NIS-2-Richtlinie: neue Cybersecurity-Pflichten verabschiedet

6 Tipps zur prak­ti­schen Umset­zung in Unternehmen

Am 28. Novem­ber 2022 hat der Rat der EU die Richt­li­nie „über Maß­nah­men für ein hohes gemein­sa­mes Cyber­si­cher­heits­ni­veau in der Uni­on“ (NIS-2-Richtlinie) ver­ab­schie­det. Sie tritt am zwan­zigs­ten Tag nach ihrer Ver­öf­fent­li­chung in Kraft. Die Mit­glied­staa­ten haben anschlie­ßend 21 Mona­te Zeit, die Vor­ga­ben in natio­na­les Recht umzu­set­zen, sodass spä­tes­tens bis 2024 neue Rege­lun­gen zur Cyber­si­cher­heit gel­ten wer­den. Spä­tes­tens mit der Umset­zung der Richt­li­nie kom­men umfang­rei­che Pflich­ten auf Unter­neh­men zu. Auf­grund der kur­zen Umset­zungs­zeit soll­ten Unter­neh­men bereits jetzt die Neue­run­gen der NIS-2-Richtlinie beachten.

Anfor­de­run­gen der NIS-2-Richtlinie für Unter­neh­men © reusch­law 2022

1. Betrof­fen­heit prüfen

Unter­neh­men soll­ten prü­fen, ob sie dem Anwen­dungs­be­reich der NIS-2-Richtlinie unter­fal­len, da die­ser erheb­lich erwei­tert wur­de. Erfasst wer­den alle Unter­neh­men, die über 50 Per­so­nen beschäf­ti­gen, einen Jah­res­um­satz bzw. eine Jah­res­bi­lanz von über 10 Mio. EUR haben und einem der kri­ti­schen Sek­to­ren unter­fal­len. Bezüg­lich der wesent­li­chen Sek­to­ren wur­den sowohl gänz­lich neue Sek­to­ren wie z.B. Abwas­ser oder die Ver­wal­tung von IKT-Diensten als auch Ergän­zun­gen der bis­he­ri­gen Sek­to­ren ein­ge­fügt. Glei­ches gilt für die wich­ti­gen Sek­to­ren, wor­un­ter künf­tig u.a. die Waren­her­stel­lung in allen Berei­chen, wie z.B. der Pro­duk­ti­on von Com­pu­tern oder den Bran­chen Health­ca­re, Maschi­nen­bau und Mobi­li­ty, fal­len wird.

2. Risi­ko­ma­nage­ment etablieren

Die NIS-2-Richtlinie legt in Art. 21 aus­drück­lich fest, dass die betrof­fe­nen Ein­rich­tun­gen unter Berück­sich­ti­gung des Stands der Tech­nik geeig­ne­te und ver­hält­nis­mä­ßi­ge tech­ni­sche, orga­ni­sa­to­ri­sche sowie ope­ra­ti­ve Maß­nah­men ergrei­fen müs­sen, um Cyber­si­cher­heits­ri­si­ken zu beherr­schen und Aus­wir­kun­gen von Sicher­heits­vor­fäl­len zu ver­mei­den. Zur Kon­kre­ti­sie­rung sieht die Richt­li­nie eine Viel­zahl von Min­dest­maß­nah­men vor. Hier­zu zäh­len u.a. die Imple­men­tie­rung von Risikoanalyse- und Sicher­heits­kon­zep­ten für Infor­ma­ti­ons­sys­te­me, die Bewäl­ti­gung von Sicher­heits­vor­fäl­len, ein Backup- und Kri­sen­ma­nage­ment, die Gewähr­leis­tung der Sicher­heit in der Lie­fer­ket­te, Cybersicherheits-Schulungen sowie ein Ver­fah­ren zur Bewer­tung der Wirk­sam­keit der Risi­ko­ma­nage­ment­maß­nah­men. Unter­neh­men soll­ten daher zur Prä­ven­ti­on von Cyber­an­grif­fen sowie für den Ernst­fall ein funk­tio­nie­ren­des Inci­dent Respon­se Manage­ment sicherstellen. 

3. Cyber­se­cu­ri­ty ist Chefsache

Die zen­tra­le Ver­ant­wor­tung für das Risi­ko­ma­nage­ment nach der NIS-2-Richtlinie tra­gen die Lei­tungs­or­ga­ne. Sie sind ins­be­son­de­re ver­pflich­tet, die Umset­zung von Cyber­si­cher­heits­maß­nah­men zu über­wa­chen, und kön­nen im Fal­le der Nicht­ein­hal­tung per­sön­lich zur Ver­ant­wor­tung gezo­gen wer­den. Dar­über hin­aus müs­sen die Lei­tungs­or­ga­ne an Cybersicherheits-Schulungen teil­neh­men und sicher­stel­len, dass allen Mit­ar­bei­tern bei Bedarf ent­spre­chen­de Schu­lun­gen ange­bo­ten werden.

6 Tipps zur Umset­zung der NIS-2-Richtlinie © reusch­law 2022

4. Mel­de­pflich­ten berücksichtigen

Unter­neh­men unter­lie­gen künf­tig stren­gen Mel­de­pflich­ten. Ein­rich­tun­gen, die der NIS-2-Richtlinie unter­lie­gen, müs­sen über jeden Sicher­heits­vor­fall, der erheb­li­che Aus­wir­kun­gen auf die Erbrin­gung ihrer Diens­te hat, Bericht erstat­ten. In beson­ders schwe­ren Fäl­len sind zudem unver­züg­lich die Nut­zer zu benach­rich­ti­gen und ggfs. sogar die Öffent­lich­keit zu infor­mie­ren. Um den Mel­de­pflich­ten zu genü­gen, soll­ten Unter­neh­men daher eine effek­ti­ve Kri­sen­kom­mu­ni­ka­ti­on eta­blie­ren und die­se für den Not­fall erproben.

5. Behörd­li­che Maß­nah­men vermeiden

Zur Durch­set­zung der Cybersicherheits-Vorgaben wer­den den natio­na­len Behör­den künf­tig zahl­rei­che Kontroll- und Sank­ti­ons­maß­nah­men zur Ver­fü­gung ste­hen. Zu nen­nen sind u.a. Vor-Ort-Kontrollen, Sicher­heits­prü­fun­gen sowie Anwei­sun­gen oder Anord­nun­gen. Bei Ver­stö­ßen dro­hen Unter­neh­men Buß­gel­der von bis zu 10 Mio. EUR oder 2% des gesam­ten welt­wei­ten Jah­res­um­sat­zes. Dar­über hin­aus wer­den die natio­na­len Behör­den auch befugt sein, War­nun­gen über Ver­stö­ße her­aus­zu­ge­ben. Neben der bis­he­ri­gen Befug­nis des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik, Pro­dukt­war­nun­gen aus­zu­spre­chen, dro­hen mit Umset­zung der Richt­li­nie damit ver­mehrt öffent­li­che War­nun­gen, die Unter­neh­men erheb­lich belas­ten können.

6. Wei­te­re Rege­lun­gen beachten

Das Recht wird zum Trei­ber der Cyber­si­cher­heit. Die EU hat auf die fort­schrei­ten­de Bedro­hungs­la­ge im Cyber­raum reagiert und es wird zukünf­tig euro­pa­weit ver­bind­li­che Vor­ga­ben zur Cyber­si­cher­heit geben. Neben den unter­neh­mens­be­zo­ge­nen Anfor­de­run­gen der NIS-2-Richtlinie wer­den mit dem Cyber Resi­li­ence Act auch pro­dukt­be­zo­ge­ne Vor­ga­ben zur Cyber­si­cher­heit auf Unter­neh­men zukommen.

reuschlaw Onepager NIS-2 Compliance

reusch­law One­pager NIS‑2 Compliance

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.