Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) ist seit dem 16.01.2023 in Kraft und legt Vorschriften zur Cyber- und Informationssicherheit für Unternehmen und Institutionen fest. Ab Oktober 2024 sind die EU-Mitgliedstaaten verpflichtet, diese in nationales Recht zu überführen. In Deutschland ist geplant, die NIS-2 im März 2025 umzusetzen.
Die Richtlinie verschärft die Anforderungen und Sanktionen im Bereich Cybersicherheit, um das Sicherheitsniveau in den Mitgliedstaaten zu vereinheitlichen und zu verbessern. Sie stellt strengere Anforderungen an verschiedene Sektoren und verpflichtet Unternehmen und Organisationen, Maßnahmen im Cyber-Risikomanagement, in der Kontrolle und Überwachung, im Umgang mit Zwischenfällen sowie zur Sicherstellung der Geschäftskontinuität zu implementieren. Zusätzlich wird der Anwendungsbereich auf eine größere Anzahl von Organisationen ausgeweitet. Für die Geschäftsführung der betroffenen Organisationen gelten künftig strengere Haftungsregelungen.
Bisher war KRITIS in Deutschland vor allem für große Unternehmen relevant. Doch mit der NIS-2-Gesetzgebung rücken die Themen Cybersicherheit und Cyberresilienz nun auch für kleinere und mittlere Unternehmen stärker in den Fokus. Denn mit der NIS-2-Richtlinie erweitert sich der Kreis der betroffenen Unternehmen und Organisationen in verschiedenen kritischen Sektoren, die als unverzichtbar für Gesellschaft und Wirtschaft gelten.
Ob ein Unternehmen von den Regelungen der NIS-2 betroffen ist ergibt sich dabei aus den umfangreichen Regelungen der NIS-2. Die Richtlinie teilt die Sektoren in 18 Kategorien auf, von denen 11 als „wichtige“ und 7 als „wesentliche“ , also als besonders bedeutende Sektoren eingestuft sind. Die Einordnung in eine dieser beiden Gruppen bestimmt, wie intensiv die Behörden die Unternehmen überwachen und wie hoch die Strafen bei Nichteinhaltung der Richtlinie oder bei Verstößen ausfallen.
Die NIS2-Richtlinie bringt weitreichende Veränderungen für die Verantwortlichkeit des Managements im Bereich Cybersicherheit mit sich. Sie führt eine direkte Verantwortung und potenzielle persönliche Haftung für Führungskräfte ein. Leitungsorgane tragen nun die Verantwortung für die Umsetzung erforderlicher Cybersicherheits-Risikomanagementmaßnahmen und können bei Verstößen gegen Vorschriften persönlich haftbar gemacht werden. In schwerwiegenden Fällen droht sogar ein temporäres Verbot der Ausübung von Leitungsfunktionen.
Die Pflichten des Managements erweitern sich deutlich: Es muss aktiv in die Entwicklung und Umsetzung von Cybersicherheitsrichtlinien eingebunden sein, ausreichende Ressourcen bereitstellen und die Wirksamkeit der Maßnahmen regelmäßig überprüfen. NIS2 betont zudem die persönliche Verantwortung von Führungskräften. Gesetzliche Vertreter müssen die Einhaltung der Richtlinie sicherstellen, während Leitungsorgane Cybersicherheits-Risikomanagementmaßnahmen genehmigen und beaufsichtigen müssen.
Eine weitere wichtige Neuerung ist die Schulungspflicht. Mitglieder der Leitungsorgane wesentlicher Einrichtungen sind verpflichtet, Schulungen zu absolvieren. Auch für Mitarbeiter werden regelmäßige Schulungen empfohlen, um Risiken zu erkennen und Cybersicherheitspraktiken zu bewerten.
Diese Änderungen unterstreichen die zentrale Rolle des Managements bei der Gewährleistung der Cybersicherheit und erfordern ein proaktives Engagement der Führungsebene in diesem kritischen Bereich. Wir lassen Sie bei dieser Aufgabe nicht alleine und unterstützen bei der Erfüllung der Compliance-Anforderungen der NIS-2-Richtlinie:
Gemeinsam in 5 Schritten zur NIS-2-Konformität
1. Betroffenheitsidentifikation
Unternehmen müssen eigenständig prüfen, ob sie der NIS-2-Richtlinie unterliegen, da keine staatliche Bewertung oder Kategorisierung erfolgt. Wir bieten Unterstützung bei der Feststellung Ihrer NIS-2-Pflichtigkeit uns setzen das Fundament für Ihre NIS2-Bereitschaft.
2. Analyse & Zielsetzung
Wir identifizieren Ihre Lücken in Bezug auf die Anforderungen der Richtlinie und unterstützen Sie dabei, später eine extern abgesicherte Nachweisbarkeit der getroffenen Maßnahmen mittels Zertifizierung zu erlangen.
3. Maßnahmen definieren & umsetzen
Wir definieren gemeinsam die erforderlichen technischen und organisatorischen Maßnahmen, vorzugsweise im Rahmen eines bewährten Cybersicherheitsframeworks wie ISO 27001. Ziel ist es, gesetzliche Verpflichtungen zu erfüllen. Anschließend setzen wir diese Maßnahmen konsequent um.
4. Überwachung und Verbesserung
Im Rahmen der NIS-2-Richtlinie unterstützen wir Sie bei der Einführung effektiver Überwachungsmechanismen. Unsere Beratung umfasst die Implementierung von Notfallübungen und anderen Maßnahmen zur kontinuierlichen Überprüfung und Nachweis der Wirksamkeit Ihrer Cybersicherheitsstrategien.
5. Regelmäßige Audits
Wir führen die von NIS-2 geforderten regelmäßigen IKT-Audits für Sie durch. Diese Audits, zusammen mit unseren anderen Maßnahmen, bereiten Sie optimal auf potenzielle behördliche ad-hoc-Überprüfungen vor. Dadurch stellen wir sicher, dass Sie jederzeit angemessen auf Sicherheitsvorfälle reagieren und die Compliance-Anforderungen der NIS-2-Richtlinie erfüllen können.