NIS2-Richtlinie: Was Unternehmen bis 2025 über Cybersicherheit wissen müssen
©PHAISITSAWAN/ Adobe Stock

26. September 2024

Die NIS2-Richtlinie der Europäischen Union: Ein Überblick über die neuen Cybersicherheitsanforderungen

Kategorien: Rechtsberatung

Mit der Verabschiedung der NIS2-Richtlinie setzt die Europäische Union einen weiteren bedeutenden Schritt zur Stärkung der Cybersicherheit in Unternehmen. Diese neue EU-Cybersicherheitsrichtlinie ist ein zentraler Teil der europäischen Bemühungen, die IT-Sicherheitsstrategie in Unternehmen und öffentlichen Institutionen zu verbessern. Die Richtlinie, die am 16. Januar 2023 in Kraft trat, muss bis zum 17. Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht überführt werden. In Deutschland geschieht dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das voraussichtlich im Oktober 2024 in Kraft tritt.

Was ist die NIS2-Richtlinie und wen betrifft sie?

Die NIS2-Richtlinie erweitert den Kreis der Unternehmen, die von den neuen Cybersicherheitsanforderungen betroffen sind. Während die frühere NIS-Richtlinie nur bestimmte Sektoren erfasste, betrifft NIS2 eine deutlich größere Anzahl von Unternehmen, einschließlich mittelständischer Betriebe. Besonders kritisch sind dabei kritische Infrastrukturen, zu denen auch Energie, Transport, Finanzwesen und Gesundheit gehören, sowie „wichtige Einrichtungen“, wie Abfallwirtschaft, Forschung und digitale Dienste.

Ein wichtiger Aspekt der NIS2-Compliance ist die Sicherheit der gesamten Lieferkette. Unternehmen müssen sicherstellen, dass nicht nur sie selbst, sondern auch ihre Dienstleister und Lieferanten die hohen Sicherheitsanforderungen der NIS2 einhalten. Das Ziel der Richtlinie ist es, Schwachstellen in der Lieferkettensicherheit nach NIS2 zu verhindern, die Cyberangreifern Zugang zu sensiblen Daten verschaffen könnten.

Welche Sicherheitsanforderungen stellt die NIS2-Richtlinie an Unternehmen?

Die NIS2-Richtlinie stellt strenge Anforderungen an das IT-Sicherheitsmanagement von Unternehmen. Dazu gehört die Durchführung von Risikoanalysen, die Etablierung von IT-Sicherheitsstrategien und die Umsetzung von IT-Sicherheitslösungen. Die Unternehmen müssen außerdem sicherstellen, dass die Verantwortlichkeiten klar definiert sind, insbesondere auf Ebene der Geschäftsführung.

Darüber hinaus schreibt die NIS2-Richtlinie strenge Berichtspflichten vor, insbesondere im Falle von Cyberangriffen oder anderen sicherheitsrelevanten Vorfällen. Unternehmen müssen Sicherheitsvorfälle schnell melden und nachweisen, dass sie Maßnahmen zur Risikominimierung ergriffen haben. Verstöße gegen die Richtlinie können erhebliche finanzielle Konsequenzen haben – bei kritischen Infrastrukturen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Wann tritt die NIS2-Richtlinie in Deutschland in Kraft?

Die Umsetzung der NIS2-Richtlinie in deutsches Recht muss bis zum 17. Oktober 2024 abgeschlossen sein. Unternehmen sollten sich bereits jetzt auf diese Frist vorbereiten, um sicherzustellen, dass sie die Anforderungen der neuen Richtlinie fristgerecht erfüllen.

Warum sollten Unternehmen handeln?

Unternehmen, die den Anforderungen der NIS2-Richtlinie nicht nachkommen, riskieren nicht nur hohe Bußgelder, sondern auch Haftungsansprüche gegen die Geschäftsleitung. Da die neuen Regelungen auch eine persönliche Haftung für Führungskräfte einführen, ist es entscheidend, dass Unternehmen rechtzeitig Maßnahmen ergreifen, um NIS2-Compliance sicherzustellen. Die Richtlinie verlangt unter anderem, dass IT-Sicherheitsstrategien regelmäßig überprüft und an neue Bedrohungen angepasst werden.

Vor allem der Fachkräftemangel in der IT-Sicherheit stellt eine große Herausforderung dar. Viele Unternehmen haben nicht die Ressourcen, um die Anforderungen intern zu bewältigen. Deshalb empfehlen viele Expert:innen die Zusammenarbeit mit externen Partner:innen.

Organisatorische Anforderungen an IT-Prozesse und -Systeme

Die neuen Anforderungen der NIS-2-Richtlinie stellen Unternehmen vor die Herausforderung, ihre IT-Prozesse und IT-Systeme auf ein höheres Sicherheitsniveau zu heben. Dies beginnt bereits bei der strategischen Planung und zieht sich über die operative Umsetzung bis hin zur laufenden Überwachung und Anpassung der Sicherheitsmaßnahmen. Unternehmen müssen zunächst ein umfassendes Risikomanagementsystem etablieren, das auf regelmäßigen Risikoanalysen basiert. Hierzu gehört die Identifikation von Schwachstellen in der IT-Infrastruktur, die Bewertung möglicher Bedrohungen sowie die Entwicklung von Maßnahmenplänen zur Minimierung dieser Risiken. Ein zentraler Aspekt ist die Einführung von Sicherheitsrichtlinien und -protokollen, die die gesamte IT-Landschaft abdecken – von Netzwerken und Endgeräten bis hin zu Cloud-Diensten und externen Dienstleistern.

Darüber hinaus sind Unternehmen verpflichtet, ein kontinuierliches Monitoring einzurichten, um ungewöhnliche Aktivitäten frühzeitig zu erkennen und darauf reagieren zu können. Dies erfordert den Einsatz von Technologien wie SIEM (Security Information and Event Management) und Endpoint Detection and Response (EDR). Ebenso wichtig ist die regelmäßige Schulung der Mitarbeitenden im Umgang mit sicherheitsrelevanten Themen, um das Bewusstsein für Cyberbedrohungen zu schärfen und menschliche Fehler zu minimieren.

Konkrete Maßnahmen und Vorgehensweisen zur Umsetzung

Um die Anforderungen der NIS-2-Richtlinie erfolgreich umzusetzen, sollten Unternehmen einen strukturierten Ansatz verfolgen. Zunächst ist eine Bestandsaufnahme der vorhandenen IT-Sicherheitsmaßnahmen und Sicherheitsstrukturen notwendig. Hierbei werden bestehende Sicherheitslücken identifiziert und bewertet. Auf Basis dieser Analyse wird ein Maßnahmenplan entwickelt, der unter anderem folgende Schritte umfasst:

  • Implementierung eines Informationssicherheitsmanagementsystems (ISMS): Ein ISMS nach ISO 27001 oder einem ähnlichen Standard hilft dabei, Sicherheitsprozesse zu etablieren und zu dokumentieren.
  • Durchführung regelmäßiger Penetrationstests und Sicherheitsüberprüfungen: Diese Tests dienen dazu, Schwachstellen in der IT-Infrastruktur aufzudecken und entsprechende Gegenmaßnahmen zu ergreifen.
  • Einführung eines Incident-Response-Managements: Ein klar definierter Plan für den Umgang mit Sicherheitsvorfällen ermöglicht eine schnelle und koordinierte Reaktion im Ernstfall.
  • Sicherstellung der Compliance durch Audits und Kontrollen: Regelmäßige Audits helfen, die Einhaltung der gesetzlichen Vorgaben zu überprüfen und Schwachstellen in den Prozessen zu identifizieren.

Die Umsetzung dieser Maßnahmen sollte in enger Zusammenarbeit mit internen IT-Abteilungen, externen Berater:innen und gegebenenfalls auch den zuständigen Behörden erfolgen. Wichtig ist dabei, dass die gesamte Organisation – vom Management bis hin zu den einzelnen Mitarbeitenden – in den Prozess eingebunden wird, um ein ganzheitliches Sicherheitsbewusstsein zu schaffen.

Herausforderungen für Unternehmen und der 17. Oktober 2024

Die Frist bis zum 17. Oktober 2024 stellt Unternehmen vor erhebliche Herausforderungen. Sie müssen in kurzer Zeit ihre internen Abläufe und Sicherheitsmaßnahmen anpassen, um die Anforderungen der NIS2-Richtlinie zu erfüllen. Besonders kleine und mittelständische Unternehmen stehen vor der Herausforderung, ihre IT-Sicherheitsstrategie zu modernisieren, ohne das gesamte System von Grund auf neu zu gestalten.

Ein weiteres zentrales Thema ist das IT-Sicherheitsgesetz, das durch die NIS2-Richtlinie verschärft wird. Unternehmen müssen sich auf häufige Prüfungen und Inspektionen einstellen, um sicherzustellen, dass ihre Cybersicherheitsstrategien den neuen Anforderungen entsprechen.

Unsere Einschätzung

Wann genau ein Unternehmen vom Anwendungsbereich der NIS2-Richtlinie erfasst wird, hängt – wie so oft – von einer Einzelfallprüfung ab. Besonders aufgrund der erweiterten Pflichten und der Einführung strengerer Sanktionen sollten Unternehmen nicht auf eine gesetzliche Umsetzung warten, sondern proaktiv prüfen, ob Handlungsbedarf besteht.

Unser Service:

Wir bieten Ihnen einen umfassenden Prüfungsservice an, um zu ermitteln, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist und ob Handlungsbedarf besteht. Unser Team arbeitet dabei eng mit unserem Kooperationspartner Flexcon zusammen, um die notwendigen Maßnahmen zur Erfüllung der gesetzlichen Vorgaben zu entwickeln. Damit stellen Sie sicher, dass Ihr Unternehmen die Anforderungen der NIS2-Richtlinie erfüllt und Sanktionen bei Verstößen vermieden werden. Wenden Sie sich bei Fragen entsprechend an unseren Rechtsanwalt Maurice Kettern und/oder an Geschäftsführer der Flexcon IT Christian Rühlemann.

Gerne unterstützen wir Sie mit einem zweistufigen Ansatz:

  1. Check: Wir prüfen, ob Ihr Unternehmen unter den Anwendungsbereich der NIS2-Richtlinie fällt.
  2. Handlungsempfehlungen: In Zusammenarbeit mit Geschäftsführer der Flexcon IT Christian Rühlemann und seinem Team entwickeln wir maßgeschneiderte Lösungen zur Umsetzung der Vorgaben.

Tags

Expert:innen zu diesem Thema

Keine passenden Personen gefunden.

Das könnte Sie auch interessieren

  • Unternehmensfusion: Erfahren Sie, wie Sie IT-Systeme erfolgreich integrieren und alle Compliance-Anforderungen erfüllen.

    Bei Unternehmensfusionen und Unternehmensumwandlungen stellen sich Unternehmen nicht nur rechtlichen und steuerlichen Herausforderungen, sondern oftmals auch einer komplexen technischen Umsetzung bzw. Integration. Zum einen existieren rechtlich und steuerlich verschiedene Möglichkeiten, Unternehmensstrukturen neu aufzustellen oder Unternehmen zu erwerben, die in [...]

    Julian Heesemann

    02. Okt 2024

  • Wir verbreitern unser Spektrum: Effektive Lösungen durch IT Consulting

    Viele unserer Mandant:innen haben Bedarf an IT-Dienstleistungen, sei es bei der Entwicklung von IT-Strategien, der Durchführung von Digitalisierungsprojekten oder der Optimierung von Geschäftsprozessen. Auch wir als Rechts- und Steuerberatung sind auf gute IT-Prozesse angewiesen. Damit unsere Mandant:innen die bestmögliche Unterstützung [...]

    Bruno Höveler

    29. Jun 2023

  • Wegzugsbesteuerung zwischen der EU und der Schweiz nicht EU-rechtskonform

    Der Bundesfinanzhof hat mit seinem Urteil vom 06.09.2023 (Az. I R 35/20) zur Konformität der Wegzugsbesteuerung im Sinn des § 6 Außensteuergesetz (AStG) mit dem EU-Recht bei einem Wegzug in die Schweiz geurteilt. Danach ist die Ausgestaltung der Wegzugsbesteuerung in [...]

    Christian Kappelmann

    01. Feb 2024