NIS-2 Compliance

Ein Informationssicherheits-Managementsystem (ISMS) wird in der NIS-2 Richtlinie nicht ausdrücklich vorgeschrieben, es bietet jedoch eine bewährte Grundlage, um die Anforderungen effizient umzusetzen. Ein ISMS nach ISO 27001 oder BSI IT-Grundschutz unterstützt insbesondere bei:

• Der Einführung eines strukturierten Risikomanagements.
• Der Dokumentation und Nachverfolgung von Sicherheitsmaßnahmen.
• Der Vorbereitung auf Audits und Kontrollen durch Behörden.

Verstöße gegen die NIS-2 Richtlinie können mit hohen Geldstrafen, Verwaltungsmaßnahmen und persönlicher Haftung für Führungskräfte geahndet werden. Die möglichen Strafen umfassen:

• Bußgelder: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
• Verwaltungsmaßnahmen: Verpflichtende Anweisungen, Einschränkungen der Geschäftstätigkeit oder zeitweise Schließung von Unternehmen.
• Persönliche Haftung: Führungskräfte können für grobe Fahrlässigkeit oder Vorsatz haftbar gemacht werden.

Zudem drohen Schadenersatzansprüche bei Sicherheitsvorfällen durch unzureichende Maßnahmen. Unternehmen sollten präventiv handeln, um die Anforderungen zu erfüllen und Sanktionen zu vermeiden.

Empfehlung:
Unternehmen sollten sich frühzeitig auf die Anforderungen der NIS-2 Richtlinie vorbereiten, um das Risiko von Strafen zu minimieren. Die Implementierung eines umfassenden Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 oder BSI IT-Grundschutz hilft, die Compliance sicherzustellen. ProXcel unterstützt mit gezielten Maßnahmen, darunter Gap-Analysen, Risikobewertungen und Prozessoptimierungen, um Unternehmen auf die NIS-2 Anforderungen vorzubereiten.

Weitere Informationen:
Für individuelle Beratung oder Unterstützung bei der Umsetzung der NIS-2 Richtlinie steht ProXcel jederzeit zur Verfügung.

Die NIS-2 Richtlinie verschärft die Anforderungen an die Meldung von Sicherheitsvorfällen:

• Meldefristen: Sicherheitsvorfälle müssen je nach Schweregrad innerhalb von 24 bis 72 Stunden gemeldet werden.
• Inhalt der Meldung: Die Berichte müssen Details zum Vorfall, den betroffenen Systemen und den ergriffenen Gegenmaßnahmen enthalten.
• Verantwortlichkeiten: Organisationen müssen klare Prozesse und Zuständigkeiten für die Meldung definieren, um Fristverstöße zu vermeiden.

Bis wann muss die NIS-2 Richtlinie in Deutschland umgesetzt werden?

Die EU-Mitgliedstaaten, darunter Deutschland, waren verpflichtet, die NIS-2 Richtlinie bis Oktober 2024 in nationales Recht umzusetzen. Der aktuelle Gesetzesentwurf zur Umsetzung befindet sich in Arbeit, jedoch ist die finale Verabschiedung noch ausstehend. Verzögerungen in der nationalen Gesetzgebung haben bereits dazu geführt, dass die EU Vertragsverletzungsverfahren gegen mehrere Mitgliedstaaten eingeleitet hat. Aktuell wird mit einer Umsetzung der Richtlinie in deutsches Recht nicht vor Herbst 2025 gerechnet.

Was bedeutet das für Unternehmen?
Auch wenn die genauen rechtlichen Details in Deutschland noch nicht vollständig geklärt sind, sollten betroffene Organisationen frühzeitig aktiv werden, um die bekannten Anforderungen der NIS-2 Richtlinie zu erfüllen. Dazu gehören Maßnahmen wie:

• Durchführung einer Gap-Analyse zur Überprüfung bestehender Sicherheitsmaßnahmen.
• Planung und Umsetzung von Risikomanagementprozessen.
• Etablierung von Prozessen zur Meldung von Sicherheitsvorfällen.

Empfehlung:
Unternehmen sollten sich an bekannten Sicherheitsstandards wie ISO 27001 oder BSI IT-Grundschutz orientieren, um die Compliance sicherzustellen. Frühzeitige Maßnahmen verhindern zeitliche Engpässe, sobald die nationale Umsetzung abgeschlossen ist.

Die NIS-2 Richtlinie der EU fordert von Organisationen, insbesondere in kritischen Sektoren, Maßnahmen zur Cybersicherheit und Resilienz. BCM ist ein zentraler Bestandteil, um diese Anforderungen zu erfüllen und Ausfallzeiten durch präventive und reaktive Maßnahmen zu minimieren. Wir unterstützen Organisationen bei der Anpassung Ihres BCM an die Anforderungen der NIS-2 Richtlinie.

Obwohl KRITIS (§ 8a BSIG) und NIS-2 beide auf die Absicherung kritischer Infrastrukturen abzielen, gibt es wesentliche Unterschiede:

• Anwendungsbereich:
  KRITIS gilt spezifisch für Deutschland und umfasst Betreiber kritischer Infrastrukturen, die definierte Schwellenwerte überschreiten.
  NIS-2 ist eine EU-weite Richtlinie, die einen breiteren Anwendungsbereich hat, einschließlich mittelgroßer Unternehmen in zusätzlichen Sektoren wie Umwelt, öffentliche Verwaltung oder digitale Dienste.
• Schwellenwerte:
  KRITIS-Betreiber werden anhand fester Schwellenwerte identifiziert, wie z. B. Produktionskapazität oder Versorgungsumfang.
  NIS-2 arbeitet mit flexibleren Kriterien wie Unternehmensgröße (z. B. mehr als 50 Mitarbeiter oder 10 Millionen Euro Umsatz) und der kritischen Rolle des Unternehmens im jeweiligen Sektor.
• Aufsichtsbehörden:
  Für KRITIS ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) die zuständige Behörde.
  Bei NIS-2 wird das BSI ebenfalls eine Hauptrolle übernehmen, jedoch können auch weitere nationale Behörden je nach Branche eingebunden werden, z. B. die Bundesnetzagentur für Energie und Telekommunikation oder das Kraftfahrt-Bundesamt für den Verkehrssektor.
• Pflichten und Sanktionen:
  Beide Regelwerke fordern umfassende Sicherheitsmaßnahmen und Meldepflichten. NIS-2 sieht jedoch strengere Sanktionen und breitere Meldepflichten vor, z. B. bei schwerwiegenden Cybervorfällen.

Die NIS-2-Richtlinie, die bis Oktober 2024 in nationales Recht umgesetzt werden muss, wird den Rechtsrahmen für KRITIS-Betreiber erweitern:

• Erweiterter Anwendungsbereich: Neben den bisherigen KRITIS-Betreibern gemäß § 8a BSIG werden durch NIS-2 weitere Branchen und Unternehmen reguliert, wie z. B. Umwelt, öffentliche Verwaltung und digitale Dienste.
• Kombination von Vorgaben: Die Anforderungen aus § 8a BSIG bleiben bestehen, werden jedoch durch neue Vorgaben aus NIS-2 ergänzt, z. B. strengere Meldepflichten bei Cybervorfällen.
• Neue Verpflichtungen: Unternehmen müssen zusätzliche Maßnahmen wie die Benennung eines Sicherheitsverantwortlichen und ein umfassenderes Risikomanagement umsetzen.
• Erhöhung der Anforderungen: KRITIS-Betreiber müssen ihre bestehenden Sicherheitsmaßnahmen an die neuen Vorgaben anpassen und umfangreichere Berichterstattung leisten.
• Aufsicht durch das BSI: Das BSI bleibt die zentrale Aufsichtsbehörde für KRITIS und könnte seine Zuständigkeit für neue Branchen erweitern.

Was bedeutet das für Unternehmen?
Unternehmen, die bereits als KRITIS-Betreiber eingestuft sind, sollten ihre Sicherheitsmaßnahmen frühzeitig überprüfen und anpassen. Neue Unternehmen, die durch NIS-2 reguliert werden, müssen prüfen, ob sie künftig unter die erweiterten Regelungen fallen.