Was ist NIS2 eigentlich?

Die Network and Information Security Directive 2 (NIS2) ist eine umfangreiche, EU-weite Richtlinie, die Ende 2022 beschlossen wurde. Sie umfasst eine Vielzahl an IT-sicherheitstechnischen Standards, die von einer breiten Menge an Unternehmen umgesetzt werden müssen.

Neu an NIS2 ist, dass nicht nur Betreiber kritischer Infrastrukturen betroffen sind. Auch Unternehmen aus Bereichen wie der Lebensmittelproduktion, chemischen Verarbeitung oder Forschung müssen die Anforderungen erfüllen, sofern sie mehr als 50 Mitarbeitende beschäftigen oder einen Jahresumsatz von mehr als 10 Mio. € erzielen.

Da NIS2 eine EU-Richtlinie ist, muss sie von den Mitgliedstaaten in nationales Recht überführt werden, bevor sie verbindlich gilt. In Deutschland wird das sogenannte NIS2-Umsetzungsgesetz den rechtlichen Rahmen schaffen, an denen sich Unternehmen letztendlich halten müssen. Nach Angaben des BSI wird das NIS2-Umsetzungsgesetz Ende 2025 bis Anfang 2026 in Kraft treten.

NIS-2: Sind Sie bereit?

Die digitale Bedrohungslage für Unternehmen wächst täglich und die EU reagiert. Mit der NIS2-Richtlinie zur Cybersicherheit erhöht sie die Mindestanforderungen an die Cybersicherheit für rund 29.000 Unternehmen allein in Deutschland.

Neben großen KRITIS-Betreibern müssen auch viele mittelständische Unternehmen ihre Cybersecurity-Strategie anpassen, um den gesetzlichen Vorgaben gerecht werden. Wer jetzt handelt, stärkt nicht nur seine IT-Sicherheit, sondern auch das Vertrauen von und Kunden und Partnern.

Was fordert NIS2?

Aufbauend auf bereits vorhandene Richtlinien besteht NIS2 grundsätzlich aus drei Themenkomplexen: Risikomanagement & Cybersicherheitsmaßnahmen, Meldepflichten und Schulung. Für all diese Punkte gilt zur Nachweisbarkeit eine umfassende Dokumentationspflicht.

Risikomanagement & Cybersicherheitsmaßnahmen

Unternehmen sind nach NIS2 verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen und zu dokumentieren. Dabei richtet sich die Verhältnismäßigkeit am Risiko. Größe der Einrichtung, etwaige Kosten, Eintrittswahrscheinlichkeit und Schwere der Folgen sind zusätzlich Kriterien, welche die Bemessung beeinflussen.

Das Risikomanagement muss alle IT-Systeme, Komponenten und Prozesse erfassen, die das Unternehmen zur Erbringung seiner Dienstleistungen verwendet.

Folgende Maßnahmen zählen dabei zu den Mindestanforderungen:

- Risikoanalyse
- Umgang mit Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, Backup-Management, Disaster Recovery, Krisenmanagement
- Sicherheit in der Lieferkette
- Sicherheitsmaßnahmen für Beschaffung, Entwicklung und Wartung Systematische Bewertung der Wirksamkeit von Maßnahmen zum IT-Sicherheitsrisikomanagement
- Grundlegende Cyberhygiene
- Schulungen zur Informationssicherheit
- Systematischer Einsatz von Kryptografie und Verschlüsselung
- Personalsicherheit, Konzepte für Zugriffskontrolle und Asset Management
- Einsatz von Authentifizierungslösungen, sichere Sprach-, Video- und Textkommunikation

Meldepflichten

Von NIS2 betroffene Unternehmen müssen dem BSI erhebliche Sicherheitsvorfälle melden. Ob Sicherheitsvorfälle erheblich sind oder nicht, hängt davon ab, ob Schäden für das eigene Unternehmen oder andere Unternehmen entstanden sind oder voraussichtlich entstehen werden. Schäden müssen dabei nicht nur monetär, sondern können auch rechtlich oder reputativ sein

Die Meldefristen sind dabei streng bemessen. Nach Kenntniserlangung muss innerhalb von 24 Stunden eine frühe Erstmeldung erfolgen. Nach 72 Stunden eine zweite mit aktuellen Erkenntnissen und nach 30 Tagen eine Abschlussmeldung. Die Meldung beinhaltet eine Bewertung unter Aspekten wie Schweregrad und Auswirkung des Vorfalls.

Unternehmen müssen also Systeme etablieren, welche eine zeiteffiziente und reaktive Aktion beim Auftreten von Sicherheitsvorfällen auslöst und den Kontakt zum BSI pflegt.

Schulung

Ein zentraler Bestandteil von NIS2 ist die regelmäßige Schulung und Sensibilisierung aller Mitarbeitenden im Umgang mit Informationssicherheit. Unternehmen müssen sicherstellen, dass Beschäftigte über die notwendigen Kenntnisse verfügen, um Sicherheitsrisiken frühzeitig zu erkennen und angemessen zu reagieren. Dies betrifft nicht nur IT-Fachkräfte, sondern insbesondere auch Mitarbeitende in Verwaltung, Produktion und Management.

Die Schulungen sollen dazu beitragen, ein unternehmensweites Bewusstsein für Cyberrisiken zu schaffen und den sicheren Umgang mit digitalen Arbeitsmitteln zu fördern. Inhalte können Themen wie Phishing-Erkennung, sicheres Passwortmanagement, der Umgang mit sensiblen Daten oder das richtige Verhalten bei Sicherheitsvorfällen umfassen.

Darüber hinaus verpflichtet NIS2 auch die Geschäftsleitung, sich regelmäßig über aktuelle Bedrohungen und Schutzmaßnahmen zu informieren. Die Verantwortung für Cybersicherheit liegt ausdrücklich auf Leitungsebene. Führungskräfte müssen daher nachweislich geschult werden, um die Einhaltung der Sicherheitsanforderungen zu überwachen und fundierte Entscheidungen treffen zu können.

Unternehmen sollten die Durchführung und Teilnahme an Schulungen dokumentieren, um gegenüber Aufsichtsbehörden nachweisen zu können, dass die Vorgaben aus NIS2 erfüllt werden.

Sind Sie von der NIS2 Richtlinie betroffen?

Die NIS2-Richtlinie gilt für Unternehmen, Organisationen und Behörden, die in bestimmten kritischen Sektoren tätig sind. Diese Sektoren sind in zwei Gruppen eingeteilt: wichtige Einrichtungen und besonders wichtige Einrichtung.

Grundsätzlich betroffen sind alle nach NIS2 als wichtig und besonders wichtig eingestuften Einrichtungen sobald diese mindestens 50 Mitarbeitende beschäftigen oder einem Jahresumsatz über 10 Millionen Euro erzielen.

Betroffene Sektoren

„Besonders wichtige“ Einrichtungen

Darunter fallen:

Energie
Transport und Verkehr
Finanzwesen
Gesundheit
Wasser
Digitale Infrastruktur
Weltraum

„Wichtige“ Einrichtungen

Darunter fallen:

Abfallbewirtschaftung
Handel mit chemischen Stoffen, Lebensmitteln, medizinischen, elektronischen oder maschinenbautechnischen Ausrüstungen
Anbieter digitaler Dienste
Forschung
Postdienste

Ihr Ansprech-
partner

Philipp Krieg

IT-Berater

Telefon: 0441 9710-0

Bremen | Oldenburg | Wildeshausen
info@treuhand.de | Telefon: 0441 9710-0