Neue EU-Richtlinie

NIS-2: Cybersicherheit wird 2024 zur Pflicht

08. November 2023
Verfasst von Julia Schreiber

Die neue NIS-2-Richtlinie der EU wird sich auch auf deutsche Unternehmen auswirken.

Bild: © Microsoft Bing Image Creator

Deutsche Unternehmen müssen sich 2024 auf strengere Gesetze zur Cybersicherheit gefasst machen: NIS-2 heißt eine Richtlinie der Europäischen Union, die Unternehmen innerhalb der EU besser vor Cyberangriffen schützen soll. Neben konkreten technischen Maßnahmen sind erweiterte Meldepflichten vorgesehen.

Worum geht es bei NIS-2?

Die Abkürzung NIS steht für „Network and Information Systems“ und umfasst Regelungen zur Verbesserung der Cybersicherheit in der EU. Die erste NIS-Richtlinie trat 2016 in Kraft. NIS-2 ist ihre Weiterentwicklung, die im Oktober 2024 in Deutschland verbindlich wird. Anders als die DSGVO ist NIS-2 aktuell „nur“ eine Richtlinie, die zunächst in nationales Gesetz umgesetzt werden muss.

Relevanz von NIS-2 für deutsche Unternehmen

NIS-2 betrifft Betreiber sogenannter besonders wichtiger und wichtiger Unternehmen mit über 50 Mitarbeitenden bzw. mehr als 10 Millionen Euro Umsatz. Dies schließt kritische Infrastrukturen (KRITIS) ein. KRITIS sind Unternehmen aus den Bereichen Energieversorgung, Wasserversorgung und Telekommunikation, deren Ausfall schwerwiegende Folgen für die Gesellschaft haben würde. Die EU möchte darüber hinaus weitere Unternehmen in die Pflicht nehmen. 

Tabelle der von NIS-2 betroffenen Unternehmen

In Deutschland werden voraussichtlich 30.000 Unternehmen unter NIS-2 fallen. Als Kernakteure der digitalen Infrastruktur sollen diese Unternehmen bestimmte Sicherheitsvorkehrungen treffen, um Cyberangriffen vorzubeugen und einen wirtschaftlichen Schaden für sich sowie die EU-Wirtschaft abzuwenden.

Technische Maßnahmen für mehr Cybersicherheit

Die NIS-2-Richtlinie nennt mehrere technischen Anforderungen an IT-Sicherheit. Dazu gehören unter anderem:

  • Regelmäßige Software- und Hardware-Updates, Passwortänderungen sowie Penetrationstests.
  • Schulungen im Bereich der Cybersicherheit (Security Awareness Trainings), um den „menschlichen Faktor“ beim Risiko für Cyberangriffe zu berücksichtigen.
  • Konzepte für die Zugriffskontrolle und die Einschränkung von Zugriffskonten auf Administratorebene.
  • Lösungen zur Multi-Faktor-Authentifizierung, damit nur autorisierte Personen auf bestimmte Informationen zugreifen können.
  • Verschlüsselung, d.h. die gesicherte Sprach-, Video- und Textkommunikation, um sensible Informationen vor unbefugtem Zugriff zu schützen.
  • Konzepte zum Aufrechterhalten des Betriebs, angefangen mit einer Risikoanalyse, Pläne für die Bewältigung von Sicherheitsvorfällen sowie einem Backup- und Wiederherstellungsmanagement nach einem Notfall.

Cyberhygiene – ein Schlüsselbegriff

Ein zentraler Begriff in der NIS-2-Richtlinie ist „Cyberhygiene“. Dieser bezieht sich auf bewährte Praktiken und Verhaltensweisen im Umgang mit Informationssystemen, um Sicherheitsrisiken zu minimieren. Dazu gehören zum Beispiel das zeitnahe Patchen von Software und Betriebssystemen oder auch die Sensibilisierung der Mitarbeitenden zu Cyberbedrohungen.

Fazit: NIS-2 setzt Mindeststandards für IT-Sicherheit

Die EU-Richtlinie NIS-2 wird die IT-Landschaft in Unternehmen verändern. Zu den neuen technischen Anforderungen kommen neue Meldepflichten an die Behörden hinzu, sollte es zu einem Sicherheitsvorfall kommen. Zugleich erhalten Behörden erweiterte Kontrollbefugnisse wie Vor-Ort-Kontrollen, gezielte Sicherheitsprüfungen und Sicherheitsscans. Bei Verstößen gegen NIS-2 sind zudem Sanktionen vorgesehen, die von Warnungen bis hin zu empfindlichen Geldbußen reichen (bis zu 10 Mio. Euro bzw. zwei Prozent des Umsatzes, je nachdem, was die größere Zahl ist).

Geschäftsleitungen und IT-Beauftragte sollten sich deshalb mit den Anforderungen vertraut machen und geeignete Maßnahmen ergreifen, um das IT-Sicherheitsniveau im Unternehmen zu erhöhen. Auch wer nicht unter NIS-2 fällt, dem empfehlen wir, die eigene IT-Infrastruktur gezielt auf etwaige Defizite prüfen. Viele der vorgesehenen Maßnahmen sind Standard im Bereich der IT-Sicherheit. Wir beraten gerne und unterstützen bei der Umsetzung.