Das bedeutet die NIS-2-Richtlinie für Unternehmen

Am 16. Januar 2023 trat die NIS-2-Richtlinie in Kraft und löst dabei die bestehende NIS-Richtlinie von 2016 ab. Im Allgemeinen wird durch NIS das Ziel verfolgt, die Mitgliedstaaten dazu zu verpflichten, nationale Cybersicherheitsstrategien zu verabschieden. Durch die NIS 2 soll das Sicherheitsniveau europaweit erhöht werden.

Für diese Unternehmen gilt NIS 2

In Deutschland sind etwa 30.000 Unternehmen von den neuen Regelungen betroffen, die durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) umgesetzt werden sollen. Der Zeitrahmen für die Umsetzung läuft bis zum 17. Oktober 2024, und obwohl sich bis zum Inkrafttreten des Gesetzes noch Details verändern können, lohnt sich schon jetzt für Unternehmen ein Blick auf die neuen Pflichten.

Die NIS-2-Richtlinie definiert, für welche Unternehmen die Regelungen gelten. Während Deutschland noch die endgültige Festlegung für betroffene Unternehmen treffen muss, gibt die EU-Richtlinie bereits den Rahmen vor. Im Allgemeinen gilt die Richtlinie für Unternehmen in essenziellen Sektoren wie Stromversorgung, Verkehr Kreditwesen sowie für Anbieter:innen digitaler Infrastrukturdienste wie Internet-Knoten, DNS-Systemen und Cloud-Computing. Außerdem gilt NIS 2 für Unternehmen mit einer Größe von 50 bis 249 Beschäftigten und zehn bis 50 Millionen Euro Jahresumsatz oder bis zu 43 Millionen Euro Jahresbilanzsumme. 

Für bestimmte Sektoren ist die Unternehmensgröße allerdings irrelevant: So soll NIS 2 ihre Wirkung unabhängig von der Größe gegenüber Unternehmen von besonderer Bedeutung  entfalten (z. B. Anbieter von öffentlichen elektronischen Kommunikationsnetzen).

Diese Maßnahmen müssen Unternehmen ergreifen

Die NIS-2-Richtlinie legt auch die erforderlichen Maßnahmen fest, die Unternehmen ergreifen müssen, um Sicherheitsvorfälle wie Hackerangriffe zu verhindern. Dazu gehören Risikomanagementmaßnahmen, Meldepflichten im Falle eines Sicherheitsvorfalls, Registrierungspflichten, Nachweispflichten über die Umsetzung von Maßnahmen sowie Schulungs- und Überwachungspflichten für die Geschäftsleitung.

Im Falle eines Sicherheitsvorfalls sieht die Richtlinie ein dreistufiges Meldesystem vor, das sicherstellt, dass Vorfälle zeitnah gemeldet werden, um angemessen darauf reagieren zu können.

Die Zeit läuft

Unternehmen sollten sich laut der HB E-Commerce Rechtsanwaltskanzlei bereits jetzt mit der NIS-2-Richtlinie befassen, ihr aktuelles Cybersicherheitsniveau überprüfen und gegebenenfalls anpassen. Dies könnte Investitionen in Technologie oder Schulungen des Personals umfassen. Es ist wichtig, Maßnahmenpläne zu entwickeln, um die Meldefristen im Falle eines Sicherheitsvorfalls einzuhalten, da bei Nichteinhaltung Bußgelder drohen können.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird die Umsetzung der NIS-2-Richtlinie in Deutschland überwachen, um sicherzustellen, dass die Unternehmen die erforderlichen Maßnahmen rechtzeitig umsetzen und die Cybersicherheit verbessern. Es ist daher unerlässlich, dass betroffene Unternehmen die Vorgaben der Richtlinie ernst nehmen und angemessen darauf reagieren, um ihre Daten und Systeme zu schützen.

Artikelbild: http://www.depositphotos.com