Hintergrund – Worum geht es?
Die EU hat mit der NIS 2-Richtlinie zur Erhöhung der Cybersicherheit den europäischen Rahmen für Betreiber Kritischer Infrastrukturen bzgl. Cyber Security Mindeststandards in der EU festgelegt. Die Richtlinie mit der Nummer (2022/2555) löst die bisherige NIS-Richtlinie ab und ist seit 2023 in Kraft.
Zur Erinnerung EU-Richtlinien müssen im Gegensatz zu EU-Verordnungen erst noch in lokales Gesetz umgewandelt werden. Deswegen musste die Datenschutzgrundverordnung (DSGVO) auch nicht in lokales Gesetz umgewandelt werden.
Die Umsetzung der EU-Richtlinie in nationales Recht erfolgt voraussichtlich durch das Artikelgesetz NIS2UMsuCG im März bzw. Oktober 2024. Die Nachweispflicht zur Umsetzung der Maßnahmen würde dann voraussichtlich erst zwei bzw. drei Jahre später greifen, sprich frühestens im Oktober 2026.
Inhalt – was steht denn drin?
Die gravierendste Veränderung ist die Erweiterung des Geltungsbereichs. So ziemlich alle Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Mio. EUR Umsatz in den einschlägigen Sektoren (u.a. Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Bankwesen, Finanzmärkte, Digitale Infrastruktur, IKT-Dienste, Weltraum, Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, digitale Dienste, Forschung (also ja so ziemlich alles)).
Erste Schätzungen gehen dabei von mindestens 30.000 zusätzlichen Unternehmen, die unter die Anforderungen fallen werden.
Eine weitere wichtige Änderung ist die Erhöhung der Strafen auf bis zu 7 bzw. 10 Mio. EUR, je nach Sektor und Art der Einrichtung bzw. bis zu 1,4 % bzw. 2 % des weltweiten Umsatzes.
Wie auch bei der DSGVO wird versucht über höhere Strafen das Thema wichtiger zu priorisieren.
Eine andere kleine, aber trotzdem wichtige Änderung betrifft die Haftung der Geschäftsführung. Die Geschäftsführung ist verpflichtet Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu
Überwachen. Bei Verletzung dieser Pflicht haften die Geschäftsführer dem Unternehmen für den entstandenen Schaden.
Die Anforderungen an Betreiber und Einrichtungen ändern sich mit der NIS2-Umsetzung deutlich. Die bisherigen KRITIS-Pflichten bleiben in Grundzügen erhalten, werden teils präzisiert, teils verschärft und neu strukturiert.
KRITIS Unternehmen sind nun verpflichtet
- Maßnahmen zum Risikomanagement umzusetzen,
- Etwaige Sicherheitsvorfälle an das BSI zu melden,
- Sich als kritisches Unternehmen beim BSI registrieren,
- Nachweise zur Umsetzung der Vorgaben einreichen
Das kommt evtl. schon dem einen oder anderen Unternehmen bekannt vor, das war im Groben aber schon auch bei NIS1 so. Die genauen Auswirkungen unterscheiden sich dann auch je nach Unternehmen
Was ist zu tun?
Hier der Aufruf an alle Unternehmen sich rechtzeitig mit dem Thema zu beschäftigen. Bis die Nachweisfrist voraussichtlich 2026 endet ist zwar noch Zeit, aber auch bei der DSGVO war die Frist auch schneller abgelaufen als man gedacht hat. Für NIS2 sind unter Umständen auch einige Prozesse bzw. Systeme im Unternehmen zu verändern, die man nicht über Nacht machen kann.
Bevor man sich die Anforderungen anschaut und abgleicht, ob die Ist-Situation mit den Anforderungen der NIS2 übereinstimmt und wo noch Abweichungen sind, sollte man in einem ersten Schritt erstmal prüfen, ob man denn überhaupt unter NIS2 fällt.
Nach der Gap Analyse kann man dann eine Roadmap entwickeln, wie und bis wann die fehlenden Anforderungen erfüllt werden. Sobald alle Anforderungen erfüllt werden, muss die Umsetzung von Cybersecurity Maßnahmen dem BSI nachgewiesen werden.
Da die Umsetzung der Maßnahmen nicht in einem Monat gemacht ist, bitte frühzeitig damit beginnen. Wir unterstützen gerne!
Quellen:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
https://intrapol.org/wp-content/uploads/2023/05/NIS2UmsuCG.pdf
https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html