NIS2: Neues EU-Gesetz nimmt Unternehmen ab 2024 in die Pflicht

Welche Betriebe jetzt dringend ihre IT-Sicherheit verstärken müssen

Die Europäische Union hat sich zum Ziel gesetzt, die IT-Sicherheit im gesamten Bündnisraum zu vereinheitlichen und zu erhöhen. Dazu hat sie Mitte 2023 die Richtlinie zur Netzwerk- und Informationssicherheit (NIS) überarbeitet, die ab Oktober 2024 in Kraft tritt. NIS2 (auch teils NIS-2 geschrieben) regelt, welche Unternehmen zur kritischen Infrastruktur eines Landes gehören – und daher in besonderem Maße vor Cyberangriffen und ähnlichen Gefahren geschützt werden müssen.

• Welche Unternehmen sind von der Richtlinie zur NIS2 betroffen?
• Wie wird festgestellt, ob ein Unternehmen unter die NIS2-Richtlinie fällt?
• Welche Pflichten haben die neuen KRITIS-Unternehmen?

Schätzungen zufolge sind allein in Deutschland rund 40.000 Unternehmen von der NIS2-Richtlinie betroffen. Sie müssen daher innerhalb von zwei Jahren diverse Sicherheitsmaßnahmen und Meldepflichten umsetzen, sonst drohen empfindliche Sanktionen. Wir empfehlen deshalb, möglichst bald mit der Prüfung und Umsetzung zu beginnen. 

Welche Unternehmen sind von der Richtlinie zur NIS2 betroffen?

Ab Oktober 2024 zählen alle Unternehmen zur kritischen Infrastruktur, die „von Bedeutung für die Funktionsfähigkeit der Gesellschaft oder der Wirtschaft“ sind. Die EU-Richtlinie definiert dafür 18 verschiedene Sektoren, die die einzelnen Länder leicht abgewandelt ausgelegen können. Unterschieden wird dabei zwischen „wesentlichen“ und „wichtigen“ Einrichtungen sowie Diensten – abhängig von dem jeweiligen Sektor und der Größe eines Unternehmens.

Eine genaue Übersicht über die Sektoren in Deutschland finden Sie hier: NIS2-Informationen.

Wie wird festgestellt, ob ein Unternehmen unter die NIS2-Richtlinie fällt?

Alle Unternehmen, die die Bundesregierung bisher als „KRITIS -Unternehmen“ eingestuft hat, wurden über diesen Status informiert. Mit der neuen NIS2-Richtlinie sind die Betriebe nun in der Pflicht, selbst zu prüfen, ob sie die entsprechenden Kriterien erfüllen. Zählen sie demnach ab Oktober 2024 zur kritischen Infrastruktur, müssen sie sich bei der zuständigen Behörde registrieren und die neuen Regelungen schnellstmöglich umsetzen.

Darüber hinaus können Unternehmen ab Inkrafttreten der Richtlinie zur NIS2 auch dann zur kritischen Infrastruktur zählen, wenn sie selbst nicht unter die genannten Kriterien fallen, aber ein wichtiger Zulieferer eines kritischen Unternehmens sind.

Welche Pflichten haben die neuen KRITIS-Unternehmen?

Hauptziel der Richtlinie ist die Verbesserung der IT-Sicherheit in der EU. Deshalb müssen wesentliche und wichtige Einrichtungen eine Reihe neuer Maßnahmen zum Schutz ihrer IT-Infrastrukturen und Daten einführen. Dazu gehören neben (technischen) Vorkehrungen zur Cybersicherheit auch organisatorische Maßnahmen, die beispielsweise Verantwortlichkeiten regeln und Prozesse für den Umgang mit Sicherheitsvorfällen etablieren. Darüber hinaus besagt die Richtlinie zur NIS2 ebenfalls, dass Unternehmen Vorfälle bei der Cybersicherheit direkt an die Behörden melden müssen.

Einen Überblick über die notwendigen Sicherheitsvorkehrungen, Meldepflichten und möglichen Sanktionen sowie einen Umsetzungsplan finden Sie sowohl auf unserer Infoseite zur NIS2-Richtlinie als auch in unserem Factsheet: Jetzt Factsheet zur NIS2-Richtlinie herunterladen.

Wir als EWE sind seit Jahren Teil der kritischen Infrastruktur und daher der ideale Partner, um mit unserer Erfahrung alle bestehenden und neuen KRITIS-Unternehmen bei der Umsetzung der NIS2-Richtlinie zu unterstützen!

Die Informationen in diesem Artikel entsprechen dem Stand von Juli 2024. Es ist zu beachten, dass sich der rechtliche Rahmen in Bezug auf NIS2 ändern kann.