Die EU-Richtlinie für die Sicherheit von Netzwerk- und Informationssystemen hat mit NIS2 einen Nachfolger, der mit höheren Anforderungen und Sanktionen einhergeht. Offiziell in Kraft getreten ist sie schon, die Mitgliedstaaten haben aber bis Oktober 2024 Zeit, sie in nationales Recht umzusetzen. KRITIS-Unternehmen können sich jetzt schon nicht mehr herausreden.

Wie die Datenschutzgrundverordnung (DSGVO) zeigt, können oft Monate, wenn nicht gar Jahre zwischen dem Inkrafttreten und der Wirksamkeit von EU-Verordnungen oder Gesetzen ins Land gehen. Vorteil für die Unternehmen ist, dass sie sich besser vorbereiten können. Allerdings sind viele von ihnen mit anderen Dingen oder Verordnungen beschäftigt und ducken sich weg, um dann „kalt erwischt“ zu werden.

Was NIS2, den Nachfolger der EU-Richtlinie für die verbesserte Sicherheit von Netzwerk- und Informationssystemen, angeht, gibt es aber eine Reihe von Betrieben und öffentliche Verwaltungen, die sich nicht wegducken können, weil für sie und ihre kritischen Infrastrukturen (KRITIS) EU- bereits Landesrecht ist. Andere können vielleicht noch warten, bis NIS2 im Oktober 2024 in den Mitgliedstaaten national umgesetzt ist.

Unternehmen müssen sich jetzt vorbereiten

Besser ist es, jetzt schon die richtigen Weichen zu stellen, um nicht nach dem Motto „Unwissenheit schützt vor Strafe nicht“ hohe Strafen oder Bußgelder zu riskieren. Denn ab dem Herbst gelten höhere Anforderungen an die Einrichtung und die Cybersicherheit sowie schärfere Sanktionen, wenn die betroffenen Unternehmen sich nicht daran halten.

Betroffen sind anders als bei der DSGVO so wie bei dem Lieferkettengesetz nicht alle Unternehmen. Vielmehr unterscheidet der Gesetzgeber bei der NIS2-Richtlinie, wie von Axians beschrieben, zwischen der Größe und der Relevanz der Unternehmen und dabei wieder nach 11 essenziellen und 7 wichtigen Sparten:

Essenziell eingestuft sind: Energie, Transport, Bankwesen, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ITK- oder ICT-Service-Management im B2B-Umfeld, öffentliche Verwaltung und Weltraum.

Wichtig eingestuft sind: Post- und Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, allgemeine Industrie, digitale Dienste, Forschung und Entwicklung.

Was die Größe der betroffenen Unternehmen angeht, hat man sich auf die Einteilung in mittlere und große Unternehmen geeinigt: Als mittelgroße gelten solche mit 50 bis 249 Beschäftigten, einem Vorjahresumsatz von 10 bis 50 Millionen Euro und einer Jahresbilanz von weniger als 43 Millionen Euro, Großunternehmen fangen bei 250 Beschäftigten und einem Vorjahresumsatz von mindestens 50 Millionen Euro an. Kommt es zu einem sicherheitsrelevanten Vorfall, müssen die betroffenen Unternehmen diesen unverzüglich melden und geeignete Maßnahmen ergreifen, um dem entgegenzuwirken.

Komplexe Vorgaben machen externe Unterstützung notwendig

Ob das eigene Unternehmen betroffen ist, muss jedes für sich selbst prüfen, aber wie im Fall des Lieferkettengesetzes können große Geschäftspartner ihre kleineren Partner zwingen mitzuziehen, wenn sie Aufträge bekommen oder behalten wollen. Suchmaschinen, Online-Marktplätze, Internet- und Cloud-Dienste sind unabhängig von der Größe auch NIS2-rechenschaftspflichtig.
Darüber hinaus müssen auch die EU-Mitgliedsstaaten mitziehen und entsprechende Vorkehrungen und Maßnahmen treffen. Dazu gehören zum Beispiel ein Computer Security Response Team (CSIRT) und eine nationale Behörde, die dafür zuständig ist, die Einhaltung der NIS2 durchzusetzen und zu überwachen. Ferner soll es jeweils auch eine Koordination zwischen den Mitgliedsstaaten und einer sogenannten Cooperation Group sowie erleichterten Austausch zwischen den Mitgliedsstatten der EU geben.

Wer sich nicht sicher ist, ob und inwiefern sein Unternehmen betroffen ist, kann sich zum Beispiel an Axians wenden. Der führende ICT-Dienstleister bietet über sein Portal und sein großes Netzwerk von Fachkräften umfassende Betroffenheitsanalysen und Checklisten an. Darüber hinaus unterstützt Axians B2B-Kunden bei der Umsetzung von Maßnahmen zur Einhaltung der NIS2 und anderer EU-Richtlinien. Über das Kontaktformular auf der Portalseite können Sie einfach Kontakt aufnehmen und einen Beratungstermin zur Umsetzung der neuen NIS2-Richtlinie vereinbaren.

Quelle Titelbild: Adobe /  Looker_Studio