NIS-2
NIS-2-Richtlinie

Fällt mein Unternehmen unter die NIS-2-Richtlinie?

Die NIS-2-Richtlinie der Europäischen Union ist sehr wichtitg. Schätzungen zeigen, dass in Deutschland mehr als 50.000 Unternehmen betroffen sein könnten. Vorher waren es nur 2.000 Firmen. Die neuen Regeln zur Cybersicherheit sind für viele Firmen neu.

Ihr Unternehmen kann betroffen sein, je nach einigen wichtigen Faktoren. In diesem Artikel lesen Sie, was die NIS-2-Richtlinie bedeutet. Wir zeigen, wie Sie prüfen können, ob Ihr Unternehmen unter die Regeln fällt.

Wichtige Erkenntnisse auf einen Blick:

  • Die NIS-2-Richtlinie wurde am 27.12.2022 im EU-Amtsblatt veröffentlicht und trat am 16.01.2023 in Kraft.
  • In Deutschland gibt es seit Juli 2023 einen Referentenentwurf zur Umsetzung der Richtlinie.
  • Der Anwendungsbereich der Richtlinie wurde deutlich ausgeweitet – betroffen sind nun auch mittelständische Unternehmen.
  • Bei Verstößen drohen hohe Strafen von bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes.
  • Unternehmen müssen umfangreiche Cybersicherheitsmaßnahmen ergreifen und Behörden Vorfälle melden.

Die neue NIS-2-Richtlinie: Ein Überblick

Die NIS-2-Richtlinie will Cybersicherheit in der EU verbessern. Sie reagiert auf steigende Cyberangriffe. Ziel ist ein starker Schutz vor Ransomware, DDoS-Attacken und Phishing.

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie folgt auf die NIS-Richtlinie von 2016. Sie setzt Regeln und Standards für Cybersicherheit in entscheidenden Bereichen. Diese Regelung soll die Widerstandskraft in Branchen wie Energie, Gesundheit und Verkehr stärken.

Ziele und Hintergründe der Richtlinie

Die Richtlinie zielt auf zwei wichtige Punkte ab:

  1. Ein starkes, gemeinsames Cybersicherheitsniveau in der EU.
  2. Die Widerstandskraft von Schlüsselsektoren gegen Cyberangriffe verbessern.

Der Grund sind die zunehmenden und gravierenden Folgen von Cyberangriffen. Jährlich fallen Kosten von ca. 1,65 Milliarden Euro für die Umsetzung der NIS 2-Richtlinie an. Zudem drohen Bußgelder bei Verstoß von bis zu 20 Millionen Euro.

„Die NIS-2-Richtlinie zielt darauf ab, ein einheitliches Verständnis und Anforderungsniveau von Cybersecurity-Maßnahmen in den EU-Mitgliedsstaaten zu gewährleisten, um einen funktionierenden Binnenmarkt zu schaffen.“

Wer ist von der NIS-2-Richtlinie betroffen?

Seit Januar 2023 müssen viele Unternehmen in ganz Europa die NIS-2-Richtlinie befolgen. Über 18 Sektoren wie Energie, Verkehr und Gesundheit müssen Maßnahmen ergreifen.

Die Regel betrifft nicht nur Großunternehmen, sondern auch mittlere mit über 50 Leuten. Unternehmen, die KRITIS betreiben, müssen egal wie groß sie sind, handeln.

In Deutschland schätzt man, dass 25.000 bis 40.000 Firmen dazu verpflichtet sind. Doch nur 40 Prozent haben bisher notwendige Schritte vollzogen. Das bedeutet, dass über 14.500 Unternehmen die Sicherheit verbessern müssen.

KennzahlWert
Unternehmen in Deutschland, die von der NIS-2-Richtlinie betroffen sind25.000 – 40.000
Anteil der Unternehmen, die bisher angemessene Sicherheitsmaßnahmen ergriffen haben40%
Unternehmen, die noch Handlungsbedarf habenüber 14.500
Besonders wichtige Einrichtungen (KRITIS, digitale Dienste)8.100
Weitere wichtige Einrichtungen20.900
Geschätzte Umsetzungskosten für deutsche Wirtschaftca. 1,65 Mrd. Euro

Die NIS-2-Richtlinie will die Cybersicherheit in der EU stärken. Alle Mitgliedstaaten müssen diese Richtlinie im nationalen Recht verankern.

Sektoren der NIS-2-Richtlinie

Kritische Infrastrukturen und NIS-2

Die NIS-2-Richtlinie ist in der EU eine große Sache. Vor allem KRITIS-Betreiber in Deutschland müssen jetzt handeln. Auch kleine Unternehmen müssen sehr sichere IT einführen. So wird das hohe Cybersicherheitsniveau in Europa gesichert.

KRITIS-Betreiber und ihre Pflichten

Viele wichtige Bereiche wie Energie und Gesundheit fallen unter KRITIS. Sie müssen für Cyberangriffe vorsorgen und diese melden. Das sichert kritische Systeme und Dienste vor Gefahren.

Zudem müssen sie eine Kontaktstelle und IT-Störungen melden. Der Stand der Technik bei IT-Sicherheit ist wichtig und muss gezeigt werden. Das tun sie alle zwei Jahre beim BSI.

KRITIS Betreiber

„Die NIS-2-Richtlinie soll die Befugnisse des BSI erweitern und die Kooperation zwischen Staat und Wirtschaft stärken, um kritische Infrastrukturen besser vor Cyberangriffen zu schützen.“

Die NIS-2-Richtlinie macht Deutschland und die EU sicherer. Sie stellt sicher, dass kritische Einrichtungen stark gegen Angriffe sind. So wird die Sicherheit für alle verbessert.

Welche Sektoren sind von der NIS-2-Richtlinie erfasst?

Die NIS-2-Richtlinie soll die Cybersicherheit in wichtigen Wirtschaftsbereichen Europas stärken. Sie betrifft 18 verschiedene Sektoren. Diese müssen die Regeln bis 2024 ins nationale Recht übernehmen.

Die Regeln umfassen Bereiche wie Energie, Transport und Banken, aber auch Gesundheit und Wasser. Auch die Digitale Welt, die öffentliche Verwaltung und die Raumfahrt sind betroffen. So werden viele Unternehmen geschützt, die für uns alle wichtig sind.

Unternehmen teilt die Richtlinie in zwei Gruppen ein. Besonders wichtige Einrichtungen sind große Firmen. Sie haben mehr als 250 Angestellte oder machen einen Umsatz über 50 Millionen Euro. Und dann gibt es noch wichtige Einrichtungen. Diese Firmen haben über 50 Mitarbeiter und verdienen mindestens 10 Millionen Euro jährlich. Je nach Größe und Bedeutung der Firma, müssen verschiedene Regeln befolgt werden.

SektorBesonders wichtige EinrichtungenWichtige Einrichtungen
EnergieStrom, Gas, Öl, FernwärmeErneuerbare Energien, Energieeffizienz
TransportStraße, Schiene, Luft- und SeeverkehrPost und Kurier
FinanzwesenBanken, Börsen, VersicherungenFinanzdienstleistungen
GesundheitKrankenhäuser, RettungsdiensteMedizinprodukte, Pharmazie
WasserTrinkwasser, Abwasser
Digitale InfrastrukturInternetknoten, DNS-DiensteCloud-Dienste, Datencenter
Öffentliche VerwaltungBundes- und LandesbehördenKommunale Verwaltung
RaumfahrtSatellitenbetrieb, Raumfahrtinfrastruktur

Die EU-Kommission möchte mit diesen Regeln wichtige Sektoren besser schützen. Dadurch soll weniger Schaden durch Cyberangriffe entstehen. Unternehmen müssen deshalb viel in IT-Sicherheit investieren, wenn sie von der NIS-2-Richtlinie betroffen sind.

NIS2 Sektoren

Größenkriterien für Unternehmen

Ein neues Gesetz der EU, die NIS-2-Richtlinie, richtet sich an Firmen jeder Größe, nicht nur große Konzerne. Durch diese Regelung werden viele mehr Firmen in Deutschland und Europa als zuvor mitmischen.

Schwellenwerte für mittelgroße und große Unternehmen

Mittelgroße Firmen haben nach der NIS-2-Richtlinie 50 bis 249 Beschäftigte oder einen Umsatz zwischen 10 und 50 Millionen Euro. Große Unternehmen sind noch größer, mit mindestens 250 Angestellten oder einem Umsatz über 50 Millionen Euro.

Deutschland hat diese genauen Größenkriterien Dank des NIS2UmsuCG (NIS2-Umsetzungsgesetz) jetzt im Blick. Jetzt stehen auch viele mittlere und große Unternehmen im Rampenlicht der Cybersicherheitsanforderungen.

In Deutschland könnten wegen der NIS-2-Richtlinie bis zu 30.000 Firmen mehr unter der Lupe sein, 15-mal so viele wie bisher. Dies würde die Cybersicherheit in der Wirtschaft wesentlich stärken.

NIS2 Größenkriterien

„Die neue NIS-Richtlinie betrifft Unternehmen, die einer der beiden Größenklassen ‚groß‘ oder ‚mittel‘ angehören.“

Verpflichtungen und Maßnahmen unter NIS-2

Die NIS-2-Richtlinie stellt viele Unternehmen vor große Aufgaben. Bis zum 18. Oktober 2024 müssen etwa 30.000 Firmen in Deutschland neue Cybersicherheitsstandards umsetzen. Dieser Schritt soll das Niveau der Cybersicherheit in der EU heben.

Risikomanagementmaßnahmen

Unternehmen müssen bestimmte Schritte für ihre Netz- und Informationssicherheit unternehmen. Dazu zählen ein wirksames Management von Cyber-Risiken und die Kontrolle von Sicherheitsvorfällen. Weiterhin ist die Sicherung der Geschäftskontinuität von Bedeutung.

Meldepflichten bei Sicherheitsvorfällen

Es besteht die Pflicht, Sicherheitsvorfälle binnen 24 Stunden den Behörden zu melden. Bei Nichtbeachtung kann der Strafenkatalog bis zu 10 Millionen Euro oder 2% des Jahresumsatzes treffen. Auch die Führungskräfte könnten zur Verantwortung gezogen werden.

UnternehmensgrößeMitarbeiterJahresumsatzJahresbilanzsummeEinordnungMögliche Strafe
Groß≥ 250≥ 50 Mio. €≥ 43 Mio. €Besonders wichtige EinrichtungBis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
Mittel50 – 249≥ 10 Mio. €≥ 10 Mio. €Wichtige EinrichtungBis zu 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes

Unternehmen müssen frühzeitig mit der NIS-2-Umsetzung beginnen. Es ist wichtig, sich rechtzeitig mit den Anforderungen auseinanderzusetzen, um rechtzeitig alles nötige zu tun.

Sanktionen und Strafen bei Nicht-Einhaltung

Die NIS-2-Richtlinie ist sehr wichtig für die EU. Sie betrifft Firmen, die wichtige Infrastrukturen schützen müssen. Diese Unternehmen müssen digitale Dienste sicherstellen. Wenn sie dies nicht tun, gibt es hohe Strafen.

Für wichtige Infrastrukturen beträgt die Strafe bis zu 10 Millionen Euro. Oder es ist 2% vom Jahresumsatz fällig. Andere wichtige Stellen zahlen bis zu 7 Millionen Euro. Oder auch nur 1,4% ihres Umsatzes.

Das gilt ab октомври 2024. Führungskräfte können ebenfalls persönlich haften. Dies soll die Cybersicherheit stark verbessern und sichern, dass die Regeln befolgt werden.

VerstößeHöhe der Strafen
Betreiber kritischer InfrastrukturenBis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
Andere wichtige EinrichtungenBis zu 7 Millionen Euro oder 1,4% des Jahresumsatzes
Haftung der UnternehmensleitungPersönliche Haftung mit Privatvermögen

Die EU droht mit harten Strafen. Dies zeigt, wie wichtig die Regeln der NIS-2-Richtlinie sind. Unternehmen müssen also ihre Cybersicherheit dringend verbessern. Sie sollten rasch ihre Maßnahmen checken und nötigenfalls ändern.

NIS-2-Richtlinie Sanktionen

Haftung der Unternehmensleitung

Seit Januar 2023 gilt in Deutschland die NIS-2-Richtlinie, die die Verantwortung der Unternehmensleitung stärkt. Laut des NIS-2-Gesetzes müssen Geschäftsführer und Vorstände mit ihrem Privatvermögen haften. Sie müssen sicherstellen, dass ihr Unternehmen die geforderten Risikomanagementmaßnahmen erfüllt. Die Haftung beträgt bis zu 2% des Jahresumsatzes.

Diese Regeln stellen sicher, dass Führungskräfte die NIS-2-Richtlinie ernst nehmen. Sie sollen sicherstellen, dass die Cybersicherheit im Unternehmen verbessert wird. Falls sie gegen die Auflagen verstoßen, können hohe Strafen drohen.

  1. Geschäftsleitung muss Risikomanagementmaßnahmen billigen und überwachen
  2. Persönliche Haftung bei Verletzung der Pflichten nach § 38 BSIG-E
  3. Regelmäßige Teilnahme an Cybersicherheitsschulungen für Führungskräfte

Die NIS-2-Richtlinie macht klar, dass Unternehmensschutz bei Cyberattacken nicht nur ein technisches Thema ist. Auch die Führungskräfte sind direkt verantwortlich. Dieser Trend setzt die Führungsebene unter Druck, sich intensiver um die Cybersicherheit zu kümmern.

„Die Einführung des neuen § 38 BSIG-E erhöht das Haftungsrisiko für die Geschäftsleitung bei fehlender Einrichtung und Überwachung von Cybersicherheitsmaßnahmen.“

NIS-2-Richtlinie: Zeitplan und Fristen

Am 16. Januar 2023 trat die NIS-2-Richtlinie in Europa in Kraft. Bis zum 17. Oktober 2024 haben EU-Mitgliedsstaaten Zeit, sie in nationales Recht umzusetzen. In Deutschland gibt es schon Pläne für das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“. Dieses Gesetz soll die Richtlinie in Deutschland gültig machen.

Fristen für die Umsetzung in nationales Recht

Mittlere Unternehmen müssen sich auf neue Regeln vorbereiten. In Deutschland sind rund 29.000 Firmen betroffen. Sie machen oft mehr als 10 Millionen Euro Umsatz.

Die NIS-2-Richtlinie gilt für 18 Schlüsselsektoren. Unternehmen müssen bestimmte Bedingungen erfüllen. Zum Beispiel 250 oder mehr Mitarbeiter haben oder über 50 Millionen Euro Umsatz machen.

KennzahlWert
Betroffene Unternehmen in Deutschlandca. 29.000
Mindestmitarbeiterzahl250
Mindestjahresumsatz50 Millionen Euro
Umsetzungsfrist für EU-Mitgliedstaaten21 Monate (bis 17.10.2024)

Die betroffenen Firmen müssen sich schnell an die neue Richtlinie anpassen. Sie müssen ihre Netzwerke und Systeme sicher machen. Auch das Risikomanagement ist wichtig.

Erste Schritte zur NIS-2-Konformität

Um die NIS-2-Richtlinie richtig umzusetzen, müssen betroffene Unternehmen zuerst genau hinschauen. Das heißt, sie sollten analysieren, wie stark sie von der neuen EU-Richtlinie NIS 2 beeinflusst sind. Diese Betroffenheitsanalyse hilft, das herauszufinden.

Dann kommt die Gap-Analyse. Hier prüfen die Unternehmen, wo es noch an Cybersicherheit fehlt. Sie vergleichen ihre Maßnahmen mit den Vorschriften der NIS-2-Richtlinie. Besonderes Augenmerk liegt auf dem Risikomanagement, den Meldepflichten bei Sicherheitsvorfällen und der Haftung der Unternehmensleitung.

Betroffenheitsanalyse und Gap-Analyse

In Deutschland schätzt man, dass ca. 30.000 Firmen sich mit der NIS-2-Richtlinie beschäftigen müssen. Ein paar wichtige Schritte für die Compliance sind:

  1. Prüfen, ob das Unternehmen von der Regulierung betroffen ist (Betroffenheitsanalyse)
  2. Identifizieren der Lücken zwischen den eigenen Maßnahmen und den Vorgaben der NIS-2-Richtlinie (Gap-Analyse)
  3. Erstellen eines konkreten Umsetzungsplans zur Schließung der Lücken
  4. Einführung eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO 27001
  5. Sicherstellung der Cybersicherheit entlang der gesamten Lieferkette
  6. Festlegung relevanter Cybersicherheitszertifizierungen für Produkte
  7. Einrichtung von Meldeprozessen für Cybersicherheitsvorfälle
  8. Regelmäßige interne Schulungen und Audits zur Überprüfung der Cybersicherheit

Für betroffene Unternehmen sind diese ersten Schritte sehr wichtig. Sie helfen dabei, das neue Ziel der NIS-2-Richtlinie zu erreichen: Ein hohes gemeinsames Cybersicherheitsniveau.

Fazit

Die EU hat mit der NIS-2-Richtlinie die Cybersicherheit gestärkt. Ab 2023 müssen auch viele Mittelständler ihre IT-Sicherheit verbessern. Bei Nichtbeachtung warten hohe Strafen und sogar persönliche Verantwortung.

Es ist wichtig, jetzt zu handeln. Unternehmen sollten prüfen, was zu tun ist. So können sie Strafen umgehen und auch in Zukunft wettbewerbsfähig bleiben.

Obwohl die Umsetzung uns viel abverlangt, bringt sie uns allen mehr Sicherheit. Die neue Richtlinie ist eine Chance, die Cybergefahren besser zu bekämpfen.