Sind Sie Unternehmer*in mit mindestens 50 Mitarbeitenden und einem Jahresumsatz von 10 Millionen Euro? Dann sind auch Sie verpflichtet, sich an die neue NIS-2-Richtlinie zu halten. Sie kommt in großen Schritten auf uns zu und bringt einige Veränderungen mit sich. Die NIS-2-Richtlinie muss bis spätestens September 2024 umgesetzt werden. Welche Konsequenzen hat das für Betriebe? Worauf müssen Sie als Unternehmer*in jetzt achten und was passiert eigentlich, wenn Sie sich nicht an die neuen Richtlinien halten?

Die Cyberkriminellen werden immer einfallsreicher und arbeiten ständig an neuen Methoden, um an wertvolle Daten zu gelangen. Gerade kritische Infrastrukturen und Systeme, die große Bedeutung für das staatliche Gemeinwesen (Energie, Gesundheit, Wasser usw.) haben, sind in den letzten Jahren verstärkt in das Visier der Hacker*innen geraten.

Wer nun neu unter die Richtlinie fällt, sollte schnell handeln. Denn die Beratung sowie die Auswahl passender Technologien und deren Implementierung brauchen Zeit. Viele Firmen, aber auch öffentliche Einrichtungen, haben allerdings Schwierigkeiten, ihre Infrastrukturen adäquat zu schützen, da sie nur eingeschränkte finanzielle und personelle Ressourcen zur Verfügung haben. Einigen ist aber auch die Wichtigkeit von Cybersecurity nicht bewusst und sie gehen fahrlässig mit ihren Daten um. Gerade Betreiber kritischer Infrastrukturen nehmen den Schutz ihrer IT-Infrastruktur trotz zunehmender Gefahren aus dem Cyberraum und anhaltenden Krisen mit Auswirkungen auf die Lieferketten nicht ernst. Dabei entsteht der deutschen Wirtschaft, laut einer Studie des Branchenverbands Bitkom, ein jährlicher Schaden von rund 203 Milliarden Euro.
 

„Mit der neuen NIS-2-Richtlinie werden Unternehmen nicht mehr vor die Wahl gestellt, ob sie sich ausreichend gegen Hacker schützen wollen – sie müssen einen Mindeststandard an Sicherheit erfüllen.“

Die Mitgliedstaaten haben bis Herbst 2024 Zeit, um NIS-2 in nationales Recht umzusetzen. Fahrlässigkeit kann Unternehmer*innen und Betrieben zukünftig teuer zu stehen kommen. Sie müssen sowohl in die Abwehr als auch in die Wiederherstellung investieren. Wer sich nicht daran hält, dem drohen hohe Bußgelder. Je nach Sektor Maximalstrafen von 7-10 Millionen Euro. Ob auch öffentliche Einrichtungen, die der NIS-2-Richtlinie unliegen, in Deutschland mit den strengen Bußgeldern belegt werden können, bleibt noch abzuwarten.

NIS-1 konnte mit dem rasanten Anstieg der Cyber-Kriminalität nicht mehr mithalten und deshalb hat sich die EU für eine schnelle Ausweitung der Richtlinie entschieden und NIS-2 ins Leben gerufen. Es kommen insgesamt acht neue Sektoren hinzu.

NIS-2 unterscheidet zwischen „Essential Services“ und „Important Services“

Die wesentlichen Dienste (Essential Services) werden durch die Sektoren Abwasser, Raumfahrt und die öffentliche Verwaltung ergänzt. Die wichtigen Dienste (Important Services) durch die Sektoren Post und Kurier, Abfallwirtschaft, Chemikalien, Ernährung, Industrie sowie Bildung und Forschung. Besondere Aufmerksamkeit gibt die Richtlinie der digitalen Infrastruktur.

Die EU hat genau festgelegt, welche Cybersecurity-Maßnahmen die Betriebe umsetzen müssen.

Dazu gehören:

• Policies: Richtlinien für Risiken und Informationssicherheit
• Incident Management: Prävention, Detektion und Bewältigung von Sicherheitsvorfällen
• Business Continuity: Backup-Management, Disaster Recovery, Krisenmanagement
• Supply Chain: Sicherheit in der Lieferkette
• Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
• Effektivität: Vorgaben zur Messung von Cyber- und Risikomaßnahmen
• Kryptographie: Verschlüsselung wo immer möglich
• Zugangskontrolle: Einsatz von Multi-Faktor-Authentifizierung und Single Sign-on
• Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation