Künftig sind neue technische und organisatorische Maßnahmen im Sinne der Informationssicherheit in Unternehmen rechtlich verpflichtend!
Warum gibt es NIS 2?
Die Bandbreite von Straftaten im Bereich Cyberkriminalität wächst stetig an. Durch die fortschreitende Digitalisierung der Gesellschaft entstehen immer mehr neue IT-Anwendungen. Damit gehen potenzielle Sicherheitslücken unweigerlich einher. Die Bedeutung von industrieller Cybersicherheit wächst mit den steigenden Bedrohungen durch Cyberkriminalität. Darum hat die Europäische Union die neue Richtlinie NIS 2 verabschiedet.
Was ist NIS 2 und ab wann gilt es?
Die NIS-2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtlich verpflichtende Maßnahmen zur Steigerung der Cybersicherheit in den Unternehmen. Bereits am 16. Januar 2023 ist die neue europäische NIS-2-Richtlinie in Kraft getreten. Die Umsetzung der Richtlinie ins nationale Recht muss bis spätestens 17. Oktober 2024 durch den deutschen Gesetzgeber erfolgen.
Da keine Übergangsfrist vorgesehen ist, sind betroffene Unternehmen somit ab dem 18. Oktober 2024 verpflichtet, geeignete technische und organisatorische Maßnahmen im Sinne der Informationssicherheit im Unternehmen umzusetzen, sich bei der zuständigen nationalen Behörde zu registrieren, künftige Vorfälle zu melden und die Einhaltung der Sicherheitsanforderungen zu gewährleisten. Der Nachweis der NIS-2-Compliance muss im Anschluss regelmäßig gegenüber der zuständigen nationalen Behörde erbracht werden, beispielsweise durch eine entsprechende Zertifizierung oder Sicherheitsaudits, welche die Einhaltung der Verpflichtungen aus der NIS-2-Richtlinie wirksam beaufsichtigen und die erforderlichen Maßnahmen prüfen.
Für wen gilt NIS 2?
Die neue Richtlinie ist für sogenannte KRITIS-Unternehmen, gegliedert in 18 verschiedene Sektoren, in der Europäischen Union verbindlich, welche mindestens 50 Personen beschäftigen und deren Jahresumsatz 10 Mio. Euro übersteigt. Unter gewissen Voraussetzungen kann die NIS-2-Richtlinie aber auch für kleinere Unternehmen gelten.
Unter die Richtlinie fallen Unternehmen, die wie bisher als Betreiber kritischer Infrastrukturen gelten, also beispielsweise Telekommunikations- und Informationstechnik bereitstellen, Teil der Nahrungsmittelversorgung sind, in der Energie- und Wasserversorgung tätig sind, die dem Transport- oder Logistiksektor angehören, Einrichtungen des Finanzwesens sind oder aus dem Gesundheitswesen stammen.
Was bedeutet NIS 2 für Ihr Unternehmen?
Für Ihr Unternehmen ergibt sich durch die NIS-2-Richtlinie eine Reihe an Pflichten, darunter die Registrierung bei der zuständigen Behörde, die Weitergabe von Kontaktdaten und die Meldung von erheblichen Sicherheitsvorfällen, welche eine schwerwiegende Betriebsstörung nach sich ziehen könnten. Die größte Umstellung für Unternehmen bringen jedoch die zusätzlichen Sicherheitsanforderungen durch NIS 2 mit sich.
Ein NIS-2-konformes Risikomanagement muss mindestens folgende Punkte abdecken:
- Risikoanalysen
- Umgang mit Sicherheitsvorfällen (Behebung, Aufrechterhaltung des Betriebs, Wiederherstellung nach einem Notfall)
- Sicherheit in der Lieferkette (Umgang mit Geschäftspartnern und Dienstleistern, Sicherheitsmaßnahmen bei Erwerb und Entwicklung von Informationssystemen)
- Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
- grundlegende Cyberhygiene und Schulungen für Mitarbeiter
- Richtlinien zu Kryptografie und Verschlüsselung von Daten
- Richtlinien im Rahmen der personellen Sicherheit (Zugriffskontrolle, Management von Anlagen)
- Richtlinien zur sicheren Authentifizierung und Kommunikation
- Etablierung von Notfallplänen
- Etablierung eines betrieblichen Kontinuitätsmanagements
Im Falle von Verstößen gegen die Verpflichtungen aus der NIS-2-Richtlinie drohen Unternehmen empfindliche Bußgelder von bis zu zehn Millionen Euro bzw. 2 % des Jahresumsatzes. Neben dem Bußgeldrisiko geht auch ein erhebliches Haftungsrisiko für die Unternehmensleitung einher.
Wie kann die GREWE Anwaltskanzlei Sie unterstützen?
Zunächst prüfen wir für Sie, ob Ihr Unternehmen unter die NIS-2-Richtlinie fällt und begleiten Sie dann im Anschluss bei der Implementierung der gesetzlichen Anforderungen im Unternehmen. Dies kann beispielsweise durch die Einführung eines Informationssicherheitsmanagementsystems nach ISO 27001 erfüllt werden. Dadurch kann Ihr Unternehmen eine langfristig solide Grundlage schaffen, um die spezifischen Anforderungen von NIS 2 zu erfüllen. Eine international anerkannte Zertifizierung wie die ISO 27001 bietet nicht nur eine bewährte Vorgehensweise zur Einhaltung von Sicherheitsstandards, sondern stärkt auch das Vertrauen von Kunden und Partnern in die Sicherheitsmaßnahmen des Unternehmens.