Schutz kritischer Infrastrukturen in Europa
Was NIS2 für Unternehmen bedeutet
Die NIS2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) der Europäische Union ist jüngst in Kraft getreten, bis Oktober 2024 müssen alle EU-Staaten sie in nationales Recht gegossen haben. Für Deutschland gibt die EU den Status mit „transposed“ (umgesetzt) an. Lothar Geuenich, VP Central Europe/DACH bei Check Point, erklärt im folgenden Gastkommentar, was NIS2 für Unternehmen bedeutet.
NIS2 ist Teil der EU-Strategie zur Gestaltung der digitalen Zukunft Europas im Bereich der IT-Sicherheit. Sie stellt eine direkte Erweiterung der NIS-Richtlinie von 2016 dar, die das erste IT-Sicherheitsgesetz auf EU-Ebene war. Hintergrund der neuen Richtlinie ist eine dynamische Bedrohungslandschaft, die sich zunehmend auf die Netzwerke von Unternehmen auswirkt, sowie die Erkenntnis, dass die erste NIS-Richtlinie in den einzelnen EU-Mitgliedstaaten unterschiedlich umgesetzt wurde.
Daher will die EU einen einheitlicheren Ansatz für den Schutz von Sektoren und Lieferketten schaffen, die kritische Infrastruktur (Kritis) betreffen. Denn ein großer Cyberangriff könnte enorme Auswirkungen auf die Wirtschaft jedes einzelnen Mitgliedstaats, aber auch auf den Rest der Union haben. Wenn beispielsweise das nationale Energieversorgungsunternehmen eines Landes für kurze oder längere Zeit ausfällt, werden die Strompreise steigen – und da Strom an einer europäischen Börse gehandelt wird, werden die Preise in ganz Europa steigen.
Was auf die Mitgliedstaaten zukommt
Im Gegensatz zur DSGVO-Richtlinie, die personenbezogene Daten der Bürger schützt, zielt die NIS2-Richtlinie auf den Schutz von Wirtschaftsdaten ab. Im Rahmen der neuen Gesetzgebung müssen die Mitgliedstaaten unter anderem eine nationale IT-Sicherheitsstrategie und ein nationales Gesetz entwerfen. Dieses soll Anforderungen an das Risiko-Management und die Berichterstattung der Unternehmen stellen, die unter die NIS2-Richtlinie fallen. Außerdem soll auf nationaler Ebene eine Kontaktstelle dafür eingerichtet werden. (In Deutschland ist dies das BSI, d.Red.)
Betroffene Institutionen
Zusätzlich zu den Sektoren, die schon in der NIS-Richtlinie enthalten waren, erstreckt sich die neue NIS2 unter anderem auf die Lebensmittelbranche, Fracht- und Schifffahrtsunternehmen, Telekommunikations- und Datenanbieter, Social-Media-Plattformen und Anbieter von Rechenzentren sowie Unternehmen, die in der Abfall- und Abwasserwirtschaft tätig sind. Hinzu kommen Produktionsunternehmen, die für die Wirtschaft des Landes wichtig sind. Die unter die Richtlinie fallenden Unternehmen sind in zwei Kategorien unterteilt: essenzielle Unternehmen (darunter Telekommunikationsunternehmen, Versorgungsunternehmen und Banken) und wichtige Unternehmen (zum Beispiel Lebensmittel- und Frachtunternehmen).
Unternehmen mit weniger als 250 Beschäftigten oder einem Jahresumsatz von weniger als 50 Millionen Euro sind von der Richtlinie ausgenommen. Aufgrund des Konzepts der Verantwortung für die Lieferkette ist jedoch davon auszugehen, dass auch kleinere Unternehmen, die Zulieferer für die von der Richtlinie erfassten Sektoren sind, NIS2 einhalten müssen. Darüber hinaus erstreckt sich die Richtlinie auch auf öffentliche Verwaltungen, doch ist derzeit noch unklar, ob dies beispielsweise für Kommunen gilt.
Was auf die Unternehmen zukommt
NIS2 stellt neue Anforderungen an die betroffenen Unternehmen und Organisationen. Dazu gehören das Fachwissen und die Verantwortung der Führungskräfte, ein wirksames Risiko-Management einschließlich Risikoanalyse und Reaktion auf Vorfälle sowie die Meldung und Behandlung von Cybervorfällen. Das Management ist somit für die Einhaltung der NIS2-Richtlinie verantwortlich und kann bei Verfehlung zur Rechenschaft gezogen werden. Das Unternehmen oder die Organisation selbst muss verschiedene Anforderungen an die IT-Sicherheit erfüllen, einschließlich der Umsetzung von Sicherheitsmaßnahmen und internationalen Standards wie ISO27001 oder dem NIST-Framework.
Unternehmen, die die NIS2-Richtlinie nicht einhalten, müssen mit Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweiten Jahresumsatzes rechnen. Es ist wichtig, darauf hinzuweisen, dass es – wie bei der DSGVO-Richtlinie – kein NIS2-Etikett oder eine Liste geben wird, an die sich die Unternehmen halten müssen. Es liegt an der Organisation selbst, Maßnahmen zu ergreifen, um die Einhaltung der Datensicherungsbestimmungen zu gewährleisten. Anbieter von Sicherheitslösungen können somit zwar helfen, aber es ist Sache des Unternehmens, die notwendige Berichterstattung einzurichten.
- Was NIS2 für Unternehmen bedeutet
- Frist für die Umsetzung
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
