NIS-2 und NIS2UmsuCG
Im Januar 2023 hat die EU die sogenannte NIS-2-Richtlinie verabschiedet. Das überarbeitete Gesetzespapier schreibt Betreibern kritischer Infrastruktur, aber auch vielen kleineren Krankenhäusern, Pflegeeinrichtungen, Gesundheits- und Therapiezentren strengere Regeln für die Cybersicherheit vor. Eigentlich sollte NIS-2 bis spätestens Oktober 2024 in nationales Recht umgesetzt sein. Der aktuelle offizielle Referentenentwurf lässt jedoch vermuten, dass die Umsetzung frühestens Anfang 2025 erfolgt. Dennoch ist es für potenziell betroffene Einrichtungen wichtig, sich frühzeitig mit den Anforderungen auseinanderzusetzen.
Die europäische Sicherheitsrichtlinie NIS-2 (kurz für: Network and Information Systems Directive 2) ersetzt die bisher gültige NIS-Richtlinie aus dem Jahr 2016. Die Vorgängerversion legte damals bereits erste Verpflichtungen zur Cybersicherheit für Unternehmen und Institutionen der kritischen Infrastruktur (KRITIS) sowie aus sechs weiteren Sektoren fest. Mit NIS-2 erweitert sich der Kreis der betroffenen Unternehmen und Institutionen deutlich. Gleichzeitig steigen die Anforderungen und Strafen bei Nichteinhaltung. Im Mai 2024 erschien mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz: NIS2UmsuCG) ein offizieller Referentenentwurf, dieser ist die offizielle Datengrundlage für die Einschätzungen der Cyberexpertinnen und -experten der Ecclesia Gruppe. Bis zur offiziellen Umsetzung sind aber natürlich noch Anpassungen der Regelungen möglich.
Auch kleinere Einrichtungen betroffen
Das NIS2UmsuCG unterscheidet zwischen zwei Kategorien. Zu den besonders wichtigen Organisationen zählen insbesondere KRITIS-Unternehmen und -Institutionen, aber beispielsweise auch Einrichtungen der Gesundheitsbranche mit mindestens 250 Mitarbeitenden oder einem Jahresumsatz ab 50 Millionen Euro. Die neu definierte Kategorie der wichtigen Einrichtungen umfasst zusätzliche Branchen wie die Forschung oder Anbieter digitaler Dienste, aber auch die Unternehmen und Institutionen der in der ersten Kategorie definierten Branchen, die hier nicht die Größengrenzen erreichen. Betroffen sind in dieser Kategorie jeweils Organisationen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von mehr als zehn Millionen Euro.
Umfangreiche Sicherheitsmaßnahmen gefordert
„Wir sehen klar, dass deutlich mehr Unternehmen und Institutionen von der neuen Richtlinie betroffen sein werden als bisher“, weiß Robert Drexler, Leiter von Ecclesia Cyber. „Es ist überaus entscheidend, sich möglichst frühzeitig mit den Anforderungen auseinanderzusetzen und das IT-Sicherheitsmanagement entsprechend dieser aufzubauen.“ Betroffene müssen umfangreiche Maßnahmen im Bereich Cybersicherheit umsetzungsbereit gewährleisten können. Dazu zählen beispielsweise Risikoanalysekonzepte, Bewältigungsmaßnahmen, die Gewährleistung der Aufrechterhaltung des Betriebs im Ernstfall, Zugriffskontrollkonzepte und gesicherte Notfallkommunikationssysteme.
Umkehr der Meldepflicht
Relevante Sicherheitsvorfälle müssen künftig innerhalb von 24 Stunden an die zuständige Behörde gemeldet werden. Nach 72 Stunden müssen zusätzlich eine erste Bewertung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen sowie gegebenenfalls die Kompromittierungsindikatoren und nach einem Monat ein Fortschritts- und Abschlussbericht vorgelegt werden. Die größte Veränderung liegt jedoch in der Umkehr der Meldepflicht, wie Robert Drexler betont: „Betroffene sind künftig dazu verpflichtet, bis zu einem Stichtag beim BSI aktiv nachzuweisen, dass sie die Auflagen erfüllen. Die Bringschuld liegt hier klar bei den Unternehmen und Institutionen.“ Da der Nachweis durchaus detailliert erfolgen muss, erhöhen sich dadurch auch die Anforderungen an die Maßnahmendokumentation.
Hohes Risiko – auch in Bezug auf die Managerhaftung
Bei Nichteinhaltung drohen drakonische Strafen: Besonders wichtige Organisationen müssen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes, wichtige Organisationen bis zu sieben Millionen oder 1,4 Prozent des weltweiten Umsatzes Strafe zahlen. Maßgeblich ist jeweils der höhere Betrag. Besonders relevant sind die neuen Vorgaben zudem für Geschäftsführer und Vorstände, da mit einer Verschärfung der Managementpflichten im Zusammenhang mit Cybersecurity zu rechnen ist. Aufgaben können zwar auch hier weiterhin delegiert werden. Die Überwachungsverantwortung sowie die Verantwortung für Auswahl und Einweisung der Personen, an die delegiert wird, bleiben aber in jedem Fall bestehen.
Herausforderungen mit der nötigen Expertise begegnen
Die Anforderungen bergen für Betroffene so einige Herausforderungen und sind nicht immer ohne externe Unterstützung zu meistern. „Wir beraten Sie auf jeden Fall gerne in allen relevanten Fragen rund um NIS-2 und helfen Ihnen dabei, sich optimal auf die neuen Anforderungen vorzubereiten“, so Robert Drexler. Neben der unabhängigen, bedarfsgerechten Beratung umfasst das ganzheitliche IT-Sicherheitsmanagement von Ecclesia Cyber auch die Unterstützung im Ernstfall inklusive Notfallservice. Im Bereich der Managementhaftung werden Spezialistinnen und Spezialisten der Ecclesia Gruppe hinzugezogen, die über die nötige Expertise und langjährige Erfahrung in diesem Bereich verfügen. Auf diese Weise erhalten Sie eine ganzheitliche Beratung aus einer Hand.