Unternehmen und öffentliche Einrichtigungen sind zunehmend Cyberangriffen ausgesetzt. Um das Cyberniveau in der EU verpflichtend auf ein hohes Niveau zu heben, ist inzwischen die sog. NIS-2-Richtlinie in Kraft getreten. Dazu ein kurzer Überblick:
- Was ist Ziel der NIS-2-RL?
Ziel ist die Anhebung des Cybersicherheitsniveaus in der EU auf ein hohes Niveau.
- Ab wann gilt die NIS-2-RL?
Die NIS-2-RL gilt auf EU-Ebene seit 2023 und muss bis zum 17.10.2024 auf nationaler Ebene umgesetzt werden.
- Wen betrifft die NIS-2-RL?
Die NIS-2-RL betrifft Unternehmen, die als kritisch eingestuft wurden, unabhängig von ihrer Größe (u.a. KRITIS-Unternehmen).
Im Übrigen sind Anknüpfungspunkte (wobei zwischen wesentlichen und wichtigen Einrichtungen unterschieden wird):
a) die Sektorenzugehörigkeit
(Auflistung in Anhang I (Sektoren mit hoher Kritikalität (bspw. Energie, Verkehr, Gesundheitswesen) und Anhang II der NIS-2-RL (Sonstige kritische Sektoren, bspw. Post- und Kurierdienste, Verarbeitendes Gewerbe, Anbieter digitaler Dienste (Marktplätze, Social Media Netzwerke)) und
b) die Unternehmensgröße
(mindestens mittlere Unternehmen, d.h. mit mind. 50 Beschäftigten oder mind. 10 Mio. Euro Jahresumsatz).
Die NIS-2-RL gilt also für kleine Unternehmen nicht, es sei denn diese wurden als wesentlich oder kritisch eingestuft.
- Welche Pflichten treffen Unternehmen, die unter die NIS-2-RL fallen?
Wesentliche und wichtige Einrichtungen müssen "geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme (...) zu beherrschen". Auswirkungen von Sicherheitsvorfällen sollen verhindert oder zumindest gering gehalten werden. Unternehmen, die der NIS-2-RL unterliegen, müssen daher u.a. folgende Verpflichtungen erfüllen:
- Einführung eines Risikomanagements zur Risikoanalyse
- Einführung eines Incident Managements (Cybervorfälle vorbeugen, erkennen, bewältigen)
- Business Continuity (Krisenmanagement, Backupmanagement, Notfallwiederherstellung)
- Einführung eines Sicherheitsmanagements in der Lieferkette
- Einführung eines Sicherheitsmangagements für Beschäftigte (Schulungen, Richtlinien, etc.)
- Cyberhygiene
- Sicherheit beim Einkauf (Erwerb, der Entwicklung, Wartung v. IT-Systemen)
- Einsatz gesicherter Notfall-Kommunikations-Systeme
- Vorgaben bzgl. Kryptografie, Verschlüsselung für wesentliche Bereiche
- Evaluation der ergriffenen Maßnahmen
- Einsatz von Multi-Faktor-Authentifizierung und Single-Sign-On
- Meldepflichten bei Sicherheitsvorfällen (innerhalb von 24 Stunden)
- Welche Sanktionen treffen Unternehmen bei Pflichtverletzungen?
Der Bußgeldrahmen liegt für wesentliche Einrichtungen bei 10 Mio. Euro oder 2 Prozent des weltweiten Umsatzes.
Wichtige Einrichtungen können mit bis zu 7 Mio. Euro oder 1,4 Prozent des weltweiten Umsatzes sanktioniert werden, wenn sie gegen Pflichten aus der NIS-2-RL verstoßen.
Haben Sie Beratungsbedarf zur NIS-2-Richtlinie, sprechen Sie mich gerne an!
Sofortantwort 24/7
