NIS-2-Richtlinien: So soll EU-weit ein hohes Cybersicherheitsniveau erreicht werden 

Was mit NIS etwas sperrig abgekürzt wird, steht für „Netzwerk- und Informationssicherheit“ bzw. „Network and Information Security“. Darunter wurden im Jahr 2016 erstmals einheitliche Richtlinien festgelegt, um ein gemeinsames Sicherheitsniveau zu gewährleisten. Die definierten Maßnahmen sollen für ein gutes Cybersicherheitsniveau in der EU sorgen. 

Diese Richtlinien wurden nun mit NIS-2 aktualisiert. Für die Umsetzung in Deutschland ist das Bundesministerium des Innern und für Heimat zuständig. Die größte Änderung macht sich dadurch bemerkbar, dass sich nun noch mehr Unternehmen an die Richtlinien halten müssen. 

In diesem Blogbeitrag erklären wir Ihnen, wie die NIS-2-Richtlinien genau aussehen, welche Unternehmen davon betroffen sind und wie die Maßnahmen die Cyber-Sicherheit erhöhen sollen. 

NIS-2 ist die überarbeitete Variante der Richtlinien für Netz- und Informationssicherheit aus dem Jahr 2016. In diesen Richtlinien sind Kriterien festgelegt, um beispielsweise eine kritische IT-Infrastruktur zu identifizieren und einen Mindeststandard zu verfolgen. 

Das Ziel der Richtlinien ist es, dass der Binnenmarkt in der Europäischen Union reibungslos funktioniert und Cyberangriffe verhindert werden. Die Sicherheit von Wirtschaft und Gesellschaft ist hierbei von großer Bedeutung.

Die EU-Richtlinien zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinien) wurden bereits im Dezember 2022 veröffentlicht. Die Mitgliedstaaten müssen die Richtlinien ab Oktober 2024 in nationales Recht umsetzen.  

Die definierten Mindeststandards der Informationssicherheit müssen Unternehmen ab 50 Mitarbeitende einhalten und wenn Unternehmen auf einen Jahres-Umsatz von 10 Millionen Euro kommen. Zudem müssen die Unternehmen einem bestimmten Sektor zugeordnet sein. 

Es können allerdings auch kleinere Unternehmen von den Regelungen betroffen sein, wenn sie beispielsweise durch eine Lieferkette mit Unternehmen zusammenarbeiten, die unter diese Regelung fallen. Denn die Richtlinien müssen auch im Kontakt mit anderen Unternehmen eingehalten werden. Das trifft daher auch auf Unternehmen zu, die beispielsweise als Zulieferer agieren. 

Durch die Anpassung der Regelungen mit NIS-2 müssen sich nun mehr Unternehmen an die Richtlinien halten als zuvor. Bei Verstößen machen sich Unternehmen strafbar.

Wer die Sicherheitsmaßnahmen nicht einhält, dem drohen hohe Geldstrafen. Bei Verstößen liegen Bußgelder beispielsweise bei bis zu zehn Millionen Euro. Je nach Vergehen und Unternehmen kann eine Strafzahlung von zwei Prozent des weltweiten Umsatzes anfallen. Im schlimmsten Fall kann sogar die Betriebserlaubnis entzogen werden. 

Um Verstöße entdecken zu können, dürfen Behörden Kontrollen durchführen und dabei je nach Verdachtsfall sogar auf Daten und Dokumente zugreifen. Allerdings sind Unternehmen durch die Richtlinien selbst dazu aufgefordert erhebliche Sicherheitsvorfälle zu melden. Wenn solche erst durch eine Kontrolle identifiziert werden, bedeutet dies bereits, dass die Regularien nicht eingehalten wurden.  

Durch die festgelegten Regularien soll sichergestellt werden, dass die Cybersicherheit kritischer und wichtiger Infrastrukturen der EU-Mitgliedsländer gestärkt wird. Hier soll sich zeigen: Das Thema IT-Sicherheit muss vom Staat und Unternehmen gemeinsam angegangen werden. 

Zu den Regularien zählen folgende Vorgaben: