Die NIS 2
Ab dem 18. Oktober 2024 wird die neue Cyber-Sicherheitsrichtlinie der EU – die NIS 2 – zur Pflicht. Diese verbindliche Verordnung setzt den Standard für Cyber Security in der gesamten Europäischen Union und zwingt Unternehmen aus verschiedenen Sektoren, ihre Security-Strategie zu belegen.
Der Countdown läuft und Unternehmen sind dazu aufgefordert zu handeln.
Let’s get prepared together!
Was ist die NIS 2?
Die EU hat mit der NIS 2 (Netz- und Informationssicherheit) strenge Cyber Security-Vorschriften für ihre Mitgliedstaaten eingeführt. Die NIS 2 ist der Nachfolger der bereits 2016 in Kraft getretenen NIS-Richtlinie. Die Umsetzung einer ganzheitlichen Security-Strategie ist somit nicht mehr nur zum Schutz vor Cyber-Attacken notwendig, sondern auch gesetzlich verpflichtend.
Die Mitgliedstaaten müssen bis zum 17. Oktober 2024 die erforderlichen Maßnahmen zur Einhaltung der NIS-2-Richtlinie erlassen und ab dem 18. Oktober 2024 sollen sie diese Maßnahmen anwenden.
Wie unterscheidet sich die NIS 1 zur NIS 2?
Die NIS 2 ist eine verbesserte Version der NIS-Richtlinie von 2016, die bereits ein hohes Sicherheitsniveau von Netz- und Informationssystemen in der Union gewährleisten sollte, aber einige Schwachstellen aufwies.
Die wichtigsten Unterschiede zwischen NIS 1 und NIS 2 sind:
-
Die neue Version bezieht mehr Sektoren und Unternehmen ein, die für die Gesellschaft und die Wirtschaft unverzichtbar sind, wie z. B. Energie, Gesundheitswesen, Verkehr und digitale Infrastruktur.
-
Die NIS 2 fordert die betroffenen Unternehmen und Organisationen auf, ein effektives Risikomanagement zu betreiben und ernste oder signifikante Cyber-Zwischenfälle an die zuständigen nationalen Stellen zu melden, die dann die erforderlichen Maßnahmen ergreifen können. Die NIS 1 gab nur allgemeine Vorgaben für die Sicherheitsmaßnahmen und die Meldung von Vorfällen.
-
Die neue Security-Richtlinie sieht strengere Sanktionen für die Mitgliedstaaten vor, die bis zu 20 Mio. Euro oder vier Prozent des globalen Umsatzes betragen können, wenn die betroffenen Unternehmen und Organisationen die erforderlichen Sicherheitsmaßnahmen nicht umsetzen oder ernste oder signifikante Cyber-Zwischenfälle nicht an die zuständigen nationalen Stellen berichten. Die NIS 1 überließ die Festlegung der Sanktionen den Mitgliedstaaten, was zu einer uneinheitlichen Anwendung führte.
-
Die NIS 2 unterstreicht die persönliche Verantwortung des Managements für die Cyber-Sicherheit und legt fest, dass Geschäftsführer erstmals mit ihrem Privatvermögen haften, wenn sie die gesetzlichen Vorschriften nicht einhalten.
Wer ist davon betroffen?
Der 17. Oktober 2024 – das ist der Tag, an dem alle 27 EU-Mitgliedstaaten die NIS-2-Cyber-Sicherheitsvorschriften nahtlos in ihre nationalen Gesetze übernommen haben müssen. Doch die drängende Frage bleibt: Welche Unternehmen sind verpflichtet die NIS-2-Richtlinie umzusetzen?
Wesentliche Einrichtungen: Dies sind die Organisationen, die im Bereich der kritischen Infrastrukturen tätig sind. Dazu gehören z. B. Energie, Transport, Wasserwirtschaft, Gesundheitswesen oder Banken.
Wichtige Einrichtungen: Zu dieser Kategorie gehören die führenden Unternehmen der Lebensmittel- und Chemieindustrie sowie diejenigen, die für die Herstellung von elektrischen Geräten, Maschinen und Fahrzeugen verantwortlich sind.
Außerdem haben die Mitgliedstaaten selbst die Möglichkeit, die betroffenen Zielgruppen der NIS 2 zu erweitern. Sie können zusätzliche Einrichtungen in ihre nationalen Listen aufnehmen und so lokale Behörden, Bildungseinrichtungen und mehr dazu verpflichten, die Richtlinien umzusetzen.
Welche Strafen gibt es?
Die NIS-2-Richtlinie wird strikt durchgesetzt, einschließlich hoher Geldstrafen bei Nichteinhaltung oder Nichterfüllung der Meldepflichten. Die Höhe der Strafen hängt dabei von der Einstufung der einzelnen Unternehmen ab.
Unternehmen, die als “wichtig” klassifiziert werden, müssen Geldbußen zwischen 7 Mio. Euro oder maximal 1,4 % des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr zahlen. Für “wesentliche Unternehmen” drohen Bußgelder bis zu 10 Mio. Euro oder maximal 2 % ihres gesamten weltweiten Jahresumsatzes.
Die Sorgfaltspflicht im Bereich der Cyber-Sicherheit ist nicht verhandelbar und die oberste Führungsebene hat die Pflicht, die Umsetzung und Überwachung dieser Cyber Security-Maßnahmen zu leiten.
Was bedeutet das konkret für Sie?
Die NIS-2-Richtlinie ist eine EU-Richtlinie, die am 16. Januar 2023 in Kraft getreten ist und die Cyber-Sicherheit und -resilienz von kritischen Infrastrukturen und digitalen Dienstleistern verbessern soll. Die Richtlinie verpflichtet die betroffenen Unternehmen und Organisationen, sich an ein wirksames Risikomanagement zu halten und ernste oder signifikante Cyber-Zwischenfälle an die zuständigen nationalen Stellen zu berichten, die dann die notwendigen Maßnahmen ergreifen können. Um die potenziellen Schäden für die Nutzenden, die Umwelt und die öffentliche Ordnung zu minimieren, ist es dabei Ziel, Sicherheitslücken frühzeitig zu erkennen und präventiv dagegen vorzugehen. Um sicherzustellen, dass alle Beteiligten die gleichen hohen Standards einhalten, sind die Unternehmen außerdem dafür verantwortlich, die Sicherheit der gesamten Lieferkette zu gewährleisten und die Anforderungen an ihre Geschäftspartner und Lieferanten weiterzuleiten. Zu den weiteren Maßnahmen gehören u. a.:
-
Die Implementierung von angemessenen und verhältnismäßigen Sicherheitsmaßnahmen, die den aktuellen Standards und bewährten Praktiken entsprechen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität ihrer Daten und Dienste zu gewährleisten.
-
Die Erstellung und Aktualisierung eines Business-Continuity-Plans, der die Wiederherstellung der normalen Betriebsbedingungen nach einem Cyber-Zwischenfall ermöglicht.
-
Um unbefugten Zugriff zu verhindern, Einführung einer Multi-Faktor-Authentifizierung für den Zugriff auf ihre Netzwerke und Informationssysteme.
Die EU-Agentur für Cyber-Sicherheit (ENISA) wird dabei eine entscheidende Rolle bei der Kontrolle und Unterstützung der Anwendung dieser Rechtsakte übernehmen.
Zeitplan der NIS 2
Die NIS-2-Richtlinie ist am 16. Januar 2023 in Kraft getreten und muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Die Implementierung der Richtlinie wird von der Kommission erstmalig bis zum 17. Oktober 2027 geprüft und zukünftig alle 36 Monate kontrolliert.
Es wird Zeit aktiv zu werden und sich vorzubereiten.
Die NIS 2 ist bereits am 16. Januar 2023 in Kraft getreten
Unser vollständiges 360°-Security-Konzept
360°-Security – unser vollständiges Angebot ohne Kompromisse
In der dynamischen Welt der Cyber-Sicherheit ist der Wandel eine Konstante und die Einführung der NIS-2-Richtlinie unterstreicht diese Tatsache. Während wir darauf warten, dass die Richtlinie in nationales Recht umgesetzt wird, um ihre volle Wirkung zu entfalten, ist die Dringlichkeit, Maßnahmen zu ergreifen, unbestreitbar.
Um den strengen Anforderungen von NIS 2 gerecht zu werden, müssen wir uns auf europäische und internationale Standards stützen, die unser Fundament bilden. Diese Normen definieren nicht nur sichere Produkte, sondern legen auch die Grundsätze für die Implementierung widerstandsfähiger Security-Systeme fest. Ein herausragendes Beispiel ist die IEC 62443, eine weltweit anerkannte Normenreihe für Sicherheit in der Automatisierung. Unser ganzheitliches 360°-Sicherheitskonzept umfasst sowohl technische als auch organisatorische Maßnahmen, die durch entsprechende IEC 62443-Zertifizierungen abgesichert sind.