NIS-2 fordert verschärfte Maßnahmen gegen Cybercrime
Neue europäische NIS-2-Richtlinie gilt schon ab Oktober 2024 / Mehr Unternehmen sind betroffen und müssen zeitnah handeln.
Cyberangriffe sind tägliche Realität. Jüngste Vorfälle wie russische und chinesische Cyberattacken oder softwarebedingte Ausfälle belegen die Brisanz. Unternehmen der kritischen Infrastruktur (KRITIS) wie Energie- und Wasserversorgung, Krankenhäuser, Banken oder Verkehrsbetriebe sind von essentieller Bedeutung für das Leben und die Wirtschaft. Damit sind sie besonders gefährdete Angriffsziele. Die NIS-Richtlinie (Network and Information Security) der Europäischen Union regelt den Schutz der kritischen Infrastruktur gegen IT-Vorfälle und Cyberangriffe. Die erste Version aus dem Jahr 2016 wurde ersetzt durch die NIS-2-Richtlinie.
„Mit der Verschärfung erhöht sich nun die Anzahl der betroffenen Unternehmen und Organisationen der KRITIS deutlich, was sowohl Branchen als auch Größen angeht“, informiert Dr. Christiane Bierekoven von der Düsseldorfer Sozietät Ganteführer. „Nun gehören auch kleinere und mittlere Unternehmen dazu, außerdem eventuell deren Dienstleister und Auftragnehmer. Unterteilt wird außerdem in wesentliche und wichtige Einrichtungen.“
Bereits ab dem 18. Oktober 2024 gilt die NIS-2, auch wenn das Gesetzgebungsverfahren zur Umsetzung der Richtlinie durch das NIS2UmsuCG noch nicht abgeschlossen ist und wohl auch vorher nicht mehr abgeschlossen wird. Ab diesem Datum müssen Unternehmen – auch mittelständische Betriebe, die Dienstleistungen im Sinne der Richtlinie erbringen, – die neuen Sicherheitsanforderungen vollständig erfüllen, um ihre IT-Systeme besser gegen Cyberangriffe zu schützen. Dazu gehören neben regelmäßigen Sicherheitsüberprüfungen der Einsatz moderner Technologien. Sicherheitsvorfälle müssen zudem umgehend den Behörden gemeldet werden. „Die Maßnahmen sind also sehr zeitnah umzusetzen, zumal den wesentlichen Einrichtungen drakonische Geldstrafen bis zu 10 Millionen Euro drohen“, warnt Dr. Bierekoven.
Jedes Unternehmen sollte jetzt umgehend prüfen, ob es bezüglich Größe und Branche von der NIS-2-Richtlinie betroffen ist, rät Dr. Bierekoven. Ein mittelständisches Unternehmen kann bereits darunter fallen, wenn es vereinzelte Kunden aus den relevanten Sektoren hat. Es sei ratsam, fachkundige Unterstützung, zum Beispiel durch den Rechtsanwalt, Steuerberater oder Wirtschaftsprüfer, hinzuziehen. Auch der bestehende IT-Dienstleister sollte angesprochen werden. Zudem müssten geeignete Personen festgelegt werden, die die Vorgaben operativ umsetzen.
Die Fachanwältin für Informationstechnologierecht stellt abschließend fest: „Aufgrund der sich stetig weiter entwickelnden Cyberbedrohungen müssen Unternehmen flexibel reagieren, ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren sowie in die Ausbildung und Sensibilisierung der Mitarbeiter investieren.“ Gleichzeitig sei zu erwarten, dass die EU die Rahmenbedingungen weiterentwickeln wird, um auf neue Sicherheitsbedrohungen zu reagieren. Der Cyber Resilience Act und der Cyber Solidarity Act sind bereits auf den Weg gebracht.
Auch wenn sie zusätzliche Herausforderungen bringen, sollten die Maßnahmen nicht ausschließlich als Belastung angesehen werden, stellt Dr. Bierekoven klar: „Denn die Verstärkung der Cybersicherheit erhöht nicht nur die Resilienz des Unternehmens, sondern auch das Vertrauen von Kunden, Geschäftspartnern und Stakeholdern.“
Zu den betroffenen Sektoren zählen
Sektoren mit Hoher Kritikalität (Anhang I NIS-2-Richtlinie)
- Energie, Elektrizität, Fernwärme und -kälte
- Erdöl, Erdgas, Wasserstoff
- Verkehr, Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
- Bankwesen, Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser, Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (Dienste für Informations- und Kommunikationstechnik, B2B)
- Öffentliche Verwaltung
- Weltraum
Sonstige kritische Sektoren (Anhang II NIS-2_Richtlinie)
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Herstellung von Medizinprodukten und In-vitro-Diagnostika
- Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
- Herstellung von elektrischen Ausrüstungen
- Maschinenbau
- Herstellung von Kraftwagen und Kraftwagenteilen, sonstiger Fahrzeugbau
- Anbieter digitaler Dienste
- Forschung