Kurz & kompakt: NIS2-Ratgeber für Geschäftsführer und IT-Leiter

Alles, was Sie jetzt über NIS2 wissen müssen

Für viele Unternehmen in Deutschland und Europa drängt die Zeit: Die europäische Richtlinie für Cybersecurity „NIS2“ verlangt, dass sie sich bis Ende 2024 nachweisbar und verpflichtend besser gegen IT-Angriffe schützen.

Bei Nicht-Einhaltung bzw. Nicht-Umsetzung der umfangreichen, geforderten Maßnahmen drohen Bußgelder und Sanktionen. Mit diesem Ratgeber möchten wir Klarheit schaffen und wichtige Fragen zu NIS2 beantworten.

Was bedeutet NIS2?

Die Abkürzung „NIS2“ steht für die „Network and Information Security Directive 2“ (Richtlinie über Netz- und Informationssysteme 2).

Die NIS2-Richtlinie ist eine europäische Gesetzgebung, die darauf abzielt, die Cyberresilienz in der Europäischen Union zu stärken. Sie baut auf der ersten NIS-Richtlinie auf und erweitert deutlich den Anwendungsbereich auf zusätzliche Branchen. Ziel ist es, die Sicherheit von Netz- und Informationssystemen zu verbessern. NIS2 tritt am 17.10.2024 in Kraft.

Die NIS2-Richtlinie legt bestimmte Anforderungen für betroffene Unternehmen fest. Sie müssen Sicherheitsmaßnahmen implementieren, um die Integrität, Verfügbarkeit, Vertraulichkeit und Robustheit ihrer Netz- und Informationssysteme sicherzustellen. Neben diesen Maßnahmen zur Gewährleistung der Sicherheit kommt die Verpflichtung zur Meldung von schwerwiegenden Sicherheitsvorfällen an nationale Behörden hinzu.

Welche Unternehmen sind von NIS2 betroffen?

Die EU unterteilt Unternehmen, für die NIS2-Richtlinien gelten, in zwei Kategorien: „wesentlich“ und „wichtig“.

Erstere wurden zum Teil schon in der ersten NIS-Fassung erwähnt. In der neuen Version umfasst diese Kategorie aber mehr Sektoren. Die zweite Gruppe der wichtigen Organisationen definiert die EU-Regelung ganz neu. Direkt betroffen sind jeweils nur Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von mehr als zehn Mio. EUR.

Zur Gruppe der wesentlichen Organisationen gehören vor allem KRITIS-Unternehmen, also Betriebe mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall gravierende Folgen hätte. NIS2 nennt hier folgende Bereiche:

  • Energie-, Wasser- und Abwasserversorgung
  • Transport
  • Finanz- und Bankwesen
  • Gesundheit
  • Digitale Infrastruktur
  • ITK-Dienstleistungsmanagement
  • öffentliche Verwaltung
  • Weltraum

Zu den wichtigen Organisationen werden folgende Branchen gezählt:

  • Post- und Kurierdienste
  • Abfall
  • Lebensmittel
  • Chemikalien
  • digitale Dienste (etwa für Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke)
  • Industrie (unter anderem Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräte)
  • Forschung

Lieferketten und mehr: Warum auch andere und kleine Unternehmen unter NIS2 fallen können

Für kleine Unternehmen greift NIS2 zwar eigentlich nicht. Gemeint sind damit Firmen, die weniger als 50 Mitarbeiter beschäftigen und deren Jahresumsatz bzw. Jahresbilanzsumme maximal zehn Millionen Euro beträgt. Allerdings gibt es Ausnahmen, bei denen die Unternehmensgröße keine Rolle spielt.

So können mittelgroße und kleine Firmen dann ins Visier geraten, wenn sie als Dienstleister und Lieferanten für die direkt von NIS2 betroffenen Organisationen tätig sind. Dann sind sie unter Umständen gezwungen, ebenso strenge Sicherheitsvorkehrungen einzuhalten, um die gesamte Lieferkette zu schützen. Es kann beispielsweise passieren, dass ein Automobilhersteller seinen Zulieferer verpflichtet, bestimmte Cybersecurity-Technologien oder -Methoden einzuführen, um selbst nicht gegen die EU-Vorgaben zu verstoßen.

Cybersecurity im Maschinenbau

Frist 17.10.2024: Jetzt handeln, bevor es zu spät ist!

Erfahren Sie, wie Sie als Geschäftsführer die Cyberreslienz in Ihrem Unternehmen erhöhen, um die neuen gesetzlichen Pflichten durch NIS2 erfüllen zu können.

  • Rechtzeitig Cyberresilienz erhöhen ohne eigenen Know-how-Aufbau
  • Risiken von Produktionsausfällen und Schäden reduzieren
  • Geschäftsführer-Haftung minimieren
  • hohe Bußgelder vermeiden
Management-Information NIS2

Was sind die Vorgaben für Cybersicherheit?

Betroffene Unternehmen müssen laut NIS2-Richtlinie geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der eigenen Netz- und Informationssysteme zu beherrschen. Zudem sollen die Auswirkungen von Sicherheitsvorfällen verhindert bzw. minimiert werden.

NIS2 ist Chefsache. Die EU verlangt, dass sich um das Thema die Leitungsebene kümmern muss. Die Richtlinie nennt verschiedene Bereiche und Maßnahmen, die mindestens abgedeckt werden müssen. Dazu gehören unter anderem:

  • Konzepte in Bezug auf Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs durch Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement
  • Sicherheit der Lieferkette, auch bei unmittelbaren Anbietern oder Diensteanbietern
  • Management und Offenlegung von Schwachstellen
  • Schulungen im Bereich der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptographie und Verschlüsselung

Zu den wichtigsten Schritten gehören zum Beispiel folgende konkrete Maßnahmen:

  • Implementierung von Risikoanalyse- und Sicherheitskonzepten für alle Informationssysteme
  • Bewertung der Wirksamkeit der eigenen Methoden für das Risikomanagement
  • Erstellung eines Konzepts zum Umgang mit Sicherheitsvorfällen
  • Implementierung eines Backup- und Krisenmanagements
  • Einrichtung eines Meldesystems
  • Schulungen von Mitarbeitern
  • Gewährleistung der Sicherheit der Lieferkette.

Verschärfung der Meldepflicht: Was ist bei einem Cybervorfall zu tun?

Unternehmen müssen dem BSI (Bundesamt für Sicherheit in der Informationstechnik) signifikante Sicherheitsvorfälle melden. Vorgesehen ist dafür ein dreistufiger Prozess:

  1. Innerhalb von 24 Stunden muss direkt nach Bekanntwerden eines Vorfalls ein vorläufiger Bericht übermittelt werden.
  2. Innerhalb von 72 Stunden muss ein vollständiger Bericht folgen, der auch eine erste Bewertung des Vorfalls enthält.
  3. Innerhalb eines Monats muss ein Abschlussbericht eingereicht werden, der eine detaillierte Beschreibungen des Vorfalls mit der Art der Bedrohung enthält.

In einigen Fällen können nationale Behörden dazu berechtigt sein, Verstöße öffentlich bekannt zu machen. Dies kann den Ruf eines Unternehmens erheblich beeinträchtigen. Die nationalen Behörden können auch Zwangsmittel und Anordnungen verhängen, um sicherzustellen, dass das Unternehmen die erforderlichen Sicherheitsmaßnahmen ergreift und sicherstellt, dass zukünftige Verstöße vermieden werden.

Welche Bußgelder drohen bei Nichteinhaltung von NIS2?

Der Referentenentwurf des Bundesinnenministeriums sieht vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften.

  • Bei wesentlichen Einrichtungen können die Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist.
  • Bei wichtigen Einrichtungen ist das maximale Bußgeld auf 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes gedeckelt.

Gibt es Förderprogramme mit finanzieller Unterstützung der NIS2-Umsetzung?

Einzelne Bundesländer haben Förderprogramme zur Steigerung der Cybersicherheit in der Wirtschaft aufgesetzt.

In Nordrhein-Westfalen gibt es z. B. das Förderprogramm MID-Digitale Sicherheit. Es bietet die Chance, bis zu 15.000 Euro zu erhalten, um die digitale Selbstverteidigung zu stärken.

Eingerichtet wurde der Fördertopf im Rahmen des übergreifenden Förderprogramms „Mittelstand Innovativ & Digital” (kurz: MID). Um Maßnahmen zur digitalen Sicherheit schneller umzusetzen, können Betriebe jetzt auch einen Durchführungszeitraum von drei Monaten auswählen. Im Bereich Software sind Patchmanagement-Lösungen hinzugekommen. Außerdem lässt sich nun auch Hardware für Firewalls fördern. Genaueres zu den aktuell geförderten Maßnahmen erfahren Sie hier.

NIS2 - Fluch oder Segen: Welche Sorgen hat der Mittelstand?

Mittelständische Geschäftsführer haben beim Thema NIS2 Bedenken, da die Richtlinie verschiedene Anforderungen und Auswirkungen auf ihr Unternehmen mit sich bringt:

  1. Kosten und Ressourcen
    Es ist im Vorfeld nicht abzusehen, welche technologischen Investitionen nach dem aktuellen Stand der Technik notwendig sind. Die Umsetzung von NIS2 belastet in jedem Fall das Budget, da sie finanzielle Mittel und Ressourcen erfordert. Mittelständische Unternehmen könnten daher vor dem Hintergrund des Fachkräftemangels Schwierigkeiten haben, angemessene Prozesse und Ressourcen für ein effektives Risikomanagement zu implementieren

  2. Komplexität der Anforderungen
    Die Richtlinie beschreibt Maßnahmen nicht konkret. Es könnte Unsicherheiten bei der Auslegung bestimmter Teile der NIS2 geben. So entsteht Interpretationsspielraum, verhältnismäßige und angemessene Maßnahmen für das eigene Unternehmen abzuleiten.

  3. Auswirkungen auf das Kerngeschäft
    Die Umsetzung der Sicherheitsmaßnahmen und die Meldung von Sicherheitsvorfällen binden Personalressourcen und können den normalen Geschäftsbetrieb beeinflussen, so dass die Produktivität und Effizienz sinkt.

  4. Strafen und Sanktionen
    Die Nichteinhaltung von NIS2 kann zu rechtlichen Konsequenzen führen, einschließlich hoher Geldstrafen.

  5. Steigende Cybersicherheitsrisiken
    Unternehmen sind besorgt, dass sie trotz Einhaltung der NIS2-Anforderungen, immer noch zum Ziel von Cyberangriffen werden können, die das Unternehmen schwer schädigen.

  6. Datenschutz und Kundenvertrauen
    Vorfälle und Verletzungen, einhergehend mit entsprechender Veröffentlichung, beeinträchtigen das Vertrauen von Kunden, Partnern und Mitarbeitenden in das Unternehmen und schädigen den guten Ruf.

  7. Notwendige Schulungen
    Neben Zeit und Ressourcen für Sensibilisierungsmaßnahmen der Mitarbeitenden besteht die Frage, welche regelmäßig durchzuführenden Schulungen ausreichend sind, um Cyberangriffe zu minimieren bzw. rechtzeitig zu erkennen.

  8. Lieferkette
    Es erfordert neue wirksame Prozesse, um sicherzustellen, dass die Lieferanten und Partner ebenfalls NIS2-konform sind.
  1. Wettbewerbsfähigkeit
    NIS2 betroffene Unternehmen könnten in Ihrer Wettbewerbsfähigkeit beeinträchtigt werden gegenüber anderen Unternehmen, die weniger strenge Anforderungen erfüllen müssen.

Wie starte ich das NIS2-Projekt in meinem Unternehmen?

Da die Umsetzung ab Oktober 2024 gesetzlich vorgeschrieben ist, ist es wichtig, bereits heute Maßnahmen zu ergreifen.

  1. Projekt initialisieren – Aktion statt Reaktion

    Sie sollten zu Beginn den Zeitaufwand und das benötigte Budget grob planen, Zuständigkeiten festlegen und die benötigten Ressourcen anmelden. Die Zeit bis zum Inkrafttreten von NIS2 ist kurz, vor allem wenn die Umsetzung neben dem eigentlichen Tagesgeschäft erfolgen muss. Da das Gesetz Haftungsrisiken und empfindliche Strafen vorsieht, ist „Aufschieben“ keine Lösung. Arbeitspakete müssen identifiziert und zeitlich in einer Roadmap geplant werden.

  2. Bewusstsein schaffen
    Informieren Sie sich über die Anforderungen der NIS2-Richtlinie und verstehen Sie, wie sie sich auf Ihr Unternehmen auswirken könnten. Sensibilisieren Sie die relevanten Stakeholder in Ihrem Unternehmen, einschließlich des Managements, der IT-Abteilung und anderer relevanten Abteilungen für die Bedeutung von Netz- und Informationssicherheit.

  3. Bestandsaufnahme – Risikobewertung durchführen
    Welche Sicherheitsmaßnahmen bestehen bereits? Wo liegen die kritischen Assets des Unternehmens? Ist das vorhandene Sicherheitsniveau ausreichend?

    Starten Sie eine ganzheitliche Risikobewertung, um die Sicherheitsrisiken und Schwachstellen nach dem aktuellen Stand der Technik in Ihren Netz- und Informationssystemen zu identifizieren. Analysieren Sie, wie sich potenzielle Cyberangriffe auf die Erbringung Ihrer Leistungen auswirken könnten.

  4. Sicherheitsmaßnahmen implementieren
    Beginnen Sie mit der Umsetzung von Sicherheitsmaßnahmen, die in Ihrer Risikobewertung als dringend erforderlich identifiziert wurden. Implementieren Sie Best Practices für die Informationssicherheit in Ihrem Unternehmen. Entwickeln oder überarbeiten Sie Ihre Sicherheitsrichtlinien, um die Anforderungen der NIS2-Richtlinie zu berücksichtigen. Stellen Sie sicher, dass die Richtlinien klare Verantwortlichkeiten, Prozesse und Maßnahmen zur Gewährleistung der Netz- und Informationssicherheit enthalten.

  5. Schulung der Geschäftsführung und Mitarbeitenden
    Starten Sie Schulungen zu Themen wie Sicherheitsbewusstsein, sichere Arbeitspraktiken und die Meldung von Sicherheitsvorfällen.

  6. Notfallpläne erstellen oder überarbeiten
    Entwickeln oder aktualisieren Sie Notfallpläne und Reaktionsmechanismen, um auf Sicherheitsvorfälle effektiv reagieren zu können.

  7. Regelmäßige Überprüfung und Aktualisierung
    Implementieren Sie Prozesse für eine regelmäßige Überprüfung und Aktualisierung Ihrer Sicherheitsmaßnahmen im Einklang mit sich ändernden Bedrohungen und Technologien.

  8. Netzwerk schaffen
    Es könnte auch hilfreich sein, sich mit Firmen Ihrer Branche auszutauschen sowie mit dem Datenschutzbeauftragen, dem IT-Sicherheitsbeauftragten, Rechtanwalt, Forensiker, Cyberversicherung oder externe Experten oder Berater einzubeziehen.

Wie unterstützt BREKOM Unternehmen bei der Vorbereitung auf NIS2?

Wir haben uns ganz klar auf die Bedürfnisse mittelständischer Unternehmen ausgerichtet, die unter „wichtigen Einrichtungen“ in NIS2 eingestuft werden. Im Unterschied zu einigen Mitbewerbern starten wir die Zusammenarbeit nicht mit einer teuren GAP-Analyse.

Für uns zählt als Experte für IT-/OT-Security im Mittelstand Pragmatismus statt Perfektionismus. Unser Ziel ist es, eine maximale Sicherheit mit minimalem Aufwand (Zeit/Budget) zu erreichen.

Uns ist wichtig, dass nicht durch Fachchinesisch die Komplexität steigt. NIS2 soll so einfach wie möglich umgesetzt werden. Dazu haben wir einen Best Practice Ansatz geschaffen, damit Sie sich ganz auf Ihr Kerngeschäft konzentrieren können.

Cybersecurity
Unsere Empfehlung:

Starten Sie mit einer einfachen & pragmatischen Vorgehensweise nach dem Prinzip „minimaler Aufwand bei maximaler Sicherheit“:

  1. Kostenloses NIS2-Assessment zur Klärung Ihrer Betroffenheit und Abstimmung der notwendigen Schritte

  2. NIS2-Umsetzungsplan (Roadmap) erstellen:
    – Wer macht was bis wann?
    – Welche internen und externen Aufwände fallen an?

Beitrag teilen:

Das könnte Sie auch interessieren:

Cybersecurity

NIS2 – Checkliste

NIS2-Checkliste Kennen Sie eigentlich Ihren NIS2-Reifegrad? Obwohl das Inkrafttreten der EU-Richtlinie spätestens für den Anfang 2025 geplant ist, haben sich

Weiterlesen >

Aktion: Schnelligkeit zahlt sich aus! Die ersten 50 Terminbucher profitieren: Nutzen Sie den Aktionscode „NIS2-jetzt“, um Ihr NIS2-Assessment
im Wert von 249,00 EUR kostenlos zu erhalten.


Wie geht es nach der Buchung weiter?
Um das NIS2-Assessment für alle Beteiligten effizient vorbereiten zu können, melden wir uns vorm Termin und stimmen Details mit Ihnen ab.

Jetzt anmelden
und auf dem Laufenden bleiben!

Für den Versand unserer Newsletter nutzen wir rapidmail. Mit Ihrer Anmeldung stimmen Sie zu, dass die eingegebenen Daten an rapidmail übermittelt werden. Beachten Sie bitte auch die AGB und Datenschutzbestimmungen.