssysteme.
Umkehr der Meldepflicht
Relevante Sicherheitsvorfälle müssen künftig innerhalb von 24 Stunden an die zuständige Behörde gemeldet werden. Nach 72 Stunden muss eine erste Bewertung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren und nach einem Monat ein Fortschritts- und Abschlussbericht vorgelegt werden. Die größte Veränderung liegt jedoch in der Umkehr der Meldepflicht, wie Robert Drexler betont: „Betroffene sind künftig dazu verpflichtet, bis zu einem Stichtag beim BSI aktiv nachzuweisen, dass sie die Auflagen erfüllen. Die Bringschuld liegt hier klar bei den Unternehmen und Institutionen.“ So erhöhen sich auch die Anforderungen an die Maßnahmendokumentation, da der Nachweis durchaus detailliert erfolgen muss.
Hohes Risiko – auch in Bezug auf die Managerhaftung
Bei Nichteinhaltung drohen hohe Strafen, die bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes für besonders relevante Einrichtungen und bis zu sieben Millionen oder 1,4 Prozent des weltweiten Umsatzes für wichtige Einrichtungen betragen können. Maßgeblich ist dabei jeweils der höhere Betrag. Auch die Managementpflichten im Zusammenhang mit Cybersecurity werden voraussichtlich verschärft, was für Geschäftsführer und Vorstände von besonderer Relevanz ist. Aufgaben können zwar auch hier weiterhin delegiert werden. Die Überwachungsverantwortung sowie die Verantwortung für Auswahl und Einweisung der Personen, an die delegiert wird, bleiben für Geschäftsführer und Vorstände aber in jedem Fall bestehen.
Herausforderungen mit der nötigen Expertise begegnen
„Wir beraten Sie auf jeden Fall gerne in allen relevanten Fragen rund um NIS-2 und helfen Ihnen dabei, sich optimal auf die neuen Anforderungen vorzubereiten“, so Robert Drexler. Im Bereich der Managementhaftung werden Spezialistinnen und Spezialisten der gesamten Unternehmensgruppe hinzugezogen, die über die nötige Expertise und langjährige Erfahrung in diesem Bereich verfügen. Auf diese Weise erhalten Sie eine ganzheitliche Beratung aus einer Hand.
Mehr Informationen zu NIS-2 und NIS2UmsuCG sowie eine Checkliste und Tipps für Betroffene finden Sie in unserem Whitepaper.