Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Sie muss von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden.
Zur Umsetzung der NIS-2 Richtlinie in Deutschland gibt es mittlerweile einen Referentenentwurf des Bundesinnenministeriums (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG).
Die NIS-2-Richtlinie erweitert die Cybersicherheitsanforderungen und die Sanktionen, um das Sicherheitsniveau in den Mitgliedstaaten zu harmonisieren, anzuziehen und enthält strengere Anforderungen für verschiedene Sektoren. Unternehmen und Organisationen müssen sich unter anderem mit den Themen Cyber-Risikomanagement, Kontrolle und Überwachung sowie Umgang mit Zwischenfällen und Geschäftskontinuität befassen. Darüber hinaus erweitert die Richtlinie auch die Zahl der Organisationen, die in den Anwendungsbereich fallen.
Das Wichtigste in 30 Sekunden
- Am 27.12.2022 wurde die NIS-2-Richtline im EU-Amtsblatt veröffentlicht und ist am 16.01.2023 in Kraft getreten. Die Umsetzung der NIS-2-Richtlinie ins nationale Recht muss bis September 2024 erfolgen.
- Zur Umsetzung der NIS-2-Richtlinie in Deutschland gibt es bereits einen Referentenentwurf des Bundesinnenministeriums (NIS2UmsuCG). (Stand Juli 2023)
- Der Anwendungsbereich der Cyber-Sicherheitsregulierung und damit der Kreis der betroffenen Unternehmen wird auch in Deutschland enorm ausgeweitet.
- Die betroffenen Unternehmen und Organisationen müssen angemessene Maßnahmen in Bereichen wie Cyber-Risikomanagement, Sicherheit in der Lieferkette, Business Continuity Management, Penetrationstests und Reaktion auf Vorfälle sowie Berichterstattung an die Behörde und Abhilfemaßnahmen ergreifen.
- Für die Geschäftsleitung der betroffenen Organisationen werden strengere Haftungsregeln eingeführt.
- In fünf Schritten können sich Organisationen auf die Umsetzung der Richtlinie vorbereiten.
Ihr Experte für Fragen
André Glenzer
Partner, Cyber Security & Privacy bei PwC Deutschland
Tel.: +49 211 981-2918
E-Mail
Sind Sie von NIS2 betroffen?
NIS-2-Anforderungen
In der NIS-2-Richtlinie wird zwischen „wesentlichen Unternehmen“ und „wichtigen Unternehmen“ unterschieden. Der Hauptunterschied zwischen den beiden besteht darin, dass für „wichtige Unternehmen“ geringere Geldstrafen vorgesehen sind und sie einer reaktiven Aufsicht durch die Behörden unterliegen, im Gegensatz zur proaktiven Aufsicht, die den „wesentlichen Unternehmen“ vorbehalten ist.
In der EU soll es keine unterschiedlichen Mindestschwellenwerte mehr geben, sondern Betroffenheit nach „uniformen Kriterien“ ermittelt werden. Unter die Regulierung sollen mittlere und große Unternehmen fallen:
- Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. Euro Umsatz, < 43 Mio. Euro Bilanz
- Groß (large) >250 Beschäftigte, > 50 Mio. Euro Umsatz, > 43 Mio. Euro Bilanz
Dadurch wird der Anwendungsbereich auch in Deutschland enorm ausgeweitet.
Handelt es sich um eine wesentliche Einrichtung, dann ist mit Sanktionen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes der jeweiligen Einrichtung zu rechnen – je nachdem welcher Betrag höher ist. Für wichtige Einrichtungen liegen die Bußgelder bei bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes – je nachdem welcher Betrag höher ist.
Die betroffenen Unternehmen und Organisationen müssen angemessene Maßnahmen in Bereichen wie Cyber-Risikomanagement, Sicherheit in der Lieferkette, Business Continuity Management, Verschlüsselung, Zutrittsbeschränkungen sowie Berichterstattung an die Behörde und Abhilfemaßnahmen ergreifen.
„In Deutschland wirkte die KRITIS-Gesetzgebung bislang insbesondere auf größere Institutionen. Mit NIS 2 wird Cybersicherheit und -Resilienz nun auch für die breite Masse der Unternehmen in Europa und damit auch in Deutschland zum Top Thema.“
Wichtiger Hinweis: Gem. des Entwurfs des Bundesinnenministeriums werden die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit Ihrem Privatvermögen haften. Die Obergrenze für diese Haftung entspricht 2 % des globalen Jahresumsatzes des Unternehmens.
Wie Sie sich vorbereiten können
- Betroffenheit ermitteln
- Verantwortlichkeit klären
- Aufgabenbereich abstecken
- Geschäftskontinuität absichern
- Meldeverfahren einrichten
Betroffenheit ermitteln
Wichtig vorab: Die Behörden teilen Ihnen nicht mit, ob diese Richtlinie auf Sie zutrifft. Ihr Unternehmen oder Ihre Institution muss sich selbst anhand der Kriterien beurteilen, die sowohl Branchenelemente als auch Größenüberlegungen beinhalten. Wenn eine Organisation mit einem großen Marktanteil in einem bestimmten Sektor „wichtig“ ist, kann sie aufgrund ihrer Größe sogar als „wesentlich“ eingestuft werden.
Verantwortlichkeit klären
Die Führungskräfte in Ihrem Unternehmen sollten mit den Anforderungen der Richtlinie und den Maßnahmen zum Risikomanagement vertraut sein. Sie sind direkt dafür verantwortlich, dass Cyberrisiken erkannt und angegangen werden und dass die Anforderungen erfüllt werden.
Aufgabenbereich abstecken
Die erhöhten Anforderungen an das Risikomanagement und die Widerstandsfähigkeit bedeuten, dass Ihre Organisation mit Risiken umgehen können muss und sowohl Maßnahmen zur Schadensvermeidung als auch zur Schadensminimierung umsetzen muss, um Risiken und Auswirkungen zu verringern. Angemessene Maßnahmen werden z. B. in den Bereichen Störungsmanagement, Cybersicherheit in Lieferketten, Netzwerksicherheit, Risikomanagement, Zugangskontrolle und Verschlüsselung erwartet.
Geschäftskontinuität absichern
Ihr Unternehmen sollte sich Gedanken darüber machen, wie die Geschäftskontinuität sichergestellt werden kann, wenn Sie von einem größeren Cybervorfall betroffen sind. Dazu gehören beispielsweise die Systemwiederherstellung, Notfallverfahren und die Einrichtung einer Krisenorganisation.
Meldeverfahren einrichten
Organisationen müssen über Verfahren verfügen, die eine ordnungsgemäße Meldung an die Behörden gewährleisten. Unter anderem ist es zwingend erforderlich, dass größere Vorfälle innerhalb von 24 Stunden gemeldet werden.
Sind Sie von NIS2 betroffen?
Die NIS-2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die am 16. Januar 2023 in Kraft getreten ist. Die Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland gibt es bereits einen Referentenentwurf des Bundesinnenministeriums zur Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG). Durch die neue Richtlinie wird die Zahl der betroffenen Unternehmen massiv ansteigen. Darüber hinaus werden an die betroffenen Unternehmen höhere Anforderungen gestellt und auch der Durchsetzungsdruck wird zunehmen − zum Beispiel durch die Androhung höherer Sanktionen und die Haftung der Managementebene.
Finden Sie mit Hilfe unserer kurzen Betroffenheitsanalyse heraus, ob auch Ihr Unternehmen in die NIS-2-Richtlinie fällt.
Aus unserer Erfahrung in der Zusammenarbeit mit Organisationen in der gesamten EU empfehlen wir die folgenden fünf Schritte:
- Beurteilen Sie, ob Sie von der NIS-2-Richtlinie betroffen sind;
- Identifizieren Sie Lücken in Bezug auf die Anforderungen der Richtlinie;
- Ermitteln Sie Maßnahmen, die erforderlich sind, um die Verpflichtungen im Management zu erfüllen;
- Entwickeln Sie einen starken Cybersicherheitsrahmen, der organisatorische und technische Maßnahmen umfasst;
- Entwickeln und implementieren Sie Überwachungsmechanismen zur kontinuierlichen Überprüfung der Wirksamkeit der Maßnahmen.
Fest steht: Der Anwendungsbereich geht weit über die bekannten kritischen Infrastrukturen hinaus. Im Energiesektor beispielsweise war der Anwendungsbereich der NIS immer auf Unternehmen beschränkt, die Energie im Strom- und Gassektor erzeugen, liefern oder regulieren. Im Rahmen von NIS 2 erwarten wir, dass auch die Lieferkette, z. B. die Hersteller von Windturbinen und die Betreiber von Ladestationen für Elektrofahrzeuge, von den Anforderungen erfasst werden.
„NIS 2 wird ein echter ,Game Changer‘ und die Cyber-Regulatorik in Europa nachhaltig verändern.“
André Glenzer, Partner bei PwC Deutschland
Follow us
Contact us
