Neue europäische NIS-2-Richtlinie gilt schon ab Oktober 2024 / Mehr Unternehmen sind betroffen und müssen zeitnah handeln
Osnabrück – Cyberangriffe sind tägliche Realität. Jüngste Vorfälle wie russische und chinesische Cyberattacken oder softwarebedingte Ausfälle belegen die Brisanz. Unternehmen der kritischen Infrastruktur (KRITIS) wie Energie- und Wasserversorgung, Krankenhäuser, Banken oder Verkehrsbetriebe sind von essentieller Bedeutung für das Leben und die Wirtschaft. Damit sind sie besonders gefährdete Angriffsziele. Die NIS-Richtlinie (Network and Information Security) der Europäischen Union regelt den Schutz der kritischen Infrastruktur gegen IT-Vorfälle und Cyberangriffe. Die erste Version aus dem Jahr 2016 wurde ersetzt durch die NIS-2-Richtlinie.
„Mit der Verschärfung erhöht sich nun die Anzahl der betroffenen Unternehmen und Organisationen der KRITIS deutlich, was sowohl Branchen als auch Größen angeht“, informiert Klaus Dunkel, HLB Klein Mönstermann Osnabrück „Nun gehören auch kleinere Unternehmen dazu, außerdem eventuell deren Dienstleister und Auftragnehmer. Unterteilt wird außerdem in wesentliche und wichtige Einrichtungen.“
Bereits ab dem 18. Oktober 2024 gilt die NIS 2. Ab diesem Datum müssen Unternehmen – auch mittelständische Betriebe – die neuen Sicherheitsanforderungen vollständig erfüllen, um ihre IT-Systeme besser gegen Cyberangriffe zu schützen. Dazu gehören neben regelmäßigen Sicherheitsüberprüfungen der Einsatz moderner Technologien. Sicherheitsvorfälle müssen zudem umgehend den Behörden gemeldet werden. „Die Maßnahmen sind also sehr zeitnah umzusetzen, zumal drakonische Geldstrafen bis zu 10 Millionen Euro drohen“, warnt Klaus Dunkel.
Jedes Unternehmen sollte jetzt umgehend prüfen, ob es bezüglich Größe und Branche von der NIS-2-Richtlinie betroffen ist, rät Klaus Dunkel. Ein mittelständisches Unternehmen kann bereits darunter fallen, wenn es vereinzelte Kunden aus den relevanten Sektoren hat. Es sei ratsam, fachkundige Unterstützung, zum Beispiel durch den Steuerberater oder Wirtschaftsprüfer, hinzuziehen. Auch der bestehende IT-Dienstleister sollte angesprochen werden. Zudem müssten geeignete Personen festgelegt werden, die die Vorgaben operativ umsetzen.
Klaus Dunkel stellt abschließend fest: „Aufgrund der sich stetig weiter entwickelnden Cyberbedrohungen müssen Unternehmen flexibel reagieren, ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren sowie in die Ausbildung und Sensibilisierung der Mitarbeiter investieren.“ Gleichzeitig sei zu erwarten, dass die EU die Rahmenbedingungen weiterentwickeln wird, um auf neue Sicherheitsbedrohungen zu reagieren.
Auch wenn sie zusätzliche Herausforderungen bringen, sollten die Maßnahmen nicht ausschließlich als Belastung angesehen werden, stellt Klaus Dunkel klar: „Denn die Verstärkung der Cybersicherheit erhöht nicht nur die Resilienz des Unternehmens, sondern auch das Vertrauen von Kunden, Geschäftspartnern und Stakeholdern.“
Zahlen und Fakten
Eine Analyse des Digitalverbands Bitkom vom August 2024 ergab: 90 Prozent der deutschen Unternehmen wurden bereits Opfer einer Cyberattacke. Fast 267 Milliarden Euro Schaden verursachten Angriffe auf Unternehmen in den vergangenen zwölf Monaten. 45 Prozent der Befragten gaben an, mindestens einen Angriff China zuordnen zu können, gefolgt von Russland mit 39 Prozent.
Übersicht der betroffenen Unternehmen
Die NIS-2-Richtlinie gilt für Unternehmen (und öffentliche Einrichtungen) der kritischen Infrastruktur (KRITIS) mit mindestens 50 Mitarbeitenden oder mindestens 10 Millionen Euro Jahresumsatz und Jahresbilanzsumme. Die Vorgaben betreffen indirekt auch Dienstleister und Lieferanten der Unternehmen und Einrichtungen aus den betroffenen Sektoren. Große betroffene Unternehmen aus diesem Umfeld (ab 250 Mitarbeitende oder mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme) zählen zu den wesentlichen Einrichtungen. Mittelgroße Unternehmen (zwischen 50 und 249 Mitarbeitende) zu den wichtigen Einrichtungen. Diese Unterscheidung hat Auswirkungen auf die Prüfung und Konsequenzen.
Wesentliche Einrichtungen
Energie, Elektrizität, Fernwärme und -kälte
Erdöl, Erdgas, Wasserstoff
Verkehr, Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
Bankwesen, Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser, Abwasser
Digitale Infrastruktur
Verwaltung von IKT-Diensten (Dienste für Informations- und Kommunikationstechnik, B2B)
Öffentliche Verwaltung
Weltraum
Wichtige Einrichtungen
Post- und Kurierdienste
Abfallbewirtschaftung
Produktion, Herstellung und Handel mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Verarbeitendes Gewerbe/Herstellung von Waren
Herstellung von Medizinprodukten und In-vitro-Diagnostika
Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
Herstellung von elektrischen Ausrüstungen
Maschinenbau
Herstellung von Kraftwagen und Kraftwagenteilen, sonstiger Fahrzeugbau
Anbieter digitaler Dienste
Forschung