NIS-2 – Herausforderungen & Lösungen

NIS-2 – Herausforderungen & Lösungen

...

Ziele von NIS-2

In der heutigen digitalen Landschaft ist Cyber-Sicherheit von entscheidender Bedeutung. Die Gefahr von Cyber-Angriffen ist so hoch wie nie zuvor und nimmt stetig weiter zu. Es ist davon auszugehen, dass Unternehmen, die keine ausreichenden Vorkehrungen treffen, früher oder später betroffen sein werden. Mit der NIS-2-Richtlinie setzt die Europäischen Union neue Maßstäbe für die Sicherheitsanforderungen in kritische Infrastrukturen (KRITIS) und wichtige Einrichtungen. Betroffene Unternehmen werden dabei jedoch nicht nur gesetzlich verpflichtet, die Vorgaben zu erfüllen. Vielmehr werden sie von einer höheren Awareness vor drohenden Gefahren und einem robusteren Sicherheitsmanagement profitieren. Nach Schätzungen unterliegen ca. 29.000 zusätzliche Unternehmen der NIS-2-Richtlinie und fallen damit unter die Aufsicht des BSI.

Mit den erweiterten Anforderungen an Sicherheitsmaßnahmen und Meldepflichten durch die NIS-2-Richtlinie sollen kritische Infrastrukturen und wichtige Einrichtungen besser vor Cyber-Angriffen geschützt werden. Die Richtlinie stärkt die Resilienz von Unternehmen und Behörden, optimiert die Zusammenarbeit zwischen den Mitgliedstaaten und etabliert einheitliche Mindeststandards für Cyber-Sicherheitsmaßnahmen. Zudem fördert ein starkes Sicherheitsprofil das Vertrauen und die Loyalität der Kundschaft, die zunehmend großen Wert auf wirksamen Datenschutz und höhere Sicherheitsstandards legt.

Zeitplan

Unternehmen sollten bereits jetzt ihre Betroffenheit klären und spezifische Vorbereitungen treffen, um den gesetzlichen Anforderungen gerecht zu werden. Denn die Umsetzung in deutsches Recht wird nach aktuellem Stand bis spätestens Anfang 2026 erwartet.

Grafik Zeitplan

(Zum Vergrößern klicken)

Betroffene Sektoren

Die NIS-2-Richtlinie stellt einen wichtigen Schritt in der europäischen Cyber-Sicherheitsstrategie dar und betrifft zahlreiche Sektoren, die für Gesellschaft und Wirtschaft von zentraler Bedeutung sind – darunter kritische Infrastrukturen und andere essenzielle Bereiche.

NIS-2 unterscheidet in Sektoren mit hoher Kritikalität1 und Sonstige kritische Sektoren2. Je nach Größe der Unternehmen wird in der NIS-2 zudem in besonders wichtige Einrichtungen sowie wichtige Einrichtungen unterschieden.

Sektoren mit hoher Kritikalität

Energie
Verkehr & Transport
Weltraum
Trink- und Abwasser
Öffentliche Verwaltung
Finanzwesen
Gesundheit
Digitale Infrastruktur
Bankwesen
Verwaltung von IKT-Diensten

Sonstige kritische Sektoren

Abfallbewirtschaftung
Produktion & Verarbeitung
Forschung
Digitale Dienste
Post- und Kurierdienste

Besonders wichtige Einrichtungen sind

  • Sektoren mit hoher Kritikalität1 und
  • mindestens 250 Mitarbeiterinnen bzw. Mitarbeiter oder
  • Jahresumsatz über 50 Mio. € und Jahresbilanzsumme
    über 43 Mio. € oder 
  • Betreiber kritischer Anlagen, unabhängig von Unternehmensgröße

Wichtige Einrichtungen sind

  • Sektoren mit hoher Kritikalität1 oder Sonstige kritische Sektoren2 und
  • mindestens 50 Mitarbeiterinnen bzw. Mitarbeiter oder
  • Jahresumsatz und Jahresbilanzsumme jeweils über
    10 Mio. € 

(gemäß Anhang I¹ und Anhang II² der NIS-2-Richtlinie)

NIS-2-Betroffenheitscheck

Unsere NIS-2-Betroffenheitsanalyse gibt Ihnen in wenigen Augenblicken eine erste, rechtlich nicht verbindliche Orientierung, ob Sie von den Regelungen betroffen sind. Unabhängig vom Ergebnis raten wir Ihnen, sich in jedem Fall mit der Sicherheit Ihres Unternehmens zu beschäftigen.

Für eine Rechtsberatung, ob Sie unter NIS-2 fallen, stehen Ihnen die Expertinnen und Experten unseres Kooperationspartners BDO LEGAL Rechtsanwaltsgesellschaft mbH gerne zur Verfügung.

Pflichten

Unternehmen, die von der NIS-2-Richtlinie betroffen sind, müssen ihre Einstufung prüfen und sich innerhalb von drei Monaten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) mit grundlegenden Informationen wie Kontaktdaten und relevanten Dienstleistungen registrieren.

NIS-2 stellt verschärfte Anforderungen an die Cyber-Sicherheit. Unternehmen sind angehalten, Risiken für ihre Systeme aktiv zu identifizieren und zu bewerten, um Sicherheitsvorfälle zu minimieren. Wichtige Maßnahmen umfassen effektives Backup-Management, die Notfallwiederherstellung, den Schutz sensibler Daten und regelmäßige Schulungen sowie Sensibilisierungsmaßnahmen. 

Sicherheitsaspekte der Lieferkette sowie der Einsatz von Kryptografie sollten ebenfalls Teil der Sicherheitsstrategie sein, orientiert an den neuesten technischen Standards, geltenden Normen und regulatorischen Anforderungen des Datenschutzrechts. 

Einrichtungen sind verpflichtet, erhebliche Sicherheitsvorfälle – einschließlich solcher mit Bezug zu personenbezogenen Daten – umgehend an das BSI zu melden, wobei die Erstmeldung innerhalb von 24 Stunden nach Kenntnisnahme erfolgen muss. Regelmäßige Updates und eine umfassende Abschlussmeldung mit detaillierter Analyse sind ebenfalls erforderlich. 

Wichtig: Bei datenschutzrechtlich relevanten Vorfällen gelten zudem ergänzende Meldepflichten.

Die Geschäftsleitung trägt eine zentrale Verantwortung für die Umsetzung und Überwachung der Risikomanagementmaßnahmen. In regelmäßigen Schulungen müssen sich Mitglieder der Geschäftsleitung ausreichende Kenntnisse aneignen, um Risiken, Auswirkungen und Wechselwirkungen von technischen und organisatorischen Maßnahmen bewerten zu können. Denn die Geschäftsleistung haftet für schuldhaft entstandene Schäden – insbesondere dann, wenn bei der Umsetzung von Sicherheits- und Datenschutzvorgaben nachweislich Sorgfaltspflichten verletzt wurden.

Bei schwerwiegenden Sicherheitsvorfällen kann das BSI anordnen, dass betroffene Dienstleistungsempfänger sofort informiert werden. In bestimmten Sektoren müssen zudem Informationen über Cyber-Bedrohungen und empfohlene Gegenmaßnahmen bereitgestellt werden.

Betreiber kritischer Infrastrukturen müssen alle drei Jahre die Umsetzung der NIS-2-Maßnahmen nachweisen. Das BSI legt die Anforderungen an die Nachweiserbringung fest, die spätestens drei Jahre nach der Einstufung fällig sind. Dies umfasst Sicherheitsaudits und die Übermittlung von Ergebnissen sowie Mängelbeseitigungsplänen.

Bei besonders wichtigen Einrichtungen erfolgen die Prüfungen stichprobenartig, bei wichtigen Einrichtungen anlassbezogen. Eine lückenlose Dokumentation ist daher in jedem Fall extrem wichtig.

Unser Lösungsansatz

Mit unserem modular aufgebauten Lösungsansatz unterstützen wir Sie bei der Analyse Ihres Umsetzungsstandes und der Identifizierung von Lücken. Wir priorisieren die anstehenden Themen, erstellen eine Roadmap und arbeiten die Maßnahmen zielgerichtet und transparent ab.

Unser Lösungsansatz wird auf Ihre Bedürfnisse maßgeschneidert, um perfekt auf Ihre individuellen Anforderungen einzugehen.

Unser Lösungsansatz Grafik(Zum Vergrößern klicken)

Kontaktieren Sie uns!

Dr. Micheal Mies

Dr. Michael Mies

Senior Manager, Management Advisory
CIO Advisory
Kontakt anzeigen
Prof. Dr. Alexander Schinner

Prof. Dr. Alexander Schinner

Partner, Cyber Incident Response & Crisis Center (CIRCC), Business Continuity Management (BCM), Security Operation Center (SOC), BDO Cyber Security GmbH
Kontakt anzeigen