NIS-2: Überblick zu Neuerungen bei der Cybersicherheit
Erhalten Sie einen Überblick zu den Auswirkungen des neuen NIS-2-Rechtsrahmens.
Erschreckende Meldungen zu erfolgten Cyberattacken sind inzwischen leider an der Tagesordnung. Als Führungskraft eines deutschen Unternehmens oder einer deutschen Institution ist deshalb das Thema Netzwerk- und Informationssicherheit allein schon aus eigenem Interesse ernst zu nehmen und sich mit entsprechenden Maßnahmen zur Cybersicherheit in der eigenen Organisation intensiv zu befassen.
Um dieses Thema auch auf gesamteuropäischer Ebene zu stärken, wurde bereits 2016 die NIS-1-Richtlinie veröffentlicht, die seitdem als eine der bedeutendsten europäischen Rechtsvorschriften im Bereich der Cybersicherheit gilt.
Inzwischen ist die NIS-2-Richtlinie in Kraft getreten, die NIS-1 um noch strengere Anforderungen für verschiedene Sektoren erweitert und sogar Sanktionen für den Fall enthält, dass NIS-2 in den betroffenen Unternehmen und Institutionen nicht oder nicht anforderungsgemäß umgesetzt wird. Der folgende Überblick dient dazu, dieses Thema zunächst insgesamt transparent zu machen.
Was bedeutet die Richtlinie für uns in Deutschland?
Die NIS-2-Richtlinie definiert ein Mindestmaß an erforderlichen Umsetzungen für viele Unternehmen und Institutionen: Mit NIS-2 werden auf Basis einer nationalen Cybersicherheitsstrategie strengere Aufsichtsmaßnahmen für Behörden sowie strengere Durchsetzungsanforderungen und eine Harmonisierung der Sanktionsregelungen für Unternehmen und Institutionen in allen Mitgliedstaaten eingeführt. Über angepasste oder erweiterte Möglichkeiten der Umsetzung entscheiden letztendlich die deutschen Behörden.
Anzuwenden ist diese europäische NIS-2-Richtlinie auf nationaler Ebene ab dem 18. Oktober 2024. Bis zu diesem Termin sind folglich alle notwendigen Maßnahmen in Bezug auf die IT-Sicherheit der unternehmensseitigen/institutionseigenen Anlagen, Netzwerke und IT-Systeme verbindlich umzusetzen. Dies wird aktuellen Schätzungen zufolge mindestens 30.000 Unternehmen und Institutionen in Deutschland betreffen. Somit gilt diese Richtlinie unabhängig von dem kommenden Gesetz zur Umsetzung von EU NIS-2 und der Stärkung der Cybersicherheit (NIS2UmsuCG), das die NIS-2-Vorgaben in die deutsche Regulierung überführen soll.
Erhalten Sie im nachfolgenden Überblick weitere Informationen zu:
- Wer ist davon betroffen?
- Was ist durch die Unternehmen umzusetzen?
- Sanktionierbarkeit von Unternehmen
- Einen möglichen Lösungsweg
Der Überblick kann hier heruntergeladen werden: Überblick zu NIS-2.
Dieser Beitrag ist Teil des Themenschwerpunkts "Cybersicherheit im Mittelstand".