August 2024 - GANTEFÜHRER

NIS-2 fordert verschärfte Maßnahmen gegen Cybercrime

Neue europäische NIS-2-Richtlinie gilt schon ab Oktober 2024 / Mehr Unternehmen sind betroffen und müssen zeitnah handeln.

Cyberangriffe sind tägliche Realität. Jüngste Vorfälle wie russische und chinesische Cyberattacken oder softwarebedingte Ausfälle belegen die Brisanz. Unternehmen der kritischen Infrastruktur (KRITIS) wie Energie- und Wasserversorgung, Krankenhäuser, Banken oder Verkehrsbetriebe sind von essentieller Bedeutung für das Leben und die Wirtschaft. Damit sind sie besonders gefährdete Angriffsziele. Die NIS-Richtlinie (Network and Information Security) der Europäischen Union regelt den Schutz der kritischen Infrastruktur gegen IT-Vorfälle und Cyberangriffe. Die erste Version aus dem Jahr 2016 wurde ersetzt durch die NIS-2-Richtlinie.

„Mit der Verschärfung erhöht sich nun die Anzahl der betroffenen Unternehmen und Organisationen der KRITIS deutlich, was sowohl Branchen als auch Größen angeht“, informiert Dr. Christiane Bierekoven von der Düsseldorfer Sozietät Ganteführer. „Nun gehören auch kleinere und mittlere Unternehmen dazu, außerdem eventuell deren Dienstleister und Auftragnehmer. Unterteilt wird außerdem in wesentliche und wichtige Einrichtungen.“

Bereits ab dem 18. Oktober 2024 gilt die NIS-2, auch wenn das Gesetzgebungsverfahren zur Umsetzung der Richtlinie durch das NIS2UmsuCG noch nicht abgeschlossen ist und wohl auch vorher nicht mehr abgeschlossen wird. Ab diesem Datum müssen Unternehmen – auch mittelständische Betriebe, die Dienstleistungen im Sinne der Richtlinie erbringen, – die neuen Sicherheitsanforderungen vollständig erfüllen, um ihre IT-Systeme besser gegen Cyberangriffe zu schützen. Dazu gehören neben regelmäßigen Sicherheitsüberprüfungen der Einsatz moderner Technologien. Sicherheitsvorfälle müssen zudem umgehend den Behörden gemeldet werden. „Die Maßnahmen sind also sehr zeitnah umzusetzen, zumal den wesentlichen Einrichtungen drakonische Geldstrafen bis zu 10 Millionen Euro drohen“, warnt Dr. Bierekoven.

Jedes Unternehmen sollte jetzt umgehend prüfen, ob es bezüglich Größe und Branche von der NIS-2-Richtlinie betroffen ist, rät Dr. Bierekoven. Ein mittelständisches Unternehmen kann bereits darunter fallen, wenn es vereinzelte Kunden aus den relevanten Sektoren hat. Es sei ratsam, fachkundige Unterstützung, zum Beispiel durch den Rechtsanwalt, Steuerberater oder Wirtschaftsprüfer, hinzuziehen. Auch der bestehende IT-Dienstleister sollte angesprochen werden. Zudem müssten geeignete Personen festgelegt werden, die die Vorgaben operativ umsetzen.

Die Fachanwältin für Informationstechnologierecht stellt abschließend fest: „Aufgrund der sich stetig weiter entwickelnden Cyberbedrohungen müssen Unternehmen flexibel reagieren, ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren sowie in die Ausbildung und Sensibilisierung der Mitarbeiter investieren.“ Gleichzeitig sei zu erwarten, dass die EU die Rahmenbedingungen weiterentwickeln wird, um auf neue Sicherheitsbedrohungen zu reagieren. Der Cyber Resilience Act und der Cyber Solidarity Act sind bereits auf den Weg gebracht.

Auch wenn sie zusätzliche Herausforderungen bringen, sollten die Maßnahmen nicht ausschließlich als Belastung angesehen werden, stellt Dr. Bierekoven klar: „Denn die Verstärkung der Cybersicherheit erhöht nicht nur die Resilienz des Unternehmens, sondern auch das Vertrauen von Kunden, Geschäftspartnern und Stakeholdern.“

Zahlen und Fakten

Eine Analyse des Digitalverbands Bitkom vom August 2024 ergab: Ca. 90 Prozent der deutschen Unternehmen wurden bereits Opfer einer Cyberattacke. Fast 267 Milliarden Euro Schaden verursachten Angriffe auf Unternehmen in den vergangenen zwölf Monaten. 45 Prozent der Befragten gaben an, mindestens einen Angriff China zuordnen zu können, gefolgt von Russland mit 39 Prozent

Übersicht der betroffenen Unternehmen

Die NIS-2-Richtlinie gilt für Unternehmen (und öffentliche Einrichtungen) der kritischen Infrastruktur (KRITIS) mit mindestens 50 Mitarbeitenden oder mindestens 10 Millionen Euro Jahresumsatz und Jahresbilanzsumme. Die Vorgaben betreffen indirekt auch Dienstleister und Lieferanten der Unternehmen und Einrichtungen aus den betroffenen Sektoren. Große betroffene Unternehmen aus diesem Umfeld (ab 250 Mitarbeitende oder mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme) zählen zu den wesentlichen Einrichtungen. Mittelgroße Unternehmen (zwischen 50 und 249 Mitarbeitende) zu den wichtigen Einrichtungen. Diese Unterscheidung hat Auswirkungen auf die Prüfung und Konsequenzen.

Zu den betroffenen Sektoren zählen

Sektoren mit Hoher Kritikalität (Anhang I NIS-2-Richtlinie)

Energie, Elektrizität, Fernwärme und -kälte
Erdöl, Erdgas, Wasserstoff
Verkehr, Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
Bankwesen, Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser, Abwasser
Digitale Infrastruktur
Verwaltung von IKT-Diensten (Dienste für Informations- und Kommunikationstechnik, B2B)
Öffentliche Verwaltung
Weltraum

Sonstige kritische Sektoren (Anhang II NIS-2_Richtlinie)

Post- und Kurierdienste
Abfallbewirtschaftung
Produktion, Herstellung und Handel mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Verarbeitendes Gewerbe/Herstellung von Waren
Herstellung von Medizinprodukten und In-vitro-Diagnostika
Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
Herstellung von elektrischen Ausrüstungen
Maschinenbau
Herstellung von Kraftwagen und Kraftwagenteilen, sonstiger Fahrzeugbau
Anbieter digitaler Dienste
Forschung