top of page
IT-Resell

NIS2-Richtlinie und KRITIS-Dachgesetz: Neue strenge Sicherheitsvorgaben für viele Unternehmen

Die digitale Transformation schreitet voran und die damit verbundene

Abhängigkeit von digitalen Technologien stellt zahlreiche Akteure vor

Herausforderungen im Hinblick auf Cybersecurity und Resilienz. Die neue NIS2-

Richtlinie (Network and Information Security Directive) der EU zielt als

Weiterentwicklung der ursprünglichen NIS-Richtlinie darauf ab, die

Sicherheitsanforderungen in der gesamten Europäischen Union zu

standardisieren und weiter zu stärken. Sie erweitert den Geltungsbereich

erheblich und verschärft die Sicherheitsanforderungen für eine Vielzahl von

Sektoren. Zusätzlich nimmt in Deutschland das KRITIS-Dachgesetz die Betreiber

von kritischer Infrastruktur gezielt in den Blick. Wir von IT-Resell stehen Ihnen

bei der Umsetzung der neuen Vorgaben als kompetenter Partner zur Seite.


Die neue NIS2-Richtlinie für mehr Sicherheit in der IT

Europäische Union Flagge

Mit der seit 2016 bestehenden NIS-Richtlinie hat die EU erstmals Maßnahmen

ergriffen, um hohe gemeinsame Sicherheitsniveaus von Netz- und

Informationssystemen in der Europäischen Union zu gewährleisten und einen

einheitlichen Rechtsrahmen für den Aufbau von Kapazitäten für die

Cybersicherheit geschaffen. Im Zuge des digitalen Wandels, der insbesondere

durch die COVID-19-Krise noch einmal beschleunigt wurde, hat die EU neue

Bedrohungen sowie damit verbundene Herausforderungen ausgemacht und

Mängel an der NIS-Richtlinie festgestellt:


  • unzureichende Cyberresilienz von in der EU tätigen Unternehmen

  • uneinheitliche Widerstandsfähigkeit zwischen Mitgliedstaaten und Sektoren

  • unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und

Herausforderungen der EU-Mitgliedstaaten

  • fehlendes gemeinsames Krisenmanagement


Als Reaktion darauf hat die EU-Kommission eine angepasste und deutlich

erweiterte Richtlinie mit überarbeiteten, zukunftssicheren Vorschlägen in das EU-

Gesetzgebungsverfahren eingebracht – die NIS2-Richtlinie.


Die neue NIS2-Richtlinie der EU erweitert die bestehende NIS-Richtlinie, indem

sie den Anwendungsbereich und die Sicherheitsanforderungen deutlich

ausweitet. Die neue Regelung ist bereits seit Anfang 2023 auf EU-Ebene in Kraft

und wird nach ihrer nationalen Umsetzung, die in den EU-Mitgliedsstaaten bis

zum 17. Oktober 2024 erfolgen soll, vollständig wirksam.


Zu den wichtigsten Neuerungen im Vergleich zur bisherigen NIS-Richtlinie

gehören:


  • ein deutlich erweiterter Anwendungsbereich

  • verschärfte Sicherheitsanforderungen

  • umfangreichere Meldepflichten

  • eine strengere Durchsetzung


Rund 30.000 Institutionen und Unternehmen betroffen

Bürogebäude

Die Ausweitung des Anwendungsbereichs bedeutet, dass jetzt auch viele kleinere

Organisationen und Unternehmen die neuen Anforderungen erfüllen müssen, die

zuvor nicht unter die NIS-Richtlinie fielen. Nach Schätzungen sind in

Deutschland etwa 30.000 Unternehmen von den neuen Vorschriften der NIS2-

Richtlinie betroffen. Dazu gehören Firmen aus Sektoren wie Energie, Gesundheit,

Verkehr, Bankwesen, digitale Infrastruktur, öffentliche Verwaltung und mehr.

Zusätzlich sind auch Unternehmen in die neue Richtlinie eingeschlossen, die ein

Teil der Lieferkette dieser Sektoren sind oder Dienstleistungen für sie erbringen.

Es ist wichtig zu beachten, dass Unternehmen nicht automatisch darüber

informiert werden, ob sie von der NIS2-Richtlinie betroffen sind. Sie müssen

selbst prüfen, ob sie aufgrund ihrer Größe und Branchenzugehörigkeit unter die

Richtlinie fallen und entsprechende Vorkehrungen treffen müssen.


Strengere Meldepflichten und härtere Sanktionen

Die neue NIS2-Richtlinie erweitert die Meldepflichten. Betroffenen Unternehmen

müssen etwa bereits sicherheitsrelevante Vorfälle den Behörden melden, die

erhebliche Auswirkungen auf die Verfügbarkeit von Diensten haben könnten.

NIS2 führt außerdem einheitlichere und strengere Strafen bei Verstößen gegen

die Sicherheitsvorgaben und die Meldepflichten ein, um sicherzustellen, dass

Unternehmen die neuen Anforderungen ernst nehmen und entsprechende

Maßnahmen zur Cybersicherheit zügig realisieren. Das Management und

verantwortliche Führungskräfte können direkt für Verstöße haftbar gemacht

werden und im schlimmsten Fall sind Geldbußen von bis zu 10 Millionen Euro

oder 2 % des weltweiten Jahresumsatzes möglich. Das zeigt, wie wichtig es ist,

die neuen Vorgaben der NIS2-Richtlinie gemeinsam mit einem zuverlässigen

Partner wie IT-Resell rechtzeitig und vollumfänglich umzusetzen.


Ausnahmen für Kommunen und Bildungseinrichtungen

Leere Bibliothek

Die Europäische Union zielt mit der NIS2-Richtlinie vor allem auf Unternehmen

ab, schließt durch die Festlegung der betroffenen Sektoren aber grundsätzlich

auch Bildungseinrichtungen, Städte und Kommunen sowie öffentliche Richtungen

mit ein. In Deutschland gibt es jedoch Bestrebungen, für einige dieser Akteure

Ausnahmen zu schaffen. Der IT-Planungsrat in Deutschland hat den Beschluss

gefasst, Bildungseinrichtungen von der Anwendung der NIS2-Richtlinie

auszunehmen. Für lokale Verwaltungen in den Städten und Kommunen gibt es

ebenfalls den Plan, sie nicht in den Anwendungsbereich der NIS2-Richtlinie

einzubeziehen. Die endgültige Entscheidung steht jedoch noch aus und wird im

Rahmen der nationalen Umsetzung getroffen, die sich derzeit noch im

Entwurfsstadium befindet.


Andere öffentliche Einrichtungen, etwa Bibliotheken, Kinos, Museen und Zoos

können von den neuen Vorgaben der NIS2-Richtlinie durchaus betroffen sein.

Die Einbeziehung hängt unter Umständen von ihrer Größe, ihrem Umsatz und

ihrer Bedeutung für die kritische Infrastruktur ab. Gewissheit wird es auch in

diesen Fällen erst mit der endgültigen nationalen Umsetzung geben.

Grundsätzlich ist es aber ratsam, dass sich auch die Institutionen und

Einrichtungen gemeinsam mit einem erfahrenen Partner wie IT-Resell um


Themen wie Cybersicherheit und Resilienz kümmern, die am Ende

möglicherweise nicht von den neuen Vorgaben betroffen sind – schon aus

Eigeninteresse.


KMU und die NIS2-Richtlinie

Mit der neuen NIS2-Richtlinie wird der Geltungsbereich im Vergleich zu

vorherigen Vorgaben deutlich erweitert. Das bedeutet, dass auch viele kleine

und mittlere Unternehmen (KMU) den neuen Sicherheitsanforderungen und -

vorgaben gerecht werden müssen. Dazu gehören:


  • Sicherheitsrichtlinien: Entwicklung und Implementierung von

Sicherheitsrichtlinien, die den spezifischen Anforderungen der KMU entsprechen

  • Sicherheitslösungen: Implementierung von Sicherheitslösungen wie

Sicherheitssoftware, Firewalls und Intrusion-Detection-Systemen

  • Sicherheitsaudits: Regelmäßige Durchführung von Sicherheitsaudits zur

Identifizierung von Schwachstellen und zur Bewertung der aktuellen

Sicherheitslage

  • Mitarbeiterschulungen: Regelmäßige Schulungen der Mitarbeiter zur

Sensibilisierung für Cyberbedrohungen und zur Förderung eines sicheren

Umgangs mit IT-Systemen

Meeting

Ob Ihr Unternehmen betroffen ist, hängt davon ab, ob es bestimmte Kriterien

erfüllt. Unternehmen mit 50 oder mehr Mitarbeitern, einem Umsatz ab 10 Mio.

Euro und einer Jahresbilanzsumme in gleicher Höhe fallen in den

Anwendungsbereich. Das gilt ebenso für Firmen, die in einem der definierten

kritischen Sektoren tätig sind und vorgegebene Schwellenwerte überschreiten

(mehr als 250 Mitarbeiter, Jahresumsatz über 50 Millionen Euro und/oder

Jahresbilanz über 43 Millionen Euro) und damit automatisch als „kritische“ oder

„wichtige“ Unternehmen im Sinne der Richtlinie gelten.


Kontaktieren Sie uns, profitieren Sie von unserer Expertise und setzen Sie den

Grundstein für die Erfüllung der NIS2-Anforderungen. Wir von IT-Resell

besprechen mit Ihnen, ob und in welchen Umfang Ihre Firma von den neuen

Sicherheitsvorgaben betroffen ist und entwickeln gemeinsam mit Ihnen eine

Lösung, mit der Sie und Ihr Unternehmen die neue Richtlinie rechtzeitig erfüllen

können – damit die Cybersicherheit gewährleistet ist und Sanktionen kein Thema

sind.


Hand in Hand mit dem KRITIS-Dachgesetz


Hände schütteln

Die NIS2-Richtlinie wird durch die CER-Richtlinie und die nationale Umsetzung

KRITIS-Dachgesetz ergänzt. Während die NIS2-Vorgaben primär auf die

Cybersicherheit und präventive Maßnahmen für ein hohes gemeinsames Niveau

der Cybersicherheit abzielen, fokussiert sich das KRITIS-Dachgesetz auf die

physische Sicherheit und Cyberresilienz kritischer Infrastrukturen. Das Ziel:

Störungen und Ausfälle bestmöglich verhindern, deren Folgen begrenzen und die

Funktionsfähigkeit nach einem Vorfall schnell wiederherzustellen – egal ob

Unwetter, menschliches Versagen oder ein Sabotageakt die Ursache ist.


Im Gegensatz zur NIS2-Richtlinie, die nach Schätzungen bis zu 30.000

Unternehmen betrifft, nimmt das KRITIS-Dachgesetz ganz gezielt kritische

Infrastrukturen in den Blick. Definiert sind Unternehmen in verschiedenen

Sektoren, die essenziell für die Gesamtversorgung in Deutschland sind und mehr

als 500.000 Personen versorgen.


Das KRITIS-Dachgesetz führt verschiedene Maßnahmen zur Steigerung der

Resilienz kritischer Infrastrukturen ein:


  • Resilienzpläne: Betreiber kritischer Infrastruktur müssen Resilienzpläne

erstellen, die Risikoanalysen, Notfallvorsorge, Krisenmanagement und

Maßnahmen zur Wiederherstellung kritischer Dienstleistungen enthalten

  • Risikoanalysen: Es sind regelmäßige Risikoanalysen erforderlich, um

potenzielle Schwachstellen zu identifizieren und zu minimieren – mindestens alle

vier Jahre

  • Physischer Schutz: Betreiber müssen Maßnahmen zum physischen Schutz der

Infrastruktur umsetzen, etwa Zäune und sichere Zugangskontrollen

  • Business Continuity Management: Wichtiger Bestandteil des

Resilienzmanagements sind Business Continuity Managementsysteme (BCMS),

die implementiert werden müssen

  • Audits und Überwachung: Zweijährliche Audits durch das Bundesamt für

Bevölkerungsschutz und Katastrophenhilfe (BBK), um die Umsetzung der

Resilienzmaßnahmen zu überprüfen


Fazit: Akuter Handlungsbedarf für viele Unternehmen

Die NIS2-Richtlinie und das KRITIS-Dachgesetz stellen ganz neue Anforderungen

an zahlreiche Akteure und viele Unternehmen – darunter auch viele KMU. Bei

Verstößen gegen die neuen Vorgaben können das Management und

Führungskräfte verantwortlich gemacht werden und es drohen empfindliche

Sanktionen für das Unternehmen. IT-Resell steht Ihnen als erfahrener und

zuverlässiger Partner zur Seite, um die neuen Anforderungen rechtzeitig zu

erfüllen und die Sicherheit sowie die Resilienz Ihrer IT zu gewährleisten. Greifen

Sie auf unsere Expertise zurück und lassen Sie sich von unserem geschulten

Personal individuell beraten, um gemeinsam die besten Lösungen für Ihre

spezifischen Bedürfnisse zu finden.

18 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen

Comments


bottom of page