Umsetzung der EU-NIS-2-Richtlinie in Deutschland: Verschärfte Anforderungen der bestehenden NIS-Richtlinie und Stärkung der Cybersicherheit ab Oktober 2024
Beschäftigen Sie mehr als 50 Mitarbeiterinnen und Mitarbeiter oder übersteigt der Umsatz und die Bilanzsumme Ihres Unternehmens die 10-Millionen-Euro-Grenze? Dann könnten Sie von der NIS-2-Richtlinie betroffen sein.
Die EU-NIS-2-Richtlinie (Network and Information Security Directive 2) zielt darauf ab, die Cybersicherheit in der Europäischen Union deutlich zu verbessern. Diese EU-Richtlinie ist am 16. Januar 2023 in Kraft getreten und muss von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. NIS-2 erweitert den Anwendungsbereich und die Anforderungen der bereits bestehenden EU-Richtlinien zur Netzwerk- und Informationssicherheit (NIS). Darunter fallen auch Betreiber von KRITIS-Anlagen, die automatisch unter die NIS-2-Regulierung fallen. Mit dem kürzlich veröffentlichten Entwurf der deutschen Bundesregierung zur Umsetzung der EU-Richtlinie wurde ein wichtiger Meilenstein des Gesetzgebungsverfahrens erreicht. Es ist zu erwarten, dass das NIS-2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) in absehbarer Zeit in Deutschland in Kraft tritt.
Der Kreis der betroffenen Unternehmen wird größer
Die Ausweitung des Anwendungsbereichs durch die neue Richtlinie hat erhebliche Auswirkungen auf die Zahl der betroffenen Unternehmen. Nicht nur KRITIS-relevante Unternehmen (z. B. Energie- und Verkehrssysteme), sondern auch Unternehmen aus breit gestreuten Sektoren, wie Verarbeitendes Gewerbe, Chemie, Forschung und weiteren sind zukünftig von NIS-2 Regularien betroffen. Unabhängig von der Sektorenzugehörigkeit wurden weitere Unternehmensmerkmale wie Anzahl der Mitarbeiterinnen und Mitarbeiter, Bilanzsummen und Jahresumsätze verschärft. Bereits ab 50 Mitarbeiterinnen und Mitarbeitern oder einem Jahresumsatz von mehr als 10 Millionen Euro in Kombination mit einer Bilanzsumme von ebenfalls mehr als 10 Millionen Euro können Unternehmen NIS-2-relevant sein. Wir gehen davon aus, dass zukünftig ca. 27.000 Unternehmen aufgrund ihrer Zugehörigkeit zu einem Wirtschaftszweig mit mindestens 50 Mitarbeitern NIS-2-relevant sind und in die Überwachung durch das BSI fallen.
Was auf die Unternehmen jetzt zukommt
NIS-2 verpflichtet Unternehmen zu umfangreichen Risikomanagementmaßnahmen, auch innerhalb der eigenen Lieferkette. Neben Herstellern sind somit indirekt auch Zulieferer betroffen, beispielsweise IT-Dienstleistungsunternehmen, oder Hersteller von Energieerzeugern wie Windturbinen oder Solarpanelen.
Der Geltungsbereich der durchzuführenden technischen und organisatorischen Maßnahmen wurde mit den NIS-2-Richtlinien gegenüber den geltenden NIS-Richtlinien erweitert. So beinhaltet dieser sämtliche IT-Systeme, Komponenten und Prozesse, die für die Erbringung der Dienste genutzt werden.
Durchzuführende Maßnahmen nach § 30 (2) NIS2UmsuCG:
- Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit der IT
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik
- Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der IT
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Pflicht und Chance zugleich, um Cybersicherheit in Unternehmen zu stärken
Drohende Bußgelder bei Verstößen gegen die durch die NIS-2-Richtlinie einzurichtenden Risikomanagementmaßnahmen und Meldepflichten können insbesondere für mittelgroße Unternehmen existenzgefährdend sein. Dennoch ergeben sich Chancen aus der Umsetzung der erforderlichen Risikomanagementmaßnahmen. Die NIS-2-Richtlinie ermöglicht Unternehmen, ihre IT-Sicherheit zu stärken und Vertrauen aufzubauen. Zudem fördert sie innovative Lösungen durch bessere Zusammenarbeit im Bereich Cybersicherheit.
Fragen Sie unsere Expertinnen und Experten
Sollten Sie Unterstützung benötigen, um zu gewährleisten, dass Ihre Maßnahmen zur NIS-2-Richtlinie ausreichend sind, stehen wir von BDO Ihnen gerne mit unseren Expertinnen und Experten zur Verfügung.