Die NIS 2-Richtlinie markiert einen Wendepunkt in der Cybersicherheitsstrategie der Europäischen Union. Angesichts der zunehmenden digitalen Bedrohungen zielt diese überarbeitete Richtlinie darauf ab, den Schutz kritischer Infrastrukturen signifikant zu verstärken und die Resilienz gegenüber Cyberangriffen zu erhöhen. Mit einem erweiterten Anwendungsbereich und strengeren Sicherheitsanforderungen stehen Unternehmen und öffentliche Einrichtungen vor neuen Herausforderungen, aber auch Chancen. In unserer Einführung beleuchten wir die Kernpunkte der NIS 2-Richtlinie, ihre Auswirkungen auf verschiedene Sektoren und die entscheidenden Schritte, die zur Compliance erforderlich sind.
Was bedeutet die NIS 2-Richtlinie?
Die im Jahr 2016 eingeführte NIS-Richtlinie markierte den Beginn eines EU-weiten Schutzes kritischer Infrastrukturen vor Cyber-Bedrohungen. Mit der Einführung von NIS2 geht die Europäische Union noch einen Schritt weiter, indem sie den Anwendungsbereich erweitert und einen allumfassenden Standard für Cybersicherheit etabliert. NIS2 zielt darauf ab, Unternehmen und öffentliche Einrichtungen gegen sämtliche Arten von Cyber-Bedrohungen zu wappnen, und macht Cybersicherheit zur „Chefsache“.
Wer ist von der NIS 2-Richtlinie betroffen?
Die NIS 2-Richtlinie erfasst nunmehr 18 Sektoren und gilt für Unternehmen und öffentliche Einrichtungen, die signifikante Größen aufweisen (mehr als 50 Mitarbeiter und einen Umsatz oder eine Bilanzsumme von mindestens 10 Mio. EUR). Doch auch kleinere Unternehmen und Einrichtungen können unter bestimmten Voraussetzungen in den Geltungsbereich fallen, wobei die spezifischen Bedingungen noch präzisiert werden sollen.
Wesentliche Anforderungen der NIS 2-Richtlinie
Unternehmen, die unter diese Richtlinie fallen, müssen umfassende Sicherheitsanforderungen erfüllen, die von Cybersecurity Governance über Incident-Management bis hin zu Business Continuity Management reichen. Diese Maßnahmen sollen nicht nur die Resilienz gegenüber Cyberangriffen erhöhen, sondern auch eine effiziente Reaktion auf Sicherheitsvorfälle ermöglichen.
Bedeutung für betroffene Unternehmen
Angesichts der weitreichenden Implikationen von NIS2 ist es für Unternehmen ratsam, sich frühzeitig mit den Anforderungen auseinanderzusetzen und entsprechende Sicherheitsstrategien zu entwickeln. Die Zusammenarbeit mit den zuständigen Behörden und die Einhaltung der vorgegebenen Sicherheitsmaßnahmen sind dabei von zentraler Bedeutung.
NIS 2-Richtlinie: Die nächsten Schritte
Die Mitgliedstaaten der EU sind aufgefordert, die NIS 2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Für Deutschland bedeutet dies voraussichtlich eine Anpassung des BSI-Gesetzes durch ein neues IT-Sicherheitsgesetz. Unternehmen, die neu in den Anwendungsbereich fallen, sollten die verbleibende Zeit nutzen, um die notwendigen Vorbereitungen zu treffen und ihre Cybersicherheitsmaßnahmen entsprechend anzupassen.
Die NIS 2-Richtlinie stellt einen bedeutenden Schritt in Richtung einer stärkeren und einheitlicheren Cybersicherheitslandschaft in Europa dar. Angesichts der sich ständig wandelnden Bedrohungslandschaft ist es entscheidend, dass alle betroffenen Akteure – von Unternehmen über öffentliche Einrichtungen bis hin zu den zuständigen nationalen Behörden – zusammenarbeiten, um die Sicherheit und Resilienz der kritischen Infrastrukturen zu gewährleisten.
Update: März 2024
Das Gesetz zur Umsetzung und Stärkung der Cybersicherheit gemäß NIS 2 (NIS2UmsuCG) wird voraussichtlich nicht bis zum Stichtag am 17. Oktober 2024 durch ein reguläres Gesetzgebungsverfahren mit Einhaltung der üblichen Prozesse und Fristen verabschiedet werden können. Dies könnte dazu führen, dass die EU-Kommission Strafzahlungen gegen Deutschland erhebt. Wann genau dies geschehen könnte, ist noch ungewiss. Es ist allerdings nicht unüblich, dass EU-Mitgliedstaaten Fristen der EU nicht einhalten. Es wird erwartet, dass auch bei der Umsetzung der NIS 2-Richtlinie einige Länder Verzögerungen erfahren werden.
