NIS-2: Häufige Fragen

Die NIS-2-Richtlinie ist die überarbeitete EU-Vorgabe zur Cybersicherheit. Sie verpflichtet Unternehmen in bestimmten Sektoren, IT-Sicherheitsmaßnahmen umzusetzen, Sicherheitsvorfälle zu melden und ein Risikomanagement für Cyberbedrohungen zu etablieren.

Die ursprüngliche NIS-1-Richtlinie war in der Umsetzung uneinheitlich und erfasste nicht genügend Unternehmen. NIS-2 verschärft die Anforderungen, um Cybersicherheitsrisiken in der gesamten EU zu minimieren und die Widerstandsfähigkeit von Unternehmen gegen Bedrohungen zu erhöhen.

Die NIS-2-Richtlinie wurde auf EU-Ebene verabschiedet. Die nationale Umsetzung erfolgt durch die Mitgliedstaaten – Unternehmen sollten sich frühzeitig vorbereiten, um die neuen Anforderungen rechtzeitig zu erfüllen.

Die NIS-2-Richtlinie gilt für Unternehmen aus bestimmten kritischen Sektoren sowie für Unternehmen, die definierte Größenkriterien überschreiten. Dazu gehören u. a.:

• Energieversorgung
• Gesundheitswesen
• Banken und Finanzinfrastrukturen
• Digitale Infrastruktur (Cloud-Dienste, DNS-Provider)
• Produzierendes Gewerbe, Lebensmittel- und Chemieindustrie

Die Betroffenheit hängt von zwei Faktoren ab:

• Tätigkeit in einem regulierten Sektor
• Überschreiten der festgelegten Unternehmensgrößen

Unternehmen sollten eine Betroffenheitsprüfung durchführen, um festzustellen, ob sie unter die NIS-2-Anforderungen fallen.

Bestimmte digitale Anbieter (z. B. Cloud-Dienste, DNS-Provider, Telekommunikationsnetze) sind unabhängig von ihrer Größe verpflichtet, die Anforderungen umzusetzen.

Die NIS-2-Richtlinie greift nur bei Überschreiten der definierten Größenkriterien. Dennoch sollten Unternehmen mit relevanter IT-Infrastruktur frühzeitig Sicherheitsmaßnahmen implementieren.

Unternehmen müssen folgende Maßnahmen ergreifen:

• Einführung eines Risikomanagementsystems für IT-Sicherheit
• Implementierung technischer Schutzmaßnahmen wie Netzwerksicherheit, Zugriffskontrollen und Verschlüsselung
• Etablierung von Meldeprozessen für IT-Sicherheitsvorfälle

Die NIS-2-Richtlinie wird verbindlich, sobald die nationale Umsetzung erfolgt ist. Unternehmen sollten bereits jetzt Maßnahmen einleiten, um Verzögerungen und Sanktionen zu vermeiden.

Zertifizierungen sind nicht zwingend vorgeschrieben, erleichtern jedoch die Umsetzung der Sicherheitsanforderungen und dienen als Nachweis der Einhaltung der Vorschriften.

Unternehmen sollten zunächst eine Risikobewertung durchführen, Meldeprozesse definieren und technische Sicherheitsmaßnahmen implementieren.

Unternehmen sind verpflichtet, sicherheitsrelevante Vorfälle zu melden, darunter:

• Cyberangriffe, die zu Betriebsunterbrechungen führen
• Datenlecks und Datenschutzverletzungen
• Manipulation oder unbefugter Zugriff auf IT-Systeme

• Innerhalb von 24 Stunden: Erste Meldung mit vorläufigen Informationen.
• Innerhalb von 72 Stunden: Erweiterte Analyse mit konkreten Maßnahmen.
• Innerhalb von einem Monat: Abschlussbericht mit vollständiger Dokumentation.

Unternehmen, die gegen die Vorgaben verstoßen, müssen mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes rechnen.

Unternehmen, die Sicherheitsvorfälle nicht innerhalb der vorgeschriebenen Fristen melden, riskieren Bußgelder von bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

Nein, die Höhe der Strafen richtet sich nach der Unternehmensgröße und der Schwere des Verstoßes. Besonders wichtige Einrichtungen (bwE) unterliegen in der Regel strengeren Sanktionen.

Ja, Unternehmen haben das Recht, gegen verhängte Bußgelder Einspruch einzulegen. Allerdings müssen sie nachweisen, dass sie alle angemessenen Maßnahmen zur Einhaltung der Vorschriften getroffen haben.

Die Dauer hängt von der Unternehmensgröße und dem aktuellen Sicherheitsniveau ab. Eine vollständige Implementierung kann zwischen mehreren Monaten und einem Jahr dauern.

Unternehmen stehen oft vor Herausforderungen wie:

• Fehlende interne Ressourcen für IT-Sicherheit.
• Unklare Verantwortlichkeiten und mangelnde Erfahrung mit Cybersicherheitsprozessen.
• Integration neuer Sicherheitsmaßnahmen in bestehende IT-Systeme.

Die EU überprüft regelmäßig Cybersicherheitsvorgaben. Eine Erweiterung der Pflichten auf weitere Unternehmen oder neue technische Standards ist möglich.

Durch kontinuierliche Anpassung der Sicherheitsstrategie, Schulung von Mitarbeitenden und frühzeitige Implementierung internationaler Standards wie ISO 27001 oder BSI IT-Grundschutz.