Umsetzung bis Oktober 2024
Die Network and Information Security (NIS) Directive ist als EU-Richtlinie Teil der europäischen Cybersicherheitsstrategie. Ihr Ziel ist es, das Sicherheitsniveau in den EU-Mitgliedstaaten zu harmonisieren und zu verbessern. In Deutschland liegt aktuell der Referentenentwurf des Bundesinnenministeriums zur Umsetzung in nationales Recht vor – das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Es soll am 18.10.2024 in Kraft treten. Betroffene Unternehmen müssen sich also fortan stärker mit Themen wie Cyber-Risikomanagement und Geschäftskontinuität befassen. Das Gesetz weitet zudem den Anwendungsbereich stark aus, sodass neben Betreibern kritischer Infrastrukturen (KRITIS) zahlreiche weitere Branchen und Unternehmen hierunter fallen. Für diese Unternehmen besteht nun Handlungsbedarf, denn die Umsetzung der Anforderungen der NIS-2-Richtlinie muss bis Oktober 2024 erfolgen.
Die NIS-2-Richtlinie stellt auf die Mitarbeiterzahl bzw. den Umsatz des Unternehmens ab. Durch die eingeführten einheitlichen Bemessungskriterien kommt es nicht mehr wie bisher bei der BSI-Kritisverordnung auf individuelle Schwellenwerte an. Es wird künftig zwischen „Besonders wichtigen Einrichtungen“ und „Wichtigen Einrichtungen“ unterschieden. Ob eine besonders wichtige Einrichtung eine KRITIS-Anlage ist, bemisst sich wie bisher auch an Schwellenwerten. Das bedeutet, die Anforderungen, die NIS-2 an besonders wichtige Einrichtungen stellt, gelten auch für KRITIS-Anlagen. Sie unterliegen neben den NIS-2-Anforderungen zusätzlichen Regulierengen, z.B. durch das Telekommunikationsgesetz (TKG) und das KRITIS-Dachgesetz.
Betroffene Unternehmen sind angehalten, technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer IT-Infrastruktur und damit ihrer erbrachten Dienste und Leistungen zu wahren sowie die Auswirkungen von (Cyber-)Sicherheitsvorfällen gering zu halten. Diese Maßnahmen sieht die NIS-2-Richtlinie vor:
In all diesen Punkten unterstützen Sie unsere IT-Expert:innen selbstverständlich gerne. Sprechen Sie uns einfach an.
NIS-2 bringt zahlreiche Anforderungen mit sich. Deshalb ist es ratsam, sich Expert:innen anzuvertrauen, die derartige Prozesse bereits seit vielen Jahren erfolgreich begleiten und umsetzen. Wir sind Ihr Sparringspartner in Sachen Risikomanagement sowie IT- und Cybersicherheit und wir halten angrenzende Fragestellungen aus Recht und Datenschutz für Sie im Blick.
Als Teil einer Wirtschaftsprüfungs-, Rechts- und Steuerberatung ist die IT-Sicherheit ein Teil unserer DNA. Mit der dhpg an Ihrer Seite können Sie sicher sein, gesetzlichen Anforderungen und Compliance jederzeit gerecht zu werden.
Wir bündeln unsere IT-Expertise mit dem von Juristen und Datenschützern und haben somit auch für angrenzende Fragestellungen immer Expert:innen parat. So behalten Sie komplexe Themen in allen Facetten nicht nur im Blick, sondern im Griff.
Wir verfügen über langjährige und umfangreiche Projekterfahrung in allen Fragen der IT- und Cybersicherheit. Mit unseren Best-Practice-Ansätzen, Methoden und Erfahrungen bauen wir auf den bereits in Ihrem Unternehmen vorhandenen Prozessen und Strukturen auf.
Sie wünschen ein persönliches Beratungsgespräch zur Umsetzung von NIS-2 in Ihrem Unternehmen? Gerne vereinbaren wir mit Ihnen einen unverbindlichen Termin, damit wir uns kennenlernen. Wir freuen uns auf Ihren Anruf oder Ihre E-Mail und auf Sie.
dhpg aktuell - 09/2024
Die Anforderungen aus der NIS-2-Richtlinie sind komplex und vielschichtig. Den Überblick zu wahren und den Umsetzungsprozess anzugehen, kann betroffene Organisationen vor große Herausforderungen stellen. Auch die kurze Umsetzungsfrist bis zum 17.10.2024 verlangt eine gute Struktur. Wir empfehlen, mit einer GAP-Analyse zu starten und hieraus konkrete Handlungsfelder abzuleiten und das Cybersicherheitsniveau in der Organisation sukzessive zu erhöhen. Die Expert:innen der dhpg IT-Services unterstützen Sie gerne in diesem Prozess und stellen gemeinsam mit Ihnen sicher, dass Ihre Organisation den Anforderungen von NIS-2 entspricht. Sprechen Sie uns gerne an, wenn Sie Unterstützung in den folgenden Punkten benötigen:
Kommt ein betroffenes Unternehmen den Anforderungen der NIS-2-Richtlinie nicht nach, sieht der Referentenentwurf des Bundesinnenministeriums Bußgelder vor. Die Höhe der Bußgelder bemisst sich danach, ob es sich um besonders wichtige Einrichtungen und Betreiber kritischer Infrastrukturen oder um eine wichtige Einrichtung handelt.
Entscheidend ist, dass dem betroffenen Unternehmen bzw. der betroffenen Organisation ein fahrlässiges bzw. vorsätzliches Verschulden nachgewiesen werden kann. Deshalb ist es unerlässlich, angemessene technische und organisatorische Maßnahmen in Bereichen wie Cybersicherheit, Sicherheit in der Lieferkette und Verschlüsselung zu ergreifen und die Berichterstattung an das BSI gewissenhaft durchzuführen.
Ja, auch die Geschäftsführung kann bei Verstößen gegen das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Haftung genommen werden. Bei Nichterfüllung der Anforderungen haften Geschäftsführer:innen mit ihrem Privatvermögen. Die Obergrenze liegt hier bei 2 % des weltweiten Jahresumsatzes des Unternehmens.
Nur Betreiber kritischer Infrastrukturen (KRITIS) sind zur regelmäßigen Meldung an das BSI verpflichtet. Das bedeutet konkret, dass diese Organisationen innerhalb von drei Jahren nach Inkrafttreten des nationalen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) – also spätestens am 17.10.2027 – die ordnungsgemäße Umsetzung nachweisen müssen. Dies wiederholt sich anschließend alle drei Jahre.
Anders sieht es bei Sicherheitsvorfällen aus. Kommt es in einer Organisation zu einem Sicherheitsvorfall, sind sowohl KRITIS-Betreiber als auch wichtige und besonders wichtige Einrichtungen dazu verpflichtet, eine Meldung an das BSI abzugeben. Hierbei ist ein dreistufiges Meldesystem vorgesehen:
Kann der Sicherheitsvorfall nach einem Monat nicht behoben werden, ist eine Fortschrittsmeldung nach einem weiteren Monat (und jeweils weiteren Monaten) notwendig. Die Abschlussmeldung ist dann einen Monat nach der Behebung fällig.
Grundsätzlich führt das BSI als Aufsichtsorgan Kontrollen bei wichtigen Einrichtungen nur durch, wenn der Verdacht eines Sicherheitsvorfalls vorliegt. Bei KRITIS und besonders wichtigen Einrichtungen kann das BSI auch ohne Anlass Kontrollen durchführen bzw. Nachweise verlangen. Zu den Kontrollmaßnahmen gehören folgende Punkte:
Am 18.10.2024 tritt die europäische NIS-2-Richtlinie in Form des nationalen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) in Kraft. Sie verfolgt das Ziel, das Sicherheitsniveau in den EU-Mitgliedstaaten zu harmonisieren und zu verbessern, und verpflichtet betroffene Unternehmen, Mindeststandards zum Schutz ihrer Netzwerk- und Informationssysteme einzuhalten. Das Gesetz weitet den Anwendungsbereich stark aus, sodass zahlreiche Branchen und Unternehmen hierunter fallen. Betroffene Unternehmen müssen sich also künftig stärker mit Cybersicherheit und der Sicherheit ihrer Lieferkette und der sicheren Verschlüsselung befassen. Es besteht also dringender Handlungsbedarf, denn die Umsetzung bis Oktober 2024 ist vielschichtig und komplex. Gerne unterstützen Sie die IT-Expert:innen der dhpg in diesem Prozess.