Den Anforderungen der NIS2-Richtlinie proaktiv begegnen

Anfang 2023 ist in der EU die zweite Version der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) in Kraft getreten. Bis zum 17. Oktober 2024 müssen die EU-Mitgliedstaaten NIS 2 in nationales Recht umsetzen. In Deutschland liegt bereits ein Referentenentwurf des Bundesministeriums des Innern für ein NIS2-Umsetzungsgesetz (NIS2UmsuG) vor.

Die NIS2-Richtlinie ist eine Überarbeitung und Erweiterung der ursprünglichen NIS-Richtlinie der Europäischen Union, die auf die Verbesserung der Cybersicherheit von Informationssystemen und Netzen in der EU abzielt. Die NIS2-Richtlinie bringt eine Reihe von Änderungen und neuen Anforderungen mit sich, die erhebliche Auswirkungen auf Unternehmen haben.

Die aus unserer Sicht wichtigsten Aspekte

1. Erweiterter Anwendungsbereich: NIS2 erweitert den Geltungsbereich der Richtlinie über die ursprünglichen Sektoren (wie Energie, Verkehr, Banken, Gesundheit) hinaus. Sie umfasst jetzt auch Unternehmen in anderen wichtigen Sektoren wie Lebensmittel, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Während die ursprüngliche NIS-Richtlinie sich hauptsächlich auf große und kritische Infrastrukturen konzentrierte, bezieht NIS2 auch KMUs mit ein. Der Kreis der Unternehmen, die unter die Richtlinie fallen, wird deutlich ausgeweitet.
2. Strengere Sicherheitsanforderungen: Unternehmen, die unter die NIS2-Richtlinie fallen, müssen strengere Sicherheitsmaßnahmen umsetzen, um ihre Informationssysteme und Netze zu schützen. Dazu gehören Risikomanagementmaßnahmen, Incident-Response-Pläne, und die Durchführung regelmäßiger Sicherheitsaudits.
3. Meldepflichten bei Vorfällen: Unternehmen müssen bestimmte Sicherheitsvorfälle und -risiken an die zuständigen nationalen Behörden melden. NIS2 verschärft die Meldepflichten und verkürzt die Fristen für die Meldung von Vorfällen.
4. Höhere Bußgelder: Bei Nichteinhaltung der Richtlinie ist mit höheren Bußgeldern zu rechnen. Auch sind härtere Sanktionen für Verstöße gegen die Anforderungen vorgesehen.
5. Fokus auf Lieferketten- und Dienstleister-Sicherheit: Unternehmen müssen auch die Sicherheit ihrer Lieferketten und externen Dienstleister berücksichtigen, was zusätzliche Überprüfungen und Risikomanagementmaßnahmen erforderlich macht.
6. Bewusstseinsbildung und Schulung: NIS2 legt einen stärkeren Schwerpunkt auf die Bewusstseinsbildung und Schulungen im Bereich der Cybersicherheit.

Die Situation in Deutschland ist derzeit noch von einer gewissen Unsicherheit geprägt. Die Bundesregierung beabsichtigt, die Richtlinie über verschiedene Artikelgesetze in nationales Recht umzusetzen. Es existieren bislang zwar diverse Referentenentwürfe, wie genau die einzelnen Vorgaben der Richtlinie umgesetzt werden – wie detailliert, wie umfangreich oder wie schwach ausgeprägt die bundesdeutsche Ausprägung ausfallen wird, das werden voraussichtlich erst die nächsten Monate zeigen.

Unabhängig von der gesetzgeberischen Situation: Für Unternehmen bedeutet die Umsetzung der NIS2-Richtlinie eine umfassende Überprüfung und möglicherweise erhebliche Anpassungen ihrer Cybersicherheitspraktiken. Prozesse und Systeme sind zu überprüfen, um sicherzustellen, dass das Unternehmen den neuen Anforderungen gerecht wird. Die gute Nachricht dabei ist: was unternehmen in diesem Kontext tun, dient unmittelbar den eigenen Interessen und der Daseinsvorsorge. NIS2 adressiert konkrete Herausforderungen der Cybersicherheit, denen sich Unternehmen unabhängig von regulatorischen Vorgaben sowieso – und im eigenen Interesse – stellen müssen.

ISMS nach ISO 27001 bietet beste Voraussetzungen

Eine weitere gute Nachricht: all das, was die Richtlinie fordert, ist keine Raketenwissenschaft. Mit einem methodischen Ansatz zur kontinuierlichen Verbesserung der Informationssicherheit sind Unternehmen gut gerüstet für die Herausforderungen, die sich aus der NIS2 geben. Die ISO 27001 bietet ein entsprechendes Framework, mit dem sich zahlreiche Anforderungen der Richtlinie proaktiv adressieren lassen. Wer also bereits ein ISMS (Informationssicherheitsmanagementsystem) nach ISO 27001 betreibt verfügt schon über gute Voraussetzungen, die Anforderungen der NIS2 zu erfüllen. Unternehmen, die noch kein ISMS betreiben und nach einem Weg suchen, der Richtlinie gerecht zu werden, sei eine Beschäftigung mit der ISO 27001 empfohlen.

Sind Sie unsicher, ob ihr Unternehmen unter die Richtlinie fällt? Oder wissen Sie es bereits – und fragen sich, wie Sie sich am besten vorbereiten können? Kontaktieren Sie uns für ein kostenloses Erstgespräch zum Thema NIS2, ISO 27001 und Informationssicherheit.