EU-Richtlinie zur Cybersicherheit nimmt Unternehmen in die Pflicht zur Umsetzung von IT-Sicherheitsmaßnahmen: Fact Sheet NIS-2

Nachdem zu Beginn des vergangenen Jahres die zweite Fassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) EU-weit in Kraft getreten ist, haben die EU-Mitgliedstaaten diese bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Deutschland liegt bereits ein Referentenentwurf zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor.

Auswirkungen wird die NIS-2 auf ca. 30.000 Unternehmen in Deutschland haben. Wer direkt und wer indirekt betroffen ist, welche Maßnahmen konkret umzusetzen sind und wer bei unzureichender Cybersicherheit im Unternehmen haftet - das Fact Sheet NIS-2 von Dr. Justus Gaden liefert einen Überblick.

Worum geht`s bei NIS-2?

Gegenstand: ist die EU-Richtlinie zur Cybersicherheit, die Unternehmen in die Pflicht zur Umsetzung von IT-Sicherheitsmaßnahmen nimmt.

Relevanz in Deutschland: In Deutschland sind ca. 30.000 Unternehmen unmittelbar betroffen. Die Umsetzungskosten liegen bei ca. 2,3 Mrd. EUR.

Timeline: Die Umsetzung der Richtlinie in deutsches Recht hat bis zum 17. Oktober 2024 zu erfolgen.

Wer ist betroffen?

Betroffen sind „Wesentliche Einrichtungen" und „Wichtige Einrichtungen".

Zu den „Wesentlichen Einrichtungen" zählen Große Unternehmen (ab 250 MA; 50 Mio. EUR Jahresumsatz) folgender Branchen:

• Energie
• Verkehr
• Bankenwesen
• Finanzmarkt
• Gesundheit
• Trinkwasser
• Abwasser
• Verwaltung von IKT-Diensten
• Weltraum

Den „Wichtigen Einrichtungen" lassen sich Mittlere Unternehmen (ab 50 MA; 10 Mio. EUR Jahresumsatz) mit folgenden Branchen-Schwerpunkten zuordnen:

• Energie
• Verkehr
• Bankenwesen
• Finanzmarkt
• Gesundheit
• Trinkwasser
• Abwasser
• Verwaltung von IKT-Diensten
• Weltraum

Weiterhin zählen Große & mittlere Unternehmen aus nachfolgenden Branchen zu den „Wichtigen Einrichtungen":

• Post und Kurier
• Abfall
• Chemie
• Lebensmittel
• Produktion
• Digitale Dienste
• Forschung

Zu beachten ist, dass betroffene Unternehmen IT-Sicherheitspflichten in der Lieferkette auch an Klein- und Kleinstunternehmen durchreichen werden. Für diese gelten die NIS-2-Pflichten dann mittelbar.

Welche Maßnahmen sind umzusetzen?

Zu den umzusetzenden Maßnahmen zählen:

• Konzept Risikoanalyse und Sicherheit für Informationssysteme
• Bewältigung von Sicherheitsvorfällen
• Business Continuity und Krisenmanagement
• Sicherheit der Lieferkette
• Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
• Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
• Cyberhygiene und Schulungen zur Cybersicherheit
• Kryptografie und ggf. Verschlüsselung
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle
• Multi-Faktor-Authentifizierung

Hierbei gelten Meldepflichten und so hat die Meldung von Cyber Security Incidents bei der Aufsichtsbehörde innerhalb von 24 Stunden zu erfolgen.

Bußgelder und Haftung

Die Bußgelder bei Verstößen sollen für „Wesentliche Einrichtungen" bei 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes liegen und bei „Wichtigen Einrichtungen" bei 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes.

Auch wird spätestens ab dem 17. Oktober 2024 das Thema Cybersecurity zur Chefsache. Schadenersatzansprüche bei unzureichender Cybersicherheit im Unternehmen können dann gegen Geschäftsführer bzw. Vorstandsmitglieder geltend gemacht werden.

„Fact Sheet NIS-2“ von Dr. Justus Gaden zum Download