WISSEN – IT / EDV – SICHERHEIT – NIS2 Sicherheitsrichtlinie

NIS2 ist eine Sicherheitsrichtlinie die voraussichtlich ab Ende 2024 für deutsche Behörden gelten soll. NIS2 eine Reaktion auf die erhöhte Bedrohungslage bei Cyberangriffen und beschäftigt sich mit Schutzmaßnahmen gegen Cyberkriminalität. In Deutschland fallen schätzungsweise 29.000 Unternehmen unter die NIS2, in Europa etwa 400.000.

NIS steht dabei für Network-and-Information-Security-Richtlinie 2.0 und wurde von der EU Ende 2022 beschlossen.

Die NIS2 löst die bisherige NIS-Richtlinie ab, verschärft die Anforderungen an die Cybersecurity und betrifft zugleich deutlich mehr Unternehmen. Während sich die bisherige Richtlinie vornehmlich auf kritische Infrastrukturen wie Energieversorger oder das Finanzwesen konzentrierte, kommen nun etwa auch Post- und Kurierdienste, Fahrzeug- und Maschinenbauer, der Lebensmittelsektor und digitale Dienste hinzu.

Die NIS2 gilt dabei für Unternehmen ab 50 Mitarbeitenden und zehn Millionen Euro Umsatz aus 18 Branchen und Bereichen, die die Richtlinie definiert.

Mit der NIS2 werden auch strenge Meldepflichten eingeführt. Die Aufsichtsbehörden müssen innerhalb von 24 Stunden über einen Vorfall und binnen 72 Stunden über die ergriffenen Gegenmaßnahmen informiert werden. Bei Verstößen gegen diese oder andere Anforderungen drohen empfindliche Strafen von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes.

Was ist zu tun?

  • Unternehmen müssen ihre Mitarbeiter in puncto Cybersecurity schulen, diese etwa über entsprechende Programme für Phishing-Mails sensibilisieren, um hier eine entsprechende Acht- und Wachsamkeit aufzubauen.
  • Unternehmen müssen eine Risikoanalyse durchführen
  • es ist zu dokumentieren, welche Geräte und Software sie verwenden, klären, wer welchen Zugang zu den internen Systemen hat und welches Risiko damit verbunden ist, und daraufhin geeignete Sicherheitsmaßnahmen implementieren.
  • weiter hin sind Strukturen für einen möglichen Cyberangriff zu schaffen: Es sind Abläufe festzulegen, bspw. wer kümmert sich darum, dass bestimmte IT-Systeme vom Netz genommen werden, wer informiert Behörde