Letzte Aktualisierung: Stand 05.10.2024
Die neue EU-Richtline NIS2, auch als Cybersicherheitsstärkungsgesetz bekannt (NIS-2UmsuCG), erfordert dringendes Handeln der Unternehmen. Denn dadurch sind viele Unternehmen jetzt betroffen und die Zeit ist denkbar knapp!
Auch wenn das Gesetz erst 2024 in nationales Recht überführt sein muss - was für unsere Politiker schon eine sportliche Aufgabe ist - gibt es viele Probleme und Anforderungen zu lösen. Das ist nicht nur zeitaufwändig, sondern auch finanziell für viele Unternehmen eine Herausforderung.
Nicht zuletzt muss festgelegt werden, was muss alles umgesetzt werden, wer zuständig ist und wer kontrolliert und überwacht diese Vorgaben im Betrieb, wer macht die jährlichen Meldungen an das BSI.
Derzeit sind sich auch nur wenige Unternehmer bewusst, in welcher Situation sie sich befinden und dass sie hier dringenden Handlungsbedarf haben. Viele wird die Richtline völlig unvorbereitet treffen!
27.12.2022
EU beschließt NIS2-Richtlinie
Die Minister der europäischen Union haben die erweiterte NIS2 Richtlinie verabschiedet
16.01.2023
NIS2 Richtlinie tritt in Kraft
Durch die Veröffentlichung im Amtsblatt tritt die Richtline in Kraft. Jetzt müssen die EU-Mitgliedstaaten diese Richtline in nationales Recht überführen.
24.07.2024
Annahme des Gesetzentwurfs
Beginn des Gesetzgebungsverfahrene.
17.10.2024
NIS2 sollte ursprünglich zu diesem Termin in Deutsches Recht überführt sein
Ursprünglich sollte die Richtlinie bis zum 17.10.2024 in Deutsches Gesetz überführt worden sein.
Doch das Gesetz wird bis dahin offensichtlich nicht fertig sein und der Termin verschiebt sich nochmals.
ca. Februar/März 2025
NIS2 wird verpflichtend für betroffene Unternehmen
Derzeit scheint die Umsetzung der deutschen Gesetzgebung sich auf Februar/März 2025 zu verdichten. Dann ist die NIS2 Richtline ohne Übergangsfrist verpflichtend gültig, für alle Unternehmen, die davon betroffen sind.
Die EU-Richtlinie NIS2 sollte urpsprünglich am 17.10.2024 in nationales Recht umgesetzt werden. Aktuell scheint sich hier die Umsetzgung auf das Q1/2025 zu verdichten. Damit gilt:
Für die Umsetzung der Richtlinie müssen entsprechende Cybersicherheitsmaßnahmen umgesetzt werden:
Aufsetzen von Richtlinien
Fall-Management
Geschäftskontinuität
Mitarbeitertraining
Sicherung der Vermögenswerte
Pflicht für Reporting
Es gelten strenge Vorschriften für die Meldung von Sicherheitsvorfällen:
Melden eines Vorfalls: 24 Std.
Erster Bericht mit Angaben zum Vorfall: 72 Std.
Abschlussbericht: 1 Monat
Werden Verstöße festgestellt, können empflindliche Strafen drohen - auch mit persönlicher Haftung der Geschäftsführer:
Geschäftsführung haftet persönlich
Hohe Bußgelder mit bis zu 10 Millionen EUR oder 2% des Jahresumsatzes (weltweit!)
Unternehmensgröße
Anzahl der Mitarbeiter
Umsatz
Bilanz
< 43 Mio. €
und
> 43 Mio. €
Von der bisherigen Regelung zur Cyber- und Informationssicherheit waren bisher nur Unternehmen und Institutionen im KRITIS-Bereich betroffen.
Mit NIS2 (Network and Information Security Directive) werden die Cybersicherheitsanforderungen und Sanktionen nochmals deutlich verschärft und gelten durch die neuen Vorgaben nahezu für alle (auch nicht-KRITIS) Unternehmen.
In Deutschland wurde bereits ein erster Entwurf dazu vorgelegt und ist als Cybersicherheitsstärkungsgesetz bekannt (NIS-2UmsuCG). Dieses Gesetz muss bis Oktober 2024 in nationales Recht umgesetzt werden.
Das erste Kriterium, ob man von NIS-2 betroffen ist, hängt von der Betiebsgrösse und dem Umsatz ab:
Unternehmen ab 50 Mitarbeitern und einem Jahresumsatz zwischen 10-50 Millionen Euro und einer Jahresbilanzsumme zwischen 10-43 Millionen Euro.
Unternehmen ab 250 Mitarbeitern und einem Jahresumsatz ab 50 Milliionen Euro, oder eines Jahresbilanzsumme von mehr als 43 Millionen Euro.
Das zweite Kriterium ist der Untenehmensektor. Dazu gibt es 18 Sektoren, die das zweite ausschlaggebende Kriterium, zusätzlich zur Unternehmensgröße vorgaben.
Wenn beide Kriterien zutreffen, trifft die NIS-2 Richtlinie für Ihr Unternehmen zu.
Aber es gibt dazu auch einige Ausnahmen, unabhängig von der Unternehmensgrösse (Siehe nächster Punkt)
Leider ist die Einstufung nach NIS2 nicht so einfach.
Neben der Unternehmensgröße und den Sektoren gibt es einige Sektoren, die auch Unternehmen erfassen, die weniger als 50 Mitarbeiter haben.
Beschrieben werden dies als "kritische Tätigkeiten" mit Auswirkungen auf die öffentlich Ordnung oder Systemrisiken bestehen. Auch bei grenzüberschreitenden Auswirkungen bei einem Ausfall der Systeme gilbt NIS2 unabhängig von der Unternehmensgrösse.
Die Bereiche und Verteidigung, nationale Sicherheit, öffentliche Sicherheit und Strafverfolgung sind nicht von NIS2 betroffen. Justiz, Parlamente und Zentralbanken sind ebenso ausgenommen.
Im nationalen Recht können aber diese Einrichtung per Gesetz wieder von NIS2 betroffen sein.
Das Gesetz wurde von der EU am 27.12.2022 beschlossen und trat am 16.01.2023 in Kraft.
Gemäß den EU-Vorgaben müssen die Länder dieses Gesetzt zum 17. Oktober 2024 in nationales Recht überführt haben.
Nach derzeitigem Kenntnisstand wird dieser Termin aber nicht mehr zu schaffen sein, da noch einige Hürden bei der Festlegung der Inhalte zu nehmen sind.
Nach aktueller Einschätzung verdichtet sich das Datum für die Umsetzung auf Februar/März 2025.
Da die Umsetzung nicht nur finanziell anspruchsvoll ist, sondern auch enorme Aufwände bei der IT bedeuten, ist die Zeit schon jetzt denkbar knapp - und das obwohl die genauen gesetzlichen Vorgaben noch nicht vorhanden sind. Es existiert lediglich ein grober Rahmen, den es zu erfüllen gibt.
Diese 5-6 Monate sollte jetzt jedes Unternehmen nutzen, um doch noch die Vorgaben umzusetzen und sich mit NIS2 ausgibig befassen.
Die Höhe der Strafen ist von der Einstufung "wichtig" oder "besonders wichtig" abhängig. Es wird nicht zwischen KRITIS oder Wichtigen Anlagen unterschieden.
Bußgeldrahmen für "wichtige Einrichtungen"
Bis zu 7 Millionen Euro oder ein Höchstbetrag von mindestens 1,4% des Umsatzes aus dem Vorjahr
Busgeldrahmen für "besonders Wichtige Einrichtungen"
Bis zu 10 Millionen Euro, oder mindestens 2% des Umsatzes aus dem Vorjahr
Um diesen Sanktionen zu entgehen, sollte jedes Unternehmen sicher sein, ob Sie die gesetzlichen Vorgaben erfüllen, bzw. ob Sie betroffen sind.
Bei einem erfolgreichen Cyberangriff durch mangelnde Sicherheitsmaßnahmen und/oder fehlendem Risikomanagement und Überwachung, unter den Gesichtspunkten des Cybersicherheitsgesetzes NIS-2, haften sowohl die Geschäftsleitung, wie auch der Geschäftsleiter:
Haftung für die Geschäftsleitung
Kosten für Forensik und externe Dienstleister
Zahlungen von Lösegeld
Zahlung Bußgelder
Haftung für die Geschäftsleiter
für den entstandenen Schaden
Ein Verzicht der Geschäftsleitung gegenüber dem Geschäftsleiter ist unwirksam.Außer bei Zahlungsunfähigkeit des Geschäftsleiters kann ein Vergleich mit den Gläubigern erfolgen.
Aufgrund der hohen Schäden in Milliardenhöhe sollen die Unternehmen durch die Einführung eines einheitlich, hohen Schutzniveaus in der EU besser geschützt werden!
Wir erfahren leider täglich, dass viele Unternehmen den Ernst der Lage nicht erkannt haben.
Derzeit soll es keine Übergangsfristen geben.
Es ist auch tatsächlich eine sportliche Herausforderung für unsere Politik, das Gesetzt wirklich bis Oktober 2024 zu verabschieden. Das würde bedeuten, dass praktisch keine Zeit bleibt, die final festgelegten Rahmenbedingunen nach nationalem Recht umzusetzen.
Es bleibt zu hoffen, dass den Unternehmen dann doch eine Übergangsfrist zugestanden wird.
Eine direkte Kontrolle gibt es nicht. Jedoch sieht das Gesetzt vor, dass die betroffenen Unternehmen selbstständig einmal jährlich die Meldung beim BSI abgeben, dass die Vorgaben umgesetzt werden.
Solange es keinen erfolgreichen Cyberangriff auf das Unternehmen gibt, ist wohl nur wenig zu befürchten.
Kommt es aber zu einem Vorfall, dann haben Sie nicht nur den Schaden durch die Hacker, sondern zahlen obendrauf noch eine empfindliche Strafe. Zudem haften Sie sowohl als Geschäftsleitung, wie auch als Geschäftsleiter für die Schäden und Sanktionen.
Da sollten Sie es sich gut überlegen, ob Sie eine solche gesetzliche Vorgabe ignorieren können.
Auch wenn NIS2 für einige Unternehmen eine ziemliche Herausforderung ist, darf man die Intension des Gesetzes nicht außer Acht lassen.
Zuviele Unternehmen haben sich bisher nur wenig oder überhaupt nicht um die Sicherheit der IT-Infrastruktur gekümmert und sind damit ein zusätzliches Risiko für alle anderen Netze.
Mit der Richtlinie werden jetzt alle Unternehmen der genannten Gruppen dazu "gezwungen", sich um die eigene IT-Sicherheit zu kümmern.
Prüfen Sie anhand der Regelungen für die Einstufung von Unternehmen, ob Sie zu den betroffenen Unternehmen gehören.
Dabei gilt es auch, die Kategorien für betroffene Unternehmen genau zu untersuchen!
Gleichen Sie die bestehenden Maßnahmen mit den neuen Auflagen aus der NIS2 Richtlinie ab und legen Sie fest, welche Punkte noch offen sind.
Klären Sie dann die Verantwortlichkeit im Unternehmen oder beauftragen externe Dienstleister.
Umsetzen der offenen Punkte aus der Prüfung des bestehenden Schutzstatus und den zusätzlichen Anforderungen nach NIS2.
Verantwortlichkeiten definieren, Überwachung und Meldeverfahren festlegen.
Der Gesetzgeber unterscheidet zwischen "Besonders wichtigen Einrichtung" mit hoher Kritikalität und "wichtigen Einrichtungen" mit sonstiger Kritikalität.
„Kritische Infrastrukturen“ Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der wirtschaftlichen Tätigkeit, der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Ein Großunternehmen, das einer der durch Rechtsverordnung nach § 15 bestimmten Einrichtungsarten der Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten (Business-to-Business) oder Weltraum zuzuordnen ist,
Ein qualifizierter Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter, jeweils unabhängig von der Unternehmensgröße,
Ein mittleres Unternehmen, das Anbieter von Telekommunikationsdiensten oder öffentlich zugänglichen Telekommunikationsnetzen ist
Ein Betreiber kritischer Anlagen
Eine Einrichtung, die gemäß Rechtsverordnung nach § 15 dem Teilsektor Zentralregierung des Sektors öffentliche Verwaltung angehört, - 7 - Bearbeitungsstand: 25.07.2023 17:45 ausgenommen Einrichtungen, die gemäß Artikel 2 Absatz 4 der Verordnung (EU) 2022/2554 von deren Anwendungsbereich ausgenommen wurden sowie solche, die als Finanzunternehmen gemäß Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 vergleichbaren Anforderungen unterliegen, wie sie dieser Teil für besonders wichtige Einrichtungen vorsieht.
Ein Unternehmen das keine besonders wichtige Einrichtung ist, sowie ausgenommen Einrichtungen, die gemäß Artikel 2 Absatz 4 der Verordnung (EU) 2022/2554 von deren Anwendungsbereich ausgenommen wurden sowie solche, die als Finanzunternehmen gemäß Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 vergleichbaren Anforderungen unterliegen, wie sie dieser Teil für besonders wichtige Einrichtungen vorsieht.
Ein mittleres Unternehmen, das einer der durch Rechtsverordnung nach § 15 bestimmten Einrichtungsarten der Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten (Business-to- Business) oder Weltraum zuzuordnen ist,
Ein mittleres Unternehmen oder Großunternehmen, das einer der durch Rechtsverordnung nach § 15 bestimmten Einrichtungsarten der Sektoren Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, Anbieter digitaler Dienste oder Forschung zuzuordnen ist,
Wer Güter im Sinne des Teils B der Kriegswaffenliste herstellt oder entwickelt oder vom Bundesamt zugelassene Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentliche Komponenten solcher Produkte herstellt
wer Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung oder nach § 1 Absatz 2 der Störfall-Verordnung einem solchen gleichgestellt ist
Durch die Cybersicherheitsvorgaben müssen folgende Bereiche überprüft und ggf. angepasst werden, um ein höheres Schutzniveau zu erreichen:
Umsetzung von Sicherheitsrichtlinien wie Netzwerk-Segmentierung oder Multifaktor Authentifizierung
Incident-Management
Trainings: Regelmäßige Mitarbeiter Schulungen CyberSecurity
Regelmäßige Sicherheitsscans intern und extern
Supply Chain/Sicherer Einkauf, Lieferkettengesetz
Zugangs-/Zutrittskontrolle
Anmeldung/Registrierung beim BSI für die jährliche Meldung
Handbuch/Dokumentation
Krisen-/Notfall-Management
Einführung eines Risikomanagements
Einführung einer Überwachungs- und Kontrollinstanz mit Meldeverfahren
und vieles mehr
Bei Fragen können Sie uns gerne kontaktieren.
Wir übernehmen keine Gewähr für die Vollständigkeit bzw. Richtigkeit der Angaben. Die Richtline ist derzeit auch noch nicht in nationales Recht überführt und es können sich danach noch Änderungen ergeben!
Hier downloaden!