NIS-2-Richtlinie:Wie setzen Unternehmen die Vorgaben zur Cybersicherheit am besten um?

Autor: Dr. Markus Hülper, Rechtsanwalt

Die zunehmende Vernetzung und Digitalisierung bringen nicht nur zahlreiche Vorteile, sondern auch erhebliche Risiken mit sich. Cyberangriffe und IT-Sicherheitsvorfälle können schwerwiegende Auswirkungen auf Unternehmen und die Gesellschaft haben. Um dem entgegenzuwirken, stellt die NIS-2-Richtlinie der EU erhöhte Anforderungen an die Cybersicherheit von Unternehmen. Die Richtlinie verpflichtet eine Vielzahl von Unternehmen in verschiedenen Sektoren, umfassende Sicherheitsmaßnahmen zu ergreifen.

Deutschland hat bereits Maßnahmen ergriffen, um die NIS-2-Richtlinie in nationales Recht umzusetzen. Die Bundesrepublik verfolgt dabei einen umfassenden Ansatz, der sowohl gesetzliche als auch technische und organisatorische Maßnahmen umfasst. (Mehr dazu lesen Sie im Beitrag NIS-2-Richtlinie: Umsetzung und aktueller Stand in Deutschland)

Wer ist verpflichtet?

Die NIS-2-Richtlinie gilt für Unternehmen und Organisationen, die in bestimmten kritischen Sektoren tätig sind. Zu den 18 betroffenen Sektoren gehören unter anderem:

Energie

Gesundheitswesen

Herstellungssektor

Finanzwesen

Verkehr

Digitale Infrastruktur und digitale Dienste

Öffentliche Verwaltungen

Lebensmittelproduktion und -verarbeitung

Diese Sektoren wurden ausgewählt, weil sie als besonders kritisch für das Funktionieren von Gesellschaft und Wirtschaft gelten. Ein Ausfall oder eine Beeinträchtigung dieser Sektoren hätte weitreichende Konsequenzen.

Insgesamt sind etwa 30.000 Institutionen in Deutschland von der NIS-2-Richtlinie betroffen. Grundsätzlich gilt die Richtlinie für Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz von mehr als 10 Millionen Euro. Auch kleinere Unternehmen können betroffen sein, wenn sie eine besondere Bedeutung für einen Sektor haben. Dies bedeutet, dass eine breite Palette von Einrichtungen Maßnahmen ergreifen muss, um den Anforderungen der Richtlinie gerecht zu werden.

Und Vorsicht: Unternehmen und öffentliche Einrichtungen müssen selbst prüfen, ob sie in den Geltungsbereich fallen und proaktiv die geforderten Cybersicherheits-Maßnahmen umsetzen.

Welche Vorgaben gibt es?

Die NIS-2-Richtlinie stellt eine Reihe von technischen, operativen und organisatorischen Anforderungen an die betroffenen Unternehmen, darunter:

Registrierung

Sobald Institutionen „kritische“ Bereiche identifiziert haben, müssen sie sich nach Inkrafttreten des Umsetzungsgesetzes selbst als „verpflichtete Institution“ beim BSI registrieren. Wichtige Einrichtungen und besonders wichtige Einrichtungen müssen die Registrierung innerhalb von drei Monaten nach Inkrafttreten durchführen.

Kontaktstelle

Unternehmen müssen eine Kontaktstelle für ihre kritischen Bereiche benennen, betreiben und gegenüber dem BSI nachweisen. Über die Kontaktstelle müssen Institutionen jederzeit erreichbar sein und ihrer Meldepflicht bei erheblichen IT-Störungen nachkommen.

Meldepflichten

Unternehmen sind verpflichtet, erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Die Meldefristen sind eng: Innerhalb von 24 Stunden nach Kenntnis des Vorfalls muss ein vorläufiger Bericht eingereicht werden, innerhalb von 72 Stunden ein vollständiger Bericht mit einer ersten Bewertung, und innerhalb eines Monats ein Abschlussbericht mit einer detaillierten Beschreibung. Diese strikten Vorgaben sollen sicherstellen, dass Sicherheitsvorfälle schnell erkannt und gemeldet werden, um wirksame Gegenmaßnahmen einleiten zu können.

Risikomanagement

Unternehmen müssen ein umfassendes Risikomanagement betreiben, das auch die Sicherheit in der Lieferkette einschließt. Dies umfasst dokumentierte Risikoanalysen, Konzepte zur laufenden Bewertung getroffener Maßnahmen sowie Business-Continuity- und Notfall-Management. Ein systematisches Risikomanagement hilft dabei, potenzielle Bedrohungen frühzeitig zu erkennen und geeignete Maßnahmen zur Risikominimierung zu treffen.

Schulungen

Regelmäßige Schulungen der Geschäftsleitung und der Beschäftigten zur Cybersicherheit sind vorgeschrieben. Diese Schulungen sollen das Bewusstsein für sichere Verhaltensweisen im Umgang mit IT-Systemen stärken und sicherstellen, dass alle Mitarbeiter die Bedeutung der Cybersicherheit verstehen und entsprechend handeln. E-Learning-Tools können dazu beitragen, Schulungsmaßnahmen regelmäßig und umfassend durchzuführen.

Technische und organisatorische Maßnahmen

NIS-2 verpflichtet Unternehmen, technische und organisatorische Maßnahmen zur Verbesserung der Cybersicherheit zu ergreifen. Dazu gehören der Einsatz moderner Sicherheitstechnologie nach dem Stand der Technik, die Implementierung von Sicherheitsrichtlinien und -verfahren sowie regelmäßige Wirksamkeitskontrollen und Tests der Sicherheitsmaßnahmen. Diese Maßnahmen sollen sicherstellen, dass die IT-Infrastruktur robust und widerstandsfähig gegenüber Angriffen ist.

Worauf müssen Unternehmen achten?

In die Umsetzung der NIS-2-Richtlinie sind verschiedene Unternehmensbereiche eingebunden (IT, Compliance, Datenschutz, HR, QM etc.). Ein ganzheitliches Risikomanagement unter Einbindung aller Stakeholder ist für Unternehmen daher unerlässlich. Auf folgende Punkte sollten Unternehmen besonders achten:

Compliance mit den Meldepflichten

Die Einhaltung der strengen Meldefristen ist entscheidend, um Sanktionen zu vermeiden. Unternehmen sollten sicherstellen, dass sie über geeignete Kontaktstellen, Meldewege und Zuständigkeiten verfügen. Eine klare Zuweisung von Verantwortlichkeiten und die Einrichtung effizienter Meldeprozesse sind unerlässlich.

Integriertes Risikomanagement

Die NIS-2-Anforderungen sollten in das allgemeine Risikomanagement des Unternehmens integriert werden. Ein ganzheitlicher Ansatz erleichtert die Umsetzung und sorgt für eine effektive Steuerung der Risiken. Durch die Integration in bestehende Risikomanagementprozesse können Synergien genutzt und Redundanzen vermieden werden.

Schulungsmaßnahmen

Regelmäßige Schulungen sind unerlässlich, um das Bewusstsein für Cybersicherheit zu stärken und die Einhaltung der Sicherheitsrichtlinien sicherzustellen. E-Learning-Tools können hier eine effiziente Lösung bieten, um die Schulungsmaßnahmen flexibel und bedarfsgerecht zu gestalten.

Dokumentation und Nachweisführung

Unternehmen müssen in der Lage sein, die Einhaltung der Sicherheitsanforderungen detailliert zu dokumentieren und nachzuweisen. Dies umfasst regelmäßige Audits und die Erstellung umfassender Berichte. Eine lückenlose Dokumentation ist nicht nur aus Compliance-Gründen wichtig, sondern dient auch als Grundlage für kontinuierliche Verbesserungen im Bereich der IT-Sicherheit.

Jetzt handeln, um Sanktionen zu vermeiden

Die Umsetzung der NIS-2-Richtlinie stellt Unternehmen vor erhebliche Herausforderungen, bietet aber auch die Chance, die eigene Cybersicherheit zu stärken und sich besser gegen Bedrohungen zu wappnen. Unternehmen sollten die Anforderungen der NIS-2-Richtlinie ernst nehmen und rechtzeitig die notwendigen Maßnahmen ergreifen.

Gerne unterstützen wir Sie bei der Umsetzung der NIS-2-Richtlinie. Wir bieten Ihnen umfassende Beratung und praktische Hilfe bei der Implementierung der erforderlichen Sicherheitsmaßnahmen, der Einhaltung der Meldepflichten und der Schulung Ihrer Mitarbeiter. Kontaktieren Sie uns, um zu erfahren, wie wir Ihnen helfen können, die Anforderungen der NIS-2-Richtlinie erfolgreich zu erfüllen und Sanktionen zu vermeiden.

Ihr persönlicher Kontakt

Matthias SchulzSenior Sales Manager

Diese Artikel könnten Sie ebenfalls interessieren

Insights

Rechtsabteilungen früh einbinden und so Effizienz steigern

Juli 4, 2024

Mehr erfahren