Shopsuche
Mein Warenkorb

Es scheint, dass Ihr Warenkorb noch leer ist

  • Startseite
  • Blog
  • NIS2-Richtlinie und KRITIS-Dachgesetz: Neue strenge Sicherheitsvorgaben für viele Unternehmen

NIS2-Richtlinie und KRITIS-Dachgesetz: Neue strenge Sicherheitsvorgaben für viele Unternehmen

By Christian Knittel on

Die digitale Transformation schreitet voran und die damit verbundene Abhängigkeit von digitalen Technologien stellt zahlreiche Akteure vor Herausforderungen im Hinblick auf Cybersecurity und Resilienz. Die neue NIS2-Richtlinie (Network and Information Security Directive) der EU zielt als Weiterentwicklung der ursprünglichen NIS-Richtlinie darauf ab, die Sicherheitsanforderungen in der gesamten Europäischen Union zu standardisieren und weiter zu stärken. Sie erweitert den Geltungsbereich erheblich und verschärft die Sicherheitsanforderungen für eine Vielzahl von Sektoren. Zusätzlich nimmt in Deutschland das KRITIS-Dachgesetz die Betreiber von kritischer Infrastruktur gezielt in den Blick. Wir von IT-Resell stehen Ihnen bei der Umsetzung der neuen Vorgaben als kompetenter Partner zur Seite.

Die neue NIS2-Richtlinie für mehr Sicherheit in der IT

Mit der seit 2016 bestehenden NIS-Richtlinie hat die EU erstmals Maßnahmen ergriffen, um hohe gemeinsame Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union zu gewährleisten und einen einheitlichen Rechtsrahmen für den Aufbau von Kapazitäten für die Cybersicherheit geschaffen. Im Zuge des digitalen Wandels, der insbesondere durch die COVID-19-Krise noch einmal beschleunigt wurde, hat die EU neue Bedrohungen sowie damit verbundene Herausforderungen ausgemacht und Mängel an der NIS-Richtlinie festgestellt:

  • unzureichende Cyberresilienz von in der EU tätigen Unternehmen
  • uneinheitliche Widerstandsfähigkeit zwischen Mitgliedstaaten und Sektoren
  • unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen der EU-Mitgliedstaaten
  • fehlendes gemeinsames Krisenmanagement

Als Reaktion darauf hat die EU-Kommission eine angepasste und deutlich erweiterte Richtlinie mit überarbeiteten, zukunftssicheren Vorschlägen in das EU-Gesetzgebungsverfahren eingebracht – die NIS2-Richtlinie.

Die neue NIS2-Richtlinie der EU erweitert die bestehende NIS-Richtlinie, indem sie den Anwendungsbereich und die Sicherheitsanforderungen deutlich ausweitet. Die neue Regelung ist bereits seit Anfang 2023 auf EU-Ebene in Kraft und wird nach ihrer nationalen Umsetzung, die in den EU-Mitgliedsstaaten bis zum 17. Oktober 2024 erfolgen soll, vollständig wirksam.

Zu den wichtigsten Neuerungen im Vergleich zur bisherigen NIS-Richtlinie gehören:

  • ein deutlich erweiterter Anwendungsbereich
  • verschärfte Sicherheitsanforderungen
  • umfangreichere Meldepflichten
  • eine strengere Durchsetzung

Rund 30.000 Institutionen und Unternehmen betroffen

Bürogebäude

Die Ausweitung des Anwendungsbereichs bedeutet, dass jetzt auch viele kleinere Organisationen und Unternehmen die neuen Anforderungen erfüllen müssen, die zuvor nicht unter die NIS-Richtlinie fielen. Nach Schätzungen sind in Deutschland etwa 30.000 Unternehmen von den neuen Vorschriften der NIS2- Richtlinie betroffen. Dazu gehören Firmen aus Sektoren wie Energie, Gesundheit, Verkehr, Bankwesen, digitale Infrastruktur, öffentliche Verwaltung und mehr.

Zusätzlich sind auch Unternehmen in die neue Richtlinie eingeschlossen, die ein Teil der Lieferkette dieser Sektoren sind oder Dienstleistungen für sie erbringen. Es ist wichtig zu beachten, dass Unternehmen nicht automatisch darüber informiert werden, ob sie von der NIS2-Richtlinie betroffen sind. Sie müssen selbst prüfen, ob sie aufgrund ihrer Größe und Branchenzugehörigkeit unter die Richtlinie fallen und entsprechende Vorkehrungen treffen müssen.

Strengere Meldepflichten und härtere Sanktionen

Die neue NIS2-Richtlinie erweitert die Meldepflichten. Betroffenen Unternehmen müssen etwa bereits sicherheitsrelevante Vorfälle den Behörden melden, die erhebliche Auswirkungen auf die Verfügbarkeit von Diensten haben könnten. NIS2 führt außerdem einheitlichere und strengere Strafen bei Verstößen gegen die Sicherheitsvorgaben und die Meldepflichten ein, um sicherzustellen, dass Unternehmen die neuen Anforderungen ernst nehmen und entsprechende Maßnahmen zur Cybersicherheit zügig realisieren. Das Management und verantwortliche Führungskräfte können direkt für Verstöße haftbar gemacht werden und im schlimmsten Fall sind Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes möglich. Das zeigt, wie wichtig es ist, die neuen Vorgaben der NIS2-Richtlinie gemeinsam mit einem zuverlässigen Partner wie IT-Resell rechtzeitig und vollumfänglich umzusetzen.

Ausnahmen für Kommunen und Bildungseinrichtungen

Die Europäische Union zielt mit der NIS2-Richtlinie vor allem auf Unternehmen ab, schließt durch die Festlegung der betroffenen Sektoren aber grundsätzlich auch Bildungseinrichtungen, Städte und Kommunen sowie öffentliche Richtungen mit ein. In Deutschland gibt es jedoch Bestrebungen, für einige dieser Akteure Ausnahmen zu schaffen. Der IT-Planungsrat in Deutschland hat den Beschluss gefasst, Bildungseinrichtungen von der Anwendung der NIS2-Richtlinie auszunehmen. Für lokale Verwaltungen in den Städten und Kommunen gibt es ebenfalls den Plan, sie nicht in den Anwendungsbereich der NIS2-Richtlinie einzubeziehen. Die endgültige Entscheidung steht jedoch noch aus und wird im Rahmen der nationalen Umsetzung getroffen, die sich derzeit noch im Entwurfsstadium befindet.

Leere Bibliothek

Andere öffentliche Einrichtungen, etwa Bibliotheken, Kinos, Museen und Zoos können von den neuen Vorgaben der NIS2-Richtlinie durchaus betroffen sein. Die Einbeziehung hängt unter Umständen von ihrer Größe, ihrem Umsatz und ihrer Bedeutung für die kritische Infrastruktur ab. Gewissheit wird es auch in diesen Fällen erst mit der endgültigen nationalen Umsetzung geben. Grundsätzlich ist es aber ratsam, dass sich auch die Institutionen und Einrichtungen gemeinsam mit einem erfahrenen Partner wie IT-Resell um Themen wie Cybersicherheit und Resilienz kümmern, die am Ende möglicherweise nicht von den neuen Vorgaben betroffen sind – schon aus Eigeninteresse.

KMU und die NIS2-Richtlinie

Mit der neuen NIS2-Richtlinie wird der Geltungsbereich im Vergleich zu vorherigen Vorgaben deutlich erweitert. Das bedeutet, dass auch viele kleine und mittlere Unternehmen (KMU) den neuen Sicherheitsanforderungen und -vorgaben gerecht werden müssen. Dazu gehören:

  • Sicherheitsrichtlinien: Entwicklung und Implementierung von Sicherheitsrichtlinien, die den spezifischen Anforderungen der KMU entsprechen

  • Sicherheitslösungen: Implementierung von Sicherheitslösungen wie Sicherheitssoftware, Firewalls und Intrusion-Detection-Systemen

  • Sicherheitsaudits: Regelmäßige Durchführung von Sicherheitsaudits zur Identifizierung von Schwachstellen und zur Bewertung der aktuellen Sicherheitslage

  • Mitarbeiterschulungen: Regelmäßige Schulungen der Mitarbeiter zur Sensibilisierung für Cyberbedrohungen und zur Förderung eines sicheren Umgangs mit IT-Systemen
Meeting

Ob Ihr Unternehmen betroffen ist, hängt davon ab, ob es bestimmte Kriterien erfüllt. Unternehmen mit 50 oder mehr Mitarbeitern, einem Umsatz ab 10 Mio. Euro und einer Jahresbilanzsumme in gleicher Höhe fallen in den Anwendungsbereich. Das gilt ebenso für Firmen, die in einem der definierten kritischen Sektoren tätig sind und vorgegebene Schwellenwerte überschreiten (mehr als 250 Mitarbeiter, Jahresumsatz über 50 Millionen Euro und/oder Jahresbilanz über 43 Millionen Euro) und damit automatisch als „kritische“ oder „wichtige“ Unternehmen im Sinne der Richtlinie gelten.

Kontaktieren Sie uns, profitieren Sie von unserer Expertise und setzen Sie den Grundstein für die Erfüllung der NIS2-Anforderungen. Wir von IT-Resell besprechen mit Ihnen, ob und in welchen Umfang Ihre Firma von den neuen Sicherheitsvorgaben betroffen ist und entwickeln gemeinsam mit Ihnen eine Lösung, mit der Sie und Ihr Unternehmen die neue Richtlinie rechtzeitig erfüllen können – damit die Cybersicherheit gewährleistet ist und Sanktionen kein Thema sind.

Hand in Hand mit dem KRITIS-Dachgesetz

Hände schütteln

Die NIS2-Richtlinie wird durch die CER-Richtlinie und die nationale Umsetzung KRITIS-Dachgesetz ergänzt. Während die NIS2-Vorgaben primär auf die Cybersicherheit und präventive Maßnahmen für ein hohes gemeinsames Niveau der Cybersicherheit abzielen, fokussiert sich das KRITIS-Dachgesetz auf die physische Sicherheit und Cyberresilienz kritischer Infrastrukturen. Das Ziel: Störungen und Ausfälle bestmöglich verhindern, deren Folgen begrenzen und die Funktionsfähigkeit nach einem Vorfall schnell wiederherzustellen – egal ob Unwetter, menschliches Versagen oder ein Sabotageakt die Ursache ist.

Im Gegensatz zur NIS2-Richtlinie, die nach Schätzungen bis zu 30.000 Unternehmen betrifft, nimmt das KRITIS-Dachgesetz ganz gezielt kritische Infrastrukturen in den Blick. Definiert sind Unternehmen in verschiedenen Sektoren, die essenziell für die Gesamtversorgung in Deutschland sind und mehr als 500.000 Personen versorgen.

Das KRITIS-Dachgesetz führt verschiedene Maßnahmen zur Steigerung der Resilienz kritischer Infrastrukturen ein:

  • Resilienzpläne: Betreiber kritischer Infrastruktur müssen Resilienzpläne erstellen, die Risikoanalysen, Notfallvorsorge, Krisenmanagement und Maßnahmen zur Wiederherstellung kritischer Dienstleistungen enthalten

  • Risikoanalysen: Es sind regelmäßige Risikoanalysen erforderlich, um potenzielle Schwachstellen zu identifizieren und zu minimieren – mindestens alle vier Jahre

  • Physischer Schutz: Betreiber müssen Maßnahmen zum physischen Schutz der Infrastruktur umsetzen, etwa Zäune und sichere Zugangskontrollen

  • Business Continuity Management: Wichtiger Bestandteil des Resilienzmanagements sind Business Continuity Managementsysteme (BCMS), die implementiert werden müssen

  • Audits und Überwachung: Zweijährliche Audits durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), um die Umsetzung der Resilienzmaßnahmen zu überprüfen

Fazit: Akuter Handlungsbedarf für viele Unternehmen

Die NIS2-Richtlinie und das KRITIS-Dachgesetz stellen ganz neue Anforderungen an zahlreiche Akteure und viele Unternehmen – darunter auch viele KMU. Bei Verstößen gegen die neuen Vorgaben können das Management und Führungskräfte verantwortlich gemacht werden und es drohen empfindliche Sanktionen für das Unternehmen. IT-Resell steht Ihnen als erfahrener und zuverlässiger Partner zur Seite, um die neuen Anforderungen rechtzeitig zu erfüllen und die Sicherheit sowie die Resilienz Ihrer IT zu gewährleisten. Greifen Sie auf unsere Expertise zurück und lassen Sie sich von unserem geschulten Personal individuell beraten, um gemeinsam die besten Lösungen für Ihre spezifischen Bedürfnisse zu finden.

Der vorherige Eintrag Der nächste Eintrag

0 Kommentare