Bereit für die europäische NIS-2-Richtlinie?

Mit der NIS-2-Richtlinie reagiert die Europäische Union auf die wachsende Zahl von Cyberbedrohungen: Die neue „Network and Information Security Directive“ führt strengere Vorschriften zur Cybersicherheit für mehr Sektoren und Unternehmen ein. Das Ziel bleibt gleich: Der Schutz von essentiellen, wichtigen Sektoren und (kritischen) Infrastrukturen, sowie eine höhere Widerstandsfähigkeit gegenüber Cyberangriffen.

Als EU-Richtlinie muss dieses Regelwerk von den Mitgliedsstaaten in nationales Recht umgesetzt werden. In Deutschland wurde dazu das „NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“ erarbeitet. Aufgrund der Neuwahlen Anfang 2025 und des Grundsatzes der Diskontinuität (von Gesetzesvorlagen) verschiebt sich das Inkrafttreten jedoch in die nächste Legislaturperiode, voraussichtlich Ende 2025/Anfang 2026. Dennoch sind in mehr als 7 EU-Mitgliedstaaten bereits nationale Gesetze dazu in Kraft getreten, unter anderem in Belgien, Italien, Kroatien und Ungarn.

Deutsche Unternehmen sind also gut beraten, die gewonnene Zeit zu nutzen und sich jetzt mit den Anforderungen der NIS-2 Richtlinie zu befassen. Halten Sie die Mindestmaßnahmen nicht ein, drohen Strafen, die bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes reichen. Darüber hinaus postuliert die NIS-2 einen erhöhten Haftungsmaßstab für die Geschäftsführung bis hin zur Haftung mit dem Privatvermögen.

Bereiten Sie sich vor und setzen Sie die NIS-2-Anforderungen mit unserer Expertise um: Wir prüfen den Status Quo, stellen einen Fahrplan auf und begleiten Sie auf dem Weg zu einer konformen Organisation in Sachen Informations- und Cybersicherheit.

Mit der NIS-2-Richtlinie wird Cybersicherheit für die breite Unternehmensmasse relevant: Experten schätzen, dass EU-weit rund 150.000 Unternehmen betroffen sind. Denn die NIS-2 nimmt auch kleinere Firmen ab 50 Mitarbeitenden oder einem Jahresumsatz und Bilanzsumme von 10 Millionen Euro in den Fokus. Dazu wird die Anzahl der betroffenen Sektoren von elf auf 18 erhöht. Elf gelten als solche mit hoher Kritikalität (Essential Entities) und sieben als sonstige kritische Sektoren (Important Entities). Zur Feststellung der Betroffenheit (Relevanzanalyse) sind alle Unternehmensbereiche und die zugehörigen Gesellschaften zu betrachten und anhand der Konzernzuordnungsregeln und Gesellschaftsverträge zu bewerten.

Die größte Änderung ist der erweiterte Unternehmensscope. Dazu steigen die Anforderungen an die Cybersicherheit: Betroffene Unternehmen müssen angemessene Maßnahmen nach „aktuellem Stand der Technik“ in Bereichen wie dem Risikomanagement, Business Continuity Management (BCM), der Sicherheit in der Lieferkette oder auch Reaktion auf Vorfälle ergreifen.

Hinzu kommen gestärkte Durchsetzungskräfte der nationalen Regulierungsbehörden, höhere Strafen für Verstöße und verschärfte Meldepflichten. Letztere sehen vor, dass Unternehmen Sicherheitsvorfälle unverzüglich, jedenfalls aber innerhalb von 24 Stunden nach Kenntnisnahme mit einer sogenannten Frühwarnung und innerhalb von 72 Stunden mit einer detaillierten Meldung bekanntgeben müssen.

Nicht nur die Anforderungen steigen, auch der Durchsetzungsdruck nimmt zu – etwa durch höhere Sanktionen und die persönliche Haftung der Geschäftsführung. Bei Nichteinhaltung der NIS-2-Richtlinie drohen:

• Geldbußen in Höhe von bis zu 10 Millionen Euro bzw. 2 % des gesamten weltweiten Jahresumsatzes für wesentliche Unternehmen
• Geldbußen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes für wichtige Unternehmen
• Eine Haftung der Geschäftsführung bei Verstößen gegen die Richtlinie
• Das Untersagen der ausgeübten Leitungsfunktion
• Die Geschäftsführung kann mit ihrem Privatvermögen haften
• Eine vorübergehende Aussetzung von Dienstleistungen

Um NIS-2-konform zu sein, muss ein Sicherheitsprogramm mindestens folgende Anforderungen abdecken:

Mit einem Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 schaffen Sie eine solide Grundlage, um die spezifischen NIS-2-Anforderungen zu erfüllen. Dieses kann in Teilen oder vollständig implementiert und sogar letztlich unabhängig zertifiziert werden.

Ein ISMS unterstützt Sie dabei, Risiken zu erkennen und zu bewerten, passende Sicherheitsvorkehrungen zu treffen und deren Effektivität zu kontrollieren. Dazu fördert es einen vorausschauenden Ansatz zur Informationssicherheit durch regelmäßige Überprüfungen, Audits und kontinuierliche Verbesserungen.

Umfassende Beratung

Nutzen Sie unsere Beratungsleistungen zur Erfüllung der NIS-2-Richtlinie bzw. des nationalen Umsetzungsgesetzes, sei es in Deutschland oder in anderen EU-Mitgliedsstaaten. Sie reichen von detaillierten Gap Analysen bezüglich NIS-2, BCM, ISMS, Datenschutz und Compliance bis hin zu Reifegradbeurteilungen oder dem konzeptionellen Design von Sicherheitslösungen. Darüber hinaus prüfen und bewerten wir Ihre Sicherheitstechnologien zur Angriffsabwehr, -erkennung und -reaktion.

• Gesetzliche Anforderungen erfüllen
• Kritische Geschäftsprozesse schützen
• IT-Risiken überblicken
• Gezielte Sicherheitsmaßnahmen einführen
• In die richtigen Maßnahmen investieren
• Persönliche Haftungsrisiken minimieren
• Informationssicherheit maximieren

Sind Sie von der NIS-2 betroffen, sollten Sie jetzt handeln und sich auf den Weg zur Umsetzung der geforderten Maßnahmen machen. Wenn Sie sich noch nicht sicher sind, ob Ihr Unternehmen betroffen ist, können wir im Rahmen einer Relevanzanalyse Klarheit schaffen. Wir begleiten Sie mit umfassender Beratung, individuellen Leistungsbausteinen und zuverlässiger Implementierung bis ans Ziel.