TÜV SÜD

Verzögert sich die Richtlinie NIS2? Das müssen Sie jetzt wissen!

Ob Energie- oder Wasserversorger, medizinische Einrichtungen oder Finanzinstitute: Kritische Infrastrukturen (KRITIS) stehen im Fokus der Cyberkriminellen. Laut dem aktuellen „Cybersecurity Report H1 2024“ von Myra Security richteten sich im letzten Jahr 75 Prozent aller Cyberattacken in der EU gegen kritische Infrastrukturen. Im ersten Quartal 2024 wurden bereits mehr als 180 Angriffe auf KRITIS-Unternehmen gemeldet.

Brandaktuelle Updates zur NIS2-Richtlinie erhalten Sie auch in unserem kostenfreien Webinar am 08.10.24 um 10 Uhr. Melden Sie sich am besten gleich an unter https://www.idgard.com/de/events/nis2-webinar/

Der Ausfall dieser wichtigen Dienstleistungen kann gravierende Auswirkungen auf das Funktionieren von Gesellschaft, Wirtschaft und öffentlicher Sicherheit haben. Kritische Infrastrukturen müssen daher dringend vor Hackern, Schadsoftware & Co. geschützt werden. Genau hier setzt die Richtlinie NIS2 an, die EU-weit Abhilfe schaffen soll. Experten rechnen allerdings damit, dass sich die Umsetzung der EU-Richtlinie hierzulande verzögert. Warum das so ist, was genau sich hinter NIS2 verbirgt und welche Unternehmen und Sektoren davon betroffen sind, erfahren sie hier.

NIS2: Ein einheitliches Cyber-Sicherheitsniveau für Europa

Wie der Name schon sagt, ist NIS2 (Network and Information Security 2) der Nachfolger der EU-Richtlinie NIS1, deren Ziel es war, ein einheitliches Cybersicherheitsniveau in allen EU-Mitgliedsstaaten zu schaffen. So sollten unter anderem kritische Infrastrukturen (KRITIS) besser gegen digitale Bedrohungen gewappnet werden. Das Problem: Die Definition von „kritischen Infrastrukturen“ variiert je nach Land, und es herrschte Uneinigkeit darüber, wie die Richtlinie umgesetzt werden sollte. NIS2 soll nun Abhilfe schaffen. Hauptziel ist es, die Widerstandsfähigkeit der europäischen Staaten gegenüber Cyberangriffen & Co. zu stärken und Bürgern sowie Unternehmen einen sicheren Zugang zu kritischen Infrastrukturen und vernetzten Systemen zu ermöglichen.

Diese Sektoren sind betroffen

NIS2 wird deutlich konkreter und zählt mehr Sektoren und Unternehmen zu den KRITIS als ihr Vorgänger NIS1. Diese wiederum sind unterteilt diese in „wesentliche“ und „kritische“ Einrichtungen.

Kritische Sektoren nach NIS2
Wesentliche Einrichtungen: Wichtige Einrichtungen:
  • Energieversorger
  • Einrichtungen im Bereich Verkehrswesen
  • Unternehmen aus dem Bank¬- und Finanzsektor
  • Unternehmen im Gesundheitswesen
  • Trinkwasserversorger
  • Abwasserentsorgungs¬unternehmen
  • Digitale Infrastrukturen wie Rechenzentren und Cloud-Dienste
  • Verwaltung von IKT-Dienstleistungen im B2B-Bereich
  • Öffentliche Verwaltung
  • Organisationen im Bereich Raumfahrt
  • Post- und Kurierdienstleister
  • Unternehmen aus der Abfallwirtschaft
  • Hersteller und Händler chemischer Stoffe
  • Hersteller und Händler im Lebensmittelbereich
  • Unternehmen im verarbeitenden Gewerbe/Warenhersteller
  • Betreiber digitaler Dienste
  • Forschungseinrichtungen

Von NIS2 sind alle KRITIS-Unternehmen betroffen, die in der EU tätig sind oder hier ihre Dienstleistungen erbringen, sobald sie mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz von mindestens 10 Millionen Euro erwirtschaften. Das heißt, auch viele kleine und mittelständische Unternehmen fallen unter die Richtlinie und müssen entsprechende Maßnahmen ergreifen, um sicherzustellen, dass sie ihren Geschäftsbetrieb auch bei Cyberangriffen aufrechterhalten und schnell auf Bedrohungen reagieren können. Das umfasst unter anderem die Erstellung eines Krisenmanagementplans, die Durchführung von Risikoanalysen, die Einführung technologischer Lösungen für den sicheren Datenaustausch sowie Sicherheitsschulungen der Angestellten. Darüber hinaus sind sie verpflichtet, Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Verzögert sich NIS2?

NIS2 ist bereits seit dem 16. Januar 2023 in Kraft. Die EU-Mitgliedsstaaten müssen diese EU-Richtlinie bis 17. Oktober 2024 in nationales Recht umsetzen. Experten rechnen allerdings mit Verzögerungen: In einer Pressemitteilung äußert der Digitalverband Bitkom ernsthafte Bedenken hinsichtlich der Umsetzungsfrist. Zwar habe das Bundeskabinett die notwendige deutsche Umsetzung der NIS2-Richtlinie im Juli 2024 auf den Weg gebracht, doch zu viele Details müssten noch angepasst werden. Außerdem, so Bitkom-Präsident Dr. Ralf Wintergerst, fehle es an einer Harmonisierung mit dem KRITIS-Dachgesetz. Der Bitkom hofft nun auf eine Umsetzung von NIS2 bis zum Frühjahr 2025.

Dies ist ein Gastbeitrag von idgard | unison GmbH, einem Unternehmen der TÜV SÜD Gruppe. Weiter Informationen zu NIS2 sowie Tipps zur Umsetzung der Richtlinie in Ihrem Unternehmen finden Sie im idgard Glossar.

Zurück

Hier bloggt Ihre Redaktion.