Creditreform Magazin

NIS 2: Sind Sie sicher?

Cybersicherheit muss bei Unternehmen höchsten Stellenwert einnehmen – im eigenen Interesse, aber auch die gesetzlichen Anforderungen werden ab 2024 ausgeweitet. Die Richtlinie NIS 2 legt rund 30.000 Unternehmen neue Pflichten auf. Wer dazugehört und was zu beachten ist.

Worum geht es?

NIS 2 ist die Nachfolgerin von NIS 1. Das Gesetz zur Umsetzung der ersten Richtlinie für Netzwerk- und Informationssicherheit gilt in Deutschland seit 2017. Es beschreibt bestimmte IT-Sicherheitsanforderungen, Mindeststandards und Meldepflichten, die Betreiber sogenannter kritischer Infrastrukturen einhalten müssen. Dazu gehören unter anderem Energie- und Wasserversorger, das Finanz- und Versicherungswesen, das Gesundheitswesen, digitale Infrastruktur oder öffentlicher Nahverkehr.

Wen betrifft NIS 2?

Während NIS 1 für gut 4.000 große Unternehmen gilt, wird in Rechtskreisen erwartet, dass durch NIS 2 rund 30.000 weitere Unternehmen in Deutschland die neuen IT-Sicherheitsanforderungen erfüllen müssen. Zum einen werden die Branchen weiter gefasst, sodass künftig etwa auch Post- und Kurierdienste, Produzenten chemischer Stoffe, Maschinenbauer oder Anbieter digitaler Dienste betroffen sind. Zum anderen kann NIS 2 schon für Unternehmen mit mehr als 50 Beschäftigten und mehr als 10 Millionen Euro Jahresumsatz greifen.

Welche neuen Pflichten entstehen durch NIS 2?

Im Wesentlichen legt die EU Unternehmen zwei große Pflichten auf. Erstens wird verlangt, dass Risikomanagementmaßnahmen getroffen werden. Unternehmen müssen Konzepte entwickeln, um Cyberangriffe zu vermeiden, beziehungsweise, um im Fall der Fälle einen Notbetrieb aufrechtzuerhalten und möglichst schnell wieder arbeitsfähig zu sein. Und zweitens müssen sie einen Prozess etablieren, mit dem sie Vorfälle zuverlässig an die zuständigen Aufsichtsbehörden melden.

Was können Unternehmen vorbereiten?

Auf Unternehmen kommt mit NIS 2 weiterer Bürokratieaufwand zu. Der Digitalverband Bitkom bewertet ihn allerdings als verhältnismäßig, denn das Gesetz schaffe die Balance zwischen regulatorischen Eingriffen und der Stärkung der Cyber-Resilienz. Und genau das können Unternehmen vorbereiten: Ihre Cyberabwehr verbessern, indem sie Risiken bewerten und Schwachstellen schließen, etwa durch den Schutz von Accounts mit Multi-Faktor-Authentifizierung, Backups und Co.

Welche Strafen drohen bei Verstößen?

Der Strafenkatalog von NIS 2 ähnelt dem der Datenschutz-Grundverordnung. Bei Verstößen können Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes fällig werden. Wichtig ist auch: Sollte ein Unternehmen schlecht oder gar nicht vorbereitet Opfer eines Cyberangriffs werden, haftet die Geschäftsleitung. Einen Verzicht der Haftung schließt das Gesetz explizit aus – und macht IT-Sicherheit damit einmal mehr zur Chefsache.


Quelle: Magazin "Creditreform"
Text: Christian Raschke
Bildnachweis: Baran Özdemir/ iStock



Creditreform Kempten/Allgäu Winterstein KG