Neue Regeln: Was bedeutet NIS 2 für Unternehmen?


Die neue NIS 2 Richtlinie der EU

Ein neues Schreckgespenst geistert um in Deutschlands IT- und Chefetagen: die NIS 2 Richtlinie der EU. Sie ist beschlossene Sache und wird nun in nationales Recht gegossen. Inhaltlich verfolgt sie einen guten Zweck: Sie versucht, dem deutlich gestiegenen Risiko durch Cyber-Angriffe gerecht zu werden. In unserem Artikel stellen wir die Richtlinie vor, zeigen, für wen sie gilt und was Unternehmen jetzt tun müssen.

Jeden Tag liest man von neuen Cyber-Angriffen auf Unternehmen in Deutschland. Wie der Verband Bitkom e.V. herausfand, sind Cyberattacken mittlerweile für fast drei Viertel (72 Prozent) des gesamten Schadens verantwortlich, der bei deutschen Unternehmen wegen Datendiebstahl, Sabotage und Industriespionage entsteht. Das entspricht rund 148 Milliarden Euro – Tendenz stark steigend. Entscheider sehen dunkle Wolken am Himmel aufziehen: In den kommenden zwölf Monaten erwartet die große Mehrheit der Unternehmen (82 Prozent) eine Zunahme von Cyberangriffen auf das eigene Unternehmen (hier der Link zur Studie des Bitkom e.V.). Die zentrale Frage ist: Wie kann sich die Wirtschaft davor besser schützen?

Die Europäische Union (EU) hat ebenfalls den großen Handlungsbedarf erkannt und die NIS 2 Richtlinie eingeführt. So will sie auf die sich rasch verändernden Cybersicherheitsherausforderungen reagieren. Die NIS 2 Richtlinie, eine überarbeitete Fassung der ursprünglichen NIS-Richtlinie (NIS 1), zielt darauf ab, ein höheres Maß an Resilienz gegenüber Cybersicherheitsbedrohungen in den Mitgliedstaaten der EU zu gewährleisten. Sie stellt einen entscheidenden Schritt dar, um die allgemeine Sicherheit und Integrität der Netz- und Informationssysteme in der gesamten Union zu verbessern.

Von NIS 1 zu NIS 2 – warum das Ganze?

Bevor wir die NIS 2 Richtlinie im Detail beleuchten, sollten wir uns zunächst den Vorgänger anschauen. Und hier muss unser Blick gar nicht so weit in die Vergangenheit gehen. Die erste  Netz- und Informationssicherheitsrichtlinie (NIS-1) wurde 2016 ins Leben gerufen. Sie legte den Grundstein, setzte Anforderungen und schuf einen Rahmen für die Mitgliedsstaaten, um die Sicherheit ihrer Netz- und Informationssysteme zu erhöhen. Diese Initiative war besonders wichtig für kritische Sektoren wie Energie, Verkehr und Gesundheit, in denen ein Cyberangriff katastrophale Folgen haben könnte.

In den Jahren nach der Einführung von NIS-1 hat sich die Cybersicherheitslandschaft jedoch dramatisch verändert. Wir haben eine regelrechte Explosion der digitalen Konnektivität erlebt, die Einführung von 5G sowie die verstärkte Ausbreitung des Internet der Dinge (IoT). Und damit einhergehend eine Zunahme hochentwickelter Cyberangriffe. Diese Entwicklungen offenbarten einige Lücken der ursprünglichen Richtlinie und erforderten eine agile und robustere Antwort als sie die NIS 1 Richtlinie bereithalten konnte.

Die Geburt der NIS 2 Richtlinie

Hier betritt die NIS 2 Richtlinie die Bühne. Mit einem verfeinerten und erweiterten Ansatz will sie den Herausforderungen der modernen digitalen Landschaft begegnen. Sie zielt darauf ab, eine konkrete und wirkungsvolle Wirkung zu erzielen. Sie erweitert den Kreis der Organisationen, für die sie gilt, deutlich. Inhaltlich fordert die NIS 2 Richtlinie von Organisationen in ihrem Geltungsbereich nicht nur, dass sie solide Sicherheitspraktiken implementieren, sondern auch, dass sie bei sich eine regelrechte Kultur der Cybersicherheit etablieren. Für Unternehmen bedeutet dies, dass sie kontinuierlich in die Aus- und Weiterbildung ihrer Mitarbeiter, in die Stärkung ihrer Infrastrukturen und in die Entwicklung effektiver Notfallreaktionspläne investieren müssen.

Darüber hinaus unterstreicht NIS 2 die Bedeutung der Zusammenarbeit. Es ermutigt zur gemeinsamen Nutzung von Informationen und Best Practices, um gemeinsam gegen Cyberbedrohungen vorzugehen. Dies könnte in der Praxis bedeuten, dass sich Unternehmen und Sektoren vernetzen, Ressourcen und Wissen teilen und koordinierte Maßnahmen gegen Cyberbedrohungen durchführen.

Die Hauptmerkmale und Änderungen der NIS 2 Richtlinie: Ein praktischer Leitfaden

Mehr Sicherheit durch eine Kultur der Cybersicherheit – das hört sich erstmal sehr abstrakt und schwammig an. Was bedeutet dies aber konkret? Im Detail verfolgt die NIS 2 Richtlinie 6 Stoßrichtungen:

Die NIS-2-Richtlinie ist wie ein frischer Wind, der die Segel der Cybersicherheit in der EU neu ausrichtet. Sie kommt mit einer Palette an aktualisierten Features und Änderungen, die den Kurs der digitalen Sicherheitsstrategien über verschiedene Sektoren hinweg prägen werden. Aber wie äußern sich diese Neuerungen in der Praxis? Tauchen wir ein in das, was die NIS-2-Richtlinie so besonders und revolutionär macht, und wie diese Merkmale in der realen Welt umgesetzt werden könnten:

Erweiterter Geltungsbereich

Die NIS 2 Richtlinie hat einen deutlich erweiterten Geltungsbereich, um mehr Sektoren und digitale Diensteanbieter in ihren Schutz einzubeziehen. In der Praxis bedeutet das, dass mehr Unternehmen und Dienstleister die Notwendigkeit haben werden, ihre Cybersicherheitspraktiken zu überdenken und deutlich zu stärken.

Harmonisierte Sicherheitsvorschriften

Die NIS 2 bringt einen harmonisierten Satz von Sicherheitsvorschriften mit, die wie ein einheitlicher Schutzschild für verschiedene Sektoren wirken. Unternehmen müssen sich nicht mehr durch einen Dschungel verschiedener Regeln und Bestimmungen kämpfen, sondern haben eine klare, konsistente Leitlinie, die sie befolgen können. Dies kann helfen, das allgemeine Sicherheitsniveau anzuheben und Unsicherheiten zu beseitigen.

Striktere Anforderungen und Aufsicht

Unter der neuen Richtlinie werden die Zügel angezogen. Die Aufsichtsbehörden werden wachsamer sein und striktere Anforderungen stellen. Unternehmen werden mehr Verantwortung übernehmen müssen, was sich in robusten und proaktiven Sicherheitsmaßnahmen widerspiegeln sollte. Dies könnte mehr regelmäßige Überprüfungen, bessere Risikomanagementstrategien und eine schnellere Reaktion auf Sicherheitsvorfälle bedeuten.

Schützen Sie Ihr Unternehmen vor den finanziellen Auswirkungen eines Cyber-Angriffs

Whitepaper Cyberversicherung Kosten Unternehmen
Whitepaper Cyberversicherung für KMU – Kosten, Leistungen, Anforderungen

Die finanziellen Auswirkungen von Cyberangriffen können verheerend sein, und deshalb erkennen immer mehr Unternehmen die Notwendigkeit einer Cyberversicherung. Doch wie hoch sind die konkreten Kosten einer solchen Police, und wie können Unternehmen sich effektiv vor den finanziellen Risiken von Cyberbedrohungen schützen? Laden Sie sich hier unsere Whitepaper zu den Kosten einer Cyberversicherung herunter.

 

 

 

Förderung der Zusammenarbeit

Die NIS 2 fördert eine Umgebung der Zusammenarbeit und des Informationsaustauschs. Sie ermutigt Organisationen, Informationen über Bedrohungen und beste Praktiken offener zu teilen. In der Praxis könnte das bedeuten, dass Unternehmen und Sektoren enger zusammenarbeiten, um gemeinsam stärkere Sicherheitsnetze zu bauen und sich gegenseitig im Falle eines Angriffs zu unterstützen.

Anpassungsfähigkeit an neue Risiken

Die Richtlinie ist darauf ausgelegt, flexibel zu sein und sich an die sich ständig ändernde Landschaft der Cyberrisiken anzupassen. Unternehmen sollten also auch in der Lage sein, ihre Strategien und Systeme regelmäßig zu aktualisieren, um mit neuen und aufkommenden Bedrohungen Schritt zu halten.

In der neuesten Welle der Cybersicherheitsbestrebungen bringt die NIS 2 Richtlinie eine markierte Verschiebung in der Verantwortungslandschaft mit sich. Ein besonderes Augenmerk liegt dabei auf der Rolle der Geschäftsführer, deren Haftung im Rahmen der aktualisierten Vorschriften erweitert wurde. Doch was bedeutet diese erweiterte Haftung konkret, und wie wird sie die Führungsebenen und die Entscheidungsprozesse in Organisationen prägen?

Erweiterte Haftung von Geschäftsführern

Die NIS 2 bringt einige gravierende Änderungen für Geschäftsführer mit sich: Sie werden innerhalb der Richtlinie nicht nur als die strategischen Steuermänner ihrer Unternehmen gesehen, sondern auch die Hüter der Cybersicherheitsstrategie. Ihre Verantwortung ist klar definiert, und die Erwartungen an sie, proaktive und reaktive Maßnahmen zur Risikominderung zu überwachen und zu implementieren, sind deutlich erhöht. Dadurch wird auch ihr Haftungsbereich erweitert. Es wird erwartet, dass Geschäftsführer aktiv in die Planung, Implementierung und Überwachung von Cybersicherheitsstrategien eingebunden sind. Dies könnte die regelmäßige Teilnahme an Sicherheitsbesprechungen, die Überprüfung von Sicherheitsberichten und die Genehmigung von Investitionen in Sicherheitstechnologien und -schulungen umfassen. Eine erweiterte Haftung bedeutet auch strengere Sanktionen im Falle von Sicherheitsverstößen. Und zwar dann, wenn diese auf Nachlässigkeit oder unzureichende Sicherheitsvorkehrungen zurückzuführen sind. Geschäftsführer könnten persönlich haftbar gemacht werden, wenn sie ihre Pflichten im Bereich der Cybersicherheit vernachlässigen. Lesen Sie dazu auch unseren Beitrag zu den Haftungsrisiken von Geschäftsführern bei Cyber-Angriffen.

Hier ist aber noch nicht das letzte Wort gesprochen, wie Christian Solmecke von der Kanzlei WBS Legal weiß:

„Deutschland muss bis zum 17. Oktober 2024 die NIS2-Richtlinie umsetzen, die Mindestanforderungen an die Betreiber sog. Kritischer Infrastrukturen im Hinblick auf die Cybersicherheit stellt. Die Richtlinie sieht in Art. 20 eigentlich vor, dass die Mitgliedstaaten eine gesonderte Haftung für Geschäftsführer einer „(besonders) wichtigen Einrichtung“ etablieren müssen. Ob bzw. wie das entsprechende deutsche BSI-Gesetz deswegen geändert werden muss, wird aktuell im Bundesinnenministerium (BMI) geprüft. Das aktuelle Diskussionspapier des BMI vom 27. September 2023 sieht – anders als der Referentenentwurf des BMI vom 3. Juli – in dem geplanten § 38 BSIG allerdings keine gesonderte Geschäftsführerhaftung mehr vor. Es verweist nur noch auf die bereits bestehende Binnenhaftung von GmbH- oder AG-Geschäftsleitern (z.B. § 93 AktG, 43 GmbHG), die auch schon jetzt u.a. für die Verletzung von Pflichten nach dem BSIG greift. Das letzte Wort ist hier aber derzeit noch nicht gesprochen.“

Rechtsanwalt Christian Solmecke, LL.M., Kanzleipartner WBS Legal, LegalTech Unternehmer und Geschäftsführer der Legalvisio GmbH

Betroffene Unternehmen und Sektoren: Wer steht im Rampenlicht der NIS-2-Richtlinie?

Stellen wir uns die europäische Cybersicherheit-Initiative als ein komplexes Theaterstück vor. Die Richtlinie wirft ihr Spotlight auf eine erweiterte Palette von Akteuren, die in der Inszenierung eine zentrale Rolle spielen werden. Doch wer sind diese Akteure, und wie wird sich das Drehbuch für sie unter der neuen Richtlinie verändern?

Essentielle und wichtige Einrichtungen: Die Protagonisten

Einige Unternehmen stehen im Mittelpunkt des Rampenlichts: die als „essentiell“ und „wichtig“ eingestuften Einrichtungen. Dazu gehören Sektoren wie Energie, Transport, Wasserversorgung und Gesundheitswesen. Diese Protagonisten tragen eine besondere Verantwortung, denn ihre Performance ist entscheidend für die Stabilität und Sicherheit der gesamten „Aufführung“. Unter NIS 2 müssen diese Hauptdarsteller ihre Sicherheitsmaßnahmen auffrischen, stärken und auf eine robustere, widerstandsfähigere Show hinarbeiten.

Anbieter digitaler Dienste: Die Nebendarsteller

Digitale Diensteanbieter, wie Cloud-Dienste und Online-Marktplätze, sind die Nebendarsteller in dieser Produktion. Ihre Rollen sind vielleicht nicht so zentral wie die der Hauptdarsteller, aber sie sind entscheidend für den reibungslosen Ablauf der Show. NIS 2 fordert von diesen Akteuren, ihre Skripte zu überarbeiten, um sicherzustellen, dass ihre Dienste sicher, zuverlässig und widerstandsfähig gegenüber unerwarteten „Plot-Twists“, wie Cyberangriffen, sind.

Den Kreis der von NIS 2 betroffenen Unternehmen kann man gut mit der Besetzung eines Theaterstücks beschreiben

Kleinere Akteure: Die Statisten

Auch kleinere Akteure, wie KMUs, spielen eine wichtige Rolle in diesem Theater. Auch wenn ihre Rollen kleiner sein mögen, ist ihre Präsenz auf der Bühne entscheidend für eine vollständige und reiche Darbietung. NIS 2 fordert auch von diesen „Statisten“ eine Steigerung ihrer Cybersicherheits-Performance. Gerade für diese Unternehmen werden die Umstellungen deutlich spürbar sein. Obwohl sie möglicherweise mehr Flexibilität und angepasste Anforderungen genießen.

Der Regisseur: Koordinierte Zusammenarbeit

Die Richtlinie selbst ist in unserem Bild der Regisseur, der die verschiedenen Akteure in koordinierten Bewegungen leitet. Durch die Förderung der Zusammenarbeit und Koordination zwischen den Sektoren und den Mitgliedstaaten sorgt die Richtlinie dafür, dass die gesamte Produktion harmonischer und effektiver abläuft.

Unter der Leitung der NIS 2 Richtlinie wird von den verschiedenen Sektoren erwartet, dass sie ihre Rollen mit einer erhöhten Verantwortung und einem verstärkten Fokus auf Cybersicherheit spielen. Von den „Hauptdarstellern“ bis zu den „Statisten“, jeder Akteur trägt dazu bei, ein stärkeres, widerstandsfähigeres und sichereres digitales Theater zu schaffen, in dem das Publikum – die Bürger und die Gesellschaft – eine sichere und zuverlässige Show genießen können.

Fazit: Wir brauchen mehr Schutz und einen offenen Dialog über Richtlinien

Die Einführung der NIS 2 Richtlinie wird nicht ohne ein lebhaftes Echo aus verschiedenen Ecken der Gesellschaft und der beteiligten Sektoren eingeführt. Die meisten dieser Stimmen sind sich einig, dass mehr unternommen werden muss und dass das formulierte Ziel richtig ist. Aber wie so oft gibt es eine Diskussion über den Weg dorthin. Ein Hauptpunkt der Diskussion ist dabei der erweiterte Geltungsbereich der Richtlinie. Natürlich ist es richtig, den Geltungsbereich zu erweitern, weil auch die Einfallstore für Cyber-Attaken weiter geworden sind. Andererseits befürchten viele Stimmen, dass dies auch zu einer massiv komplexeren und herausfordernderen Implementierung für eine sehr große Anzahl von Unternehmen führen könnte.

Die NIS 2 Richtlinie der Europäischen Union markiert einen wesentlichen Wendepunkt im Bereich der Cybersicherheit. Angesichts der rasant steigenden Bedrohung durch Cyberangriffe, die einen immensen wirtschaftlichen Schaden verursachen, ist diese aktualisierte Richtlinie ein entscheidender Schritt zur Stärkung der Resilienz und Sicherheit von Netz- und Informationssystemen in der EU. Die Ausweitung des Geltungsbereichs auf mehr Sektoren und die Harmonisierung der Sicherheitsvorschriften zeigen das Bestreben, ein einheitliches, hohes Sicherheitsniveau in verschiedenen Branchen zu etablieren.

Durch striktere Anforderungen und eine verstärkte Aufsicht werden Unternehmen zu proaktiven Sicherheitsmaßnahmen angehalten. Zudem fördert die Richtlinie die Zusammenarbeit und den Informationsaustausch zwischen verschiedenen Akteuren, um gemeinsam effektiver gegen Cyberbedrohungen vorgehen zu können. Die Anpassungsfähigkeit der Richtlinie an neue Risiken unterstreicht ihren zukunftsorientierten und dynamischen Ansatz.

Previous Cyberversicherung Kosten für Unternehmen: Die finanzielle Vorsorge gegen digitale Risiken
Next Zunehmende Bedrohung durch Cyberangriffe auf Kommunen