Ein Paragraphen-Zeichen auf einem Holzwürfel, der auf einer Tastatur steht
EWE business Magazin

NIS2 erhöht den IT-Sicherheitsstandard

Neue EU-Richtlinie zur kritischen Infrastruktur

NIS2: Neues EU-Gesetz nimmt Unternehmen ab 2024 in die Pflicht

Welche Betriebe jetzt dringend ihre IT-Sicherheit verstärken müssen

Die Europäische Union hat sich zum Ziel gesetzt, die IT-Sicherheit im gesamten Bündnisraum zu vereinheitlichen und zu erhöhen. Dazu hat sie Mitte 2023 die Richtlinie zur Netzwerk- und Informationssicherheit (NIS) überarbeitet, die ab Oktober 2024 in Kraft tritt. NIS2 (auch teils NIS-2 geschrieben) regelt, welche Unternehmen zur kritischen Infrastruktur eines Landes gehören – und daher in besonderem Maße vor Cyberangriffen und ähnlichen Gefahren geschützt werden müssen.

 

Schätzungen zufolge sind allein in Deutschland rund 40.000 Unternehmen von der NIS2-Richtlinie betroffen. Sie müssen daher innerhalb von zwei Jahren diverse Sicherheitsmaßnahmen und Meldepflichten umsetzen, sonst drohen empfindliche Sanktionen. Wir empfehlen deshalb, möglichst bald mit der Prüfung und Umsetzung zu beginnen.

Welche Unternehmen sind von der Richtlinie zur NIS2 betroffen?

Ab Oktober 2024 zählen alle Unternehmen zur kritischen Infrastruktur, die „von Bedeutung für die Funktionsfähigkeit der Gesellschaft oder der Wirtschaft“ sind. Die EU-Richtlinie definiert dafür 18 verschiedene Sektoren, die die einzelnen Länder leicht abgewandelt ausgelegen können. Unterschieden wird dabei zwischen „wesentlichen“ und „wichtigen“ Einrichtungen sowie Diensten – abhängig von dem jeweiligen Sektor und der Größe eines Unternehmens.

 

Eine genaue Übersicht über die Sektoren in Deutschland finden Sie hier: NIS2-Informationen.

Sie möchten sich auf NIS2 professionell vorbereiten?

Wie wird festgestellt, ob ein Unternehmen unter die NIS2-Richtlinie fällt?

Alle Unternehmen, die die Bundesregierung bisher als „KRITIS -Unternehmen“ eingestuft hat, wurden über diesen Status informiert. Mit der neuen NIS2-Richtlinie sind die Betriebe nun in der Pflicht, selbst zu prüfen, ob sie die entsprechenden Kriterien erfüllen. Zählen sie demnach ab Oktober 2024 zur kritischen Infrastruktur, müssen sie sich bei der zuständigen Behörde registrieren und die neuen Regelungen schnellstmöglich umsetzen.

 

Darüber hinaus können Unternehmen ab Inkrafttreten der Richtlinie zur NIS2 auch dann zur kritischen Infrastruktur zählen, wenn sie selbst nicht unter die genannten Kriterien fallen, aber ein wichtiger Zulieferer eines kritischen Unternehmens sind.

Was ist was?

  • NIS2 ist die überarbeitete Version der Richtlinie zur Netzwerk- und Informationssicherheit der Europäischen Union. Sie zielt darauf ab, ein hohes gemeinsames Niveau an Cybersicherheit in der EU zu gewährleisten. Die NIS2-Richtlinie erweitert und stärkt die Regelungen der ursprünglichen NIS-Richtlinie, indem sie strengere Sicherheitsanforderungen und Meldepflichten für Unternehmen in kritischen Sektoren einführt.
  • KRITIS steht für „Kritische Infrastrukturen“ und bezeichnet Organisationen oder Einrichtungen mit großer Bedeutung für das Gemeinwesen. Ihr Ausfall würde erhebliche Versorgungsengpässe, Gefährdung der öffentlichen Sicherheit oder andere dramatische Folgen nach sich ziehen. Diese Einrichtungen finden sich oft in den Sektoren Energie, Wasser, Verkehr, Gesundheit, Finanzwesen und Lebensmittelversorgung. KRITIS-Unternehmen sind daher in besonderem Maße aufgefordert, ihre IT- und Cybersicherheitsmaßnahmen zu stärken, um gegen Cyberangriffe und andere Risiken gewappnet zu sein.

Welche Pflichten haben die neuen KRITIS-Unternehmen?

Hauptziel der Richtlinie ist die Verbesserung der IT-Sicherheit in der EU. Deshalb müssen wesentliche und wichtige Einrichtungen eine Reihe neuer Maßnahmen zum Schutz ihrer IT-Infrastrukturen und Daten einführen. Dazu gehören neben (technischen) Vorkehrungen zur Cybersicherheit auch organisatorische Maßnahmen, die beispielsweise Verantwortlichkeiten zu regeln und Prozesse für den Umgang mit Sicherheitsvorfällen zu etablieren. Darüber hinaus besagt die Richtlinie zur NIS2 ebenfalls, dass Unternehmen Vorfälle bei der Cybersicherheit direkt an die Behörden melden müssen.

 

Einen Überblick über die notwendigen Sicherheitsvorkehrungen, Meldepflichten und möglichen Sanktionen sowie einen Umsetzungsplan finden Sie sowohl auf unserer Infoseite zur NIS2-Richtlinie als auch in unserem Factsheet: Jetzt Factsheet zur NIS2-Richtlinie herunterladen.

 

Wir als EWE sind seit Jahren Teil der kritischen Infrastruktur und daher der ideale Partner, um mit unserer Erfahrung alle bestehenden und neuen KRITIS-Unternehmen bei der Umsetzung der NIS2-Richtlinie zu unterstützen!

 

Die Informationen in diesem Artikel entsprechen dem Stand von Anfang Dezember 2023. Es ist zu beachten, dass sich der rechtliche Rahmen in Bezug auf NIS2 ändern kann.

Sie haben Fragen oder wünschen eine Beratung?

Dann geben Sie einfach Ihre Postleitzahl ein und lassen sich persönlich und unverbindlich von einem EWE-Kontakt in Ihrer Nähe beraten.

Die obere Hälfte des Gesichts eines Mannes mit dunklem Hoodie und Brille

Machen Sie den Hackern das Leben schwer.

Cyber-Attacken betreffen alle Unternehmen und Branchen, von großen Industrieunternehmen bis hin zu kleinen Start-ups und Handwerksbetrieben. Wie können Sie sich am besten gegen Cyberangriffe wappnen? Neben Basismaßnahmen sollten Sie sich rund um DDoS-Schutz, Mailschutz, Serversicherheit und Co. informieren – und Hackern das Leben so schwer wie möglich machen.

Interessante Artikel aus dem EWE business Magazin

Beitrag teilen

Mehr Datenschutz: Erst bei Klick auf einen Link werden Daten an Dritte übermittelt.