NIS2: Wer ist betroffen?

Die NIS2-Richtlinie definiert verschiedene Anforderungen an die Stärkung der IT-Sicherheit in Unternehmen. Ein zentraler Aspekt ist die Einrichtung eines Risiko- und Notfallmanagements, das im Falle eines Cyberangriffes sofort greift. Darüber hinaus ist in den NIS2-Anforderungen festgelegt, dass Unternehmen geeignete Sicherheitstechnologien verwenden und Sicherheitsvorfälle zeitnah an die nationalen Behörden melden. Neu ist auch eine Registrierungspflicht der NIS2 betroffenen Unternehmen.

Gilt die neue Cybersecurity-Richtlinie NIS-2 für mein Unternehmen?

Von NIS-2 betroffene Unternehmen werden nicht aktiv darüber informiert, dass sie in den Geltungsbereich fallen. Stattdessen müssen sie selbst erkennen, dass sie handeln müssen. Hier gilt der Grundsatz: Unwissenheit schützt vor Strafe nicht. Geschäftsführer werden persönlich dafür haftbar gemacht, wenn die Anforderungen nicht oder nicht richtig umgesetzt wurden.

Geltungsbereich NIS-2 nach Unternehmensgröße

Ein Indikator dafür, ob Ihr Unternehmen von NIS2 betroffen ist, liegt in der Unternehmensgröße bzw. dem Umsatz. Folgende Voraussetzungen müssen erfüllt sein, um in den NIS2 Geltungsbereich zu fallen:

Das Unternehmen muss 50 oder mehr Mitarbeiter haben.
Der Jahresumsatz muss bei 10 Millionen Euro oder höher liegen.

Auch dann, wenn Sie diese Bedingungen nicht erfüllen, ein potenzieller Cyberangriff aber Systemrisiken verursachen kann, könnte Ihre Organisation NIS2 relevant sein.

Geltungsbereich NIS-2 nach Sektoren und Branchen

In der NIS-1 Richtlinie sind vor allem die KRITIS-Branchen benannt, die eine Zuordnung zum Geltungsbereich relativ leicht gemacht haben. Mit der zunehmenden Bedrohungslage durch Cyberangriffe und der Vernetzung vieler Unternehmen und Branchen untereinander, wurden mit der NIS-2 auch die Sektoren erweitert. Die NIS-2 definiert insgesamt 18 Sektoren, die zwischen „Essential Entities” (11 Sektoren) und “Important Entities” (7 Sektoren) unterscheiden.

Anforderung 2: Einrichtung einer Risikobewertung und eines Risikomanagements

Essential Entitis
(wesentliche Einrichtungen)

• Gesundheitswesen
• Energiesektor
• Trinkwasserversorgung
• Banken
•Finanzmarktinfrastrukturwesen
• Digitale Infrastruktur
• Weitere Gesundheitsbereiche (Pharmaunternehmen, kritische Medizinprodukte)
• Verkehr
• Abwasser
• Raumfahrt
• IKCT-Anbieter (B2B)
• Öffentliche Verwaltung

Es erfolgt in diesen Sektoren eine proaktive Aufsicht, die beispielsweise in Form regelmäßiger Sicherheitsprüfungen durchgeführt wird. Die Strafen bei Verstößen werden höher angesetzt.

Important Entities
(wichtige Einrichtungen)

• Chemikalien
• Produzenten, Verarbeiter & Händler von Lebensmittelindustrien
• Hersteller kritischer Waren (PC, Automobile, Maschinenbau)
• Anbieter digitaler DiensteDigitale Anbieter (Social Media, E-Commerce, Suchmaschinen)
• Post- und Kurierdienstleister
• Abfallentsorgung
• Öffentliche Verwaltung
• Forschung

Eine Aufsicht in diesen Sektoren erfolgt reaktiv, also nur nach einem Hinweis auf Verstöße oder einem vorausgegangenen Sicherheitsvorfall. Die Strafen sind hier etwas niedriger angesiedelt.

Verpflichtende Teilnahme am Informationsaustausch

In den Anforderungen der NIS2 Richtlinie ist vorgesehen, dass wichtige Einrichtungen am Informationsaustausch teilnehmen müssen. Dazu wird das BSI perspektivisch ein Portal einrichten, das als Plattform für den Informationsaustausch dient. Der Hintergrund: Unternehmen sollen voneinander lernen. Insbesondere ein Cyberangriff wird gerne intern abgehandelt – dadurch haben aber andere Firmen keine Gelegenheit, aus der erkannten Sicherheitslücke zu lernen, um ihre eigenen Systeme zu verbessern. Dies soll mit einem verpflichtenden Informationsaustausch erleichtert werden.

Auch Lieferanten sind von der NIS-2 betroffen

Die NIS-2 Regelung soll die Cybersicherheit in der Europäischen Union stärken, indem sie die Anforderungen an die Netz- und Informationssicherheit für kritische Infrastruktur und wichtige Wirtschaftsakteure erweitert. Ein zentraler Punkt der NIS-2 ist die Einbeziehung von Lieferanten in die Sicherheitsstrategien der Unternehmen, da Sicherheitsvorfälle bei Lieferanten sich direkt auf die Sicherheit und den Betrieb von Unternehmen auswirken können.

SolarWinds-Hack: Ein Beispiel aus der Praxis

SolarWinds, ein Unternehmen, das Software zur Netzwerküberwachung und -verwaltung anbietet, wurde im Dezember 2020 von einer mächtigen Cyberattacke getroffen. Durch den Angriff auf SolarWinds konnten die Angreifer eine bösartige Aktualisierung der SolarWinds-Software einfügen. Diese Aktualisierung wurde an Tausende von SolarWinds-Kunden weltweit verteilt, darunter befanden sich auch verschiedene Abteilungen der US-Regierung.

Experten sprachen damals von einem historischen Ereignis, das vor allem beweist, wie wichtig nicht nur die eigene Cybersicherheit, sondern auch die des eigenen Netzwerkes ist.

Welche Lieferanten sind von NIS-2 betroffen?

Der Begriff der „Lieferkette“ ist in der NIS2 Richtlinie nicht konkret definiert. Der englische Begriff des Supply Chain umfasst die gesamte Versorgung vom Lieferanten der Rohmaterialien bis zum Endverbraucher. Die Lieferkette nach NIS2 ist dagegen enger gefasst und nimmt insbesondere die Managed Service Provider (MSPs) in die Pflicht, die IT-Dienstleistungen bereitstellen.

Zur MSPs Lieferkette gehören unter anderem:

Cloud-Service-Anbieter
Software-as-a-Service (SaaS)-Anbieter und Unternehmen
Anbieter von Netzwerk- und IT-Sicherheitslösungen

Nicht jedes Unternehmen, das als Zulieferer für ein großes Unternehmen arbeitet, fällt automatisch unter NIS2. Unternehmen, die aber von der NIS2 Richtlinie betroffen sind, müssen Maßnahmen ergreifen, um ihre Lieferkette zu schützen. Dadurch können sie ihre Lieferanten aktiv dazu verpflichten, ebenfalls geeignete Sicherheitsmaßnahmen zu treffen

NIS-2 Richtlinie: Sind Sie betroffen?

Bei Unsicherheiten prüfen wir für Sie, ob Ihr Unternehmen in die NIS2 Anforderungen fällt. Im Anschluss unterstützen wir Sie gerne bei der Umsetzung.

Beitrag teilen:

NIS2 betroffene Unternehmen sollten schnell handeln

NIS2 betroffene Unternehmen stehen unter erheblichem Druck, ihre Cybersicherheitsmaßnahmen schnellstmöglich zu verbessern. Die NIS2-Richtlinie verlangt von diesen Unternehmen nicht nur die Einhaltung strenger Sicherheitsstandards, sondern auch eine zügige Umsetzung dieser Maßnahmen. Sobald der Stichtag für die NIS2-Umsetzung festgelegt wurde, müssen NIS2 betroffene Unternehmen Compliance hergestellt haben.

Verzögerungen bei der Implementierung können nicht nur zu erheblichen Geldstrafen führen, sondern auch die Sicherheit und Integrität Ihrer IT-Systeme gefährden. Eine proaktive Herangehensweise ist entscheidend, um die gesetzlichen Anforderungen zu erfüllen und die langfristige Sicherheit und Resilienz Ihrer Organisation zu gewährleisten.

FAQ: Ihre Fragen zur NIS2 Betroffenheit

Wie wird die NIS2-Betroffenheitsprüfung durchgeführt?

Die NIS2-Betroffenheitsprüfung wird in mehreren Schritten durchgeführt: Zunächst werden die relevanten Kriterien wie Unternehmensgröße, Umsatz und Sektor überprüft, um festzustellen, ob Ihr Unternehmen in den Geltungsbereich der NIS2-Richtlinie fällt. Anschließend erfolgt eine detaillierte Analyse Ihrer IT-Sicherheitspraktiken und -infrastruktur, um Schwachstellen zu identifizieren und die erforderlichen Anpassungen vorzunehmen.

Wie lange dauert es, die NIS2-Betroffenheit zu überprüfen?

BREKOM führt die NIS2-Betroffenheitsprüfung online in einem digitalen Meetingraum per Webkonferenz durch. Die Sitzung dauert lediglich 90 Minuten. Im Anschluss haben Sie Klarheit darüber, ob auch Ihr Unternehmen von NIS2 betroffen ist.

Werde ich offiziell informiert, ob ich von NIS2 betroffen bin?

Nein, Unternehmen erhalten keine offizielle Information darüber, ob sie von NIS2 betroffen sind. Sie müssen sich eigenständig darum kümmern und proaktiv eine NIS2-Betroffenheitsprüfung durchführen. Im Fall der Betroffenheit müssen sie sich innerhalb von 3 Monaten beim BSI (Bundesamt für Sicherheit in der Informationstechnik) registrieren.

Wer trägt in einem NIS2 betroffenen Unternehmen die Verantwortung für die Umsetzung?

Gemäß § 38 des Gesetzes ist die Unternehmensleitung für die Umsetzung und Überwachung der vorgeschriebenen Risikomanagementmaßnahmen verantwortlich. Die verantwortlichen Führungskräfte müssen dafür sorgen, dass alle Sicherheitsvorkehrungen gemäß den NIS2-Richtlinien umgesetzt und regelmäßig überprüft werden. Darüber hinaus sind sie verpflichtet, sich in den relevanten Bereichen schulen zu lassen, um Risiken effektiv identifizieren und bewerten zu können. Im Falle eines schuldhaften Versäumnisses oder einer fehlerhaften Umsetzung tragen die Geschäftsführer gemäß den Regelungen des Gesellschaftsrechts die persönliche Haftung für entstandene Schäden