Sie sind hier: Home » Markt » Hinweise & Tipps

NIS-2-Umsetzungsgesetz (NIS2UmsuCG)


Der Countdown für die NIS2-Richtline läuft: Was Unternehmen jetzt wissen müssen
IT-Compliance: NIS2-Compliance ist kein Produkt: Der Aufbau einer adäquaten Sicherheitsstruktur geht nicht von heute auf morgen



In wenigen Monaten müssen zahlreiche Unternehmen die NIS2-Richtlinie umsetzen. Die neue EU-Direktive schreibt vor, strenge Maßnahmen zur Gewährleistung der Cybersicherheit zu implementieren. Auf den ersten Blick mag diese Zeitspanne lang genug erscheinen, doch der Aufbau einer adäquaten Sicherheitsstruktur geht nicht von heute auf morgen. NTT Ltd., ein führendes IT-Infrastruktur- und Dienstleistungsunternehmen, räumt mit falschen Vorstellungen rund um die NIS2-Richtlinie auf und zeigt den besten Weg zur Umsetzung.

Die NIS2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die am 16. Januar 2023 in Kraft getreten ist und von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor. Die neue Richtlinie wird die Zahl der betroffenen Unternehmen hierzulande massiv erhöhen – zwischen 30.000 und 40.000 Firmen werden unter die schärferen Vorgaben von NIS2 fallen. Viele von ihnen dürften sich dessen jedoch gar nicht bewusst sein, obwohl bei Nichteinhaltung empfindliche Strafen drohen.

Unternehmen sollten sich deshalb aus Sicht von NTT dringend die folgenden Fragen stellen:

>> Falle ich unter die NIS2-Richtlinie? Die Behörden teilen einer Firma nicht mit, ob die neuen Vorgaben auf sie zutreffen oder nicht. Unternehmen müssen vielmehr selbst anhand der festgelegten Kriterien ihre "Betroffenheit" ermitteln. Grundsätzlich gilt: Alle, die als Betreiber kritischer Infrastrukturen eingestuft werden, fallen unter diese Richtlinie. Dazu zählen Einrichtungen, Anlagen und Systeme, deren Funktionsfähigkeit wichtig für die Gesellschaft, die Sicherheit des Landes sowie der Wirtschaft ist und deren Ausfall zu erheblichen Störungen führen würde. Nach Angaben des Bundesamtes für Katastrophenschutz handelt es sich um Unternehmen der Energie- und Wasserversorgung, der Telekommunikations- und Informationstechnik, der Lebensmittelversorgung, des Transport- und Logistikwesens, des Finanzwesens oder des Gesundheitswesens.

Gleichzeitig betrifft die NIS2-Richtlinie auch Organisationen in der Lieferkette, die Dienstleistungen oder Produkte im Zusammenhang mit kritischen Sektoren erbringen. Damit geht der Geltungsbereich weit über die bisher bekannten Schlüsselunternehmen hinaus. Künftig werden Unternehmen und Organisationen mit 50 oder mehr Mitarbeitenden sowie einem Jahresumsatz von mindestens zehn Millionen Euro in den jeweiligen Sektoren erfasst. Konkret wird bei NIS2 zwischen "wichtigen" und "wesentlichen" Einrichtungen unterschieden. Letztere nehmen aufgrund ihres Marktanteils in dem jeweiligen Sektor eine entscheidende Rolle ein.

>> Welche Vorschriften kommen mit NIS2 auf mich zu? Die EU hat die Vorgaben in drei Kernbereichen verschärft: Aufsichtsmaßnahmen und Geldbußen, Zusammenarbeit und Kooperation sowie Risikomanagement und Widerstandsfähigkeit. Die erhöhten Anforderungen an das Risikomanagement und die Widerstandsfähigkeit haben zur Folge, dass Organisationen sowohl Maßnahmen zur Schadensvermeidung als auch zur Schadensminimierung umsetzen müssen. Darunter fallen Bereiche wie Netzwerksicherheit, Risikomanagement, Cybersicherheit in Lieferketten, Zugangskontrolle und Verschlüsselung.

NIS2 sieht eine grundlegende IT-Hygiene vor, für kritische Einrichtungen schreibt der Referentenentwurf eine Angriffserkennung vor. Firmen sollten sich zudem Gedanken darüber machen, wie nach einer Cyberattacke die Geschäftskontinuität sichergestellt werden kann. Dazu gehören wiederum die Systemwiederherstellung, Notfallverfahren und das Einrichten einer Krisenorganisation. Darüber hinaus muss innerhalb von 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls eine erste Meldung als Frühwarnung bei den zuständigen Behörden eingehen. Binnen 72 Stunden muss sogar ein ausführlicher Bericht folgen, der die sogenannten Indicators of Compromise beschreibt. Unternehmen sollten unbedingt im Top-down-Ansatz zuerst einen ganzheitlichen Ist-Zustand des Reifegrads ihrer IT-Security ermitteln und danach bedarfsgerecht technische und organisatorische Maßnahmen umsetzen.

Zur Erfüllung der NIS2-Richtlinie empfiehlt sich darüber hinaus die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001. Gleichzeitig ist ein Security Operation Center (SOC) sinnvoll. Der Betrieb eines SOC ist jedoch sehr kostenintensiv, weshalb die Auslagerung an einen externen Dienstleister in Form von Managed Services eine gute Lösung ist.

>> Was passiert, wenn ich NIS2 nicht umsetze? Zwar werden nur die wesentlichen Einrichtungen auditiert – wer jedoch die Vorgaben missachtet, riskiert bei einem Sicherheitsvorfall spürbare Sanktionen. Bei Unternehmen, die in die Kategorie "wesentlich" eingestuft sind, können die Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist. Für "wichtige" Einrichtungen liegt das maximale Bußgeld bei sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Der Referentenentwurf des Bundesinnenministeriums sieht darüber hinaus vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen mit ihrem Privatvermögen für die Einhaltung der Risikomanagementmaßnahmen haften. Ihnen droht ebenfalls ein Bußgeld in Höhe von zwei Prozent des weltweiten Jahresumsatzes. NIS2 ist also ein Compliance-Risiko, das die Verantwortlichen sehr ernst nehmen sollten. Hinzu kommt, dass eine schlechte oder gar nicht vorhandene Security-Lösung am Ende deutlich mehr kostet, auch wenn die Investition in entsprechende Maßnahmen manchen Unternehmen anfangs hoch erscheinen mag. Analog zu anderen Richtlinien ist darüber hinaus die Wahrscheinlichkeit hoch, dass Firmen, die die geforderten Maßnahmen nicht umgesetzt haben, bei Ausschreibungen der öffentlichen Hand nicht berücksichtigt werden.

"NIS2-Konformität ist kein Produkt, das man einfach so kaufen und implementieren kann. Im Gegenteil: Unternehmen müssen verstehen, dass die Umsetzung der neuen EU-Richtlinie ein wirklich umfangreiches und langfristiges Projekt mit Auswirkungen in den unterschiedlichsten Bereichen ist. Gleichzeitig ist IT-Compliance längst ein strategisches Schlüsselthema für Firmen", erklärt Bernhard Kretschmer, Vice President Services und Cybersecurity bei NTT Ltd. "Die Praxis zeigt aber: Viele Unternehmen haben die geforderten Maßnahmen immer noch nicht in Angriff genommen. Das könnte zum Stolperstein einer fristgerechten Umsetzung von NIS2 werden. Denn die wenigsten Betriebe sind in der Lage, mit der eigenen IT-Mannschaft die geforderten Auflagen zu erfüllen." (NTT: ra)

eingetragen: 21.02.24
Newsletterlauf: 23.04.24


NTT Data: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Vorsicht vor Betrug bei Festgeldanlagen

    Wer auf der Suche nach attraktiven Tages- oder Festgeldanlagen ist, nutzt häufig eine Suchmaschinensuche oder ein Vergleichsportal im Internet. Doch hier heißt es, wachsam zu sein. Auch Unternehmensseiten wie Bankportale und Vergleichsportale können perfekt gefälscht sein.

  • Bestandteil der Investmentsteuer

    Die Vorabpauschale für Investmentfonds ist bereits seit 2018 Bestandteil der Investmentsteuer in Deutschland ist. Die Berechnung der Vorabpauschale basiert allerdings auf dem sogenannten Basiszins, der in der Vergangenheit oft im negativen Bereich lag. Daher wurde die Vorabpauschale erst wieder Anfang 2024 für das Vorjahr, also das Jahr 2023, erhoben. Doch was ist die Vorabpauschale und wie funktioniert sie? In diesem Artikel zeigen wir Ihnen, worauf Sie achten sollten.

  • KI, Datenschutz & Datensicherheit

    Bevor Unternehmen generative KI einführen, sollten sie sich einige Fragen stellen, damit die neuen Dienste nicht den Datenschutz und die Datensicherheit gefährden. Forcepoint verrät, welche Fragen das sind. Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten.

  • Cybersicherheit & NIS2-Compliance

    Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt - und verunsichert.

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen