Start Allgemein NIS2: Neue Richtlinie erhöht Aufwand hinsichtlich Cybersecurity

NIS2: Neue Richtlinie erhöht Aufwand hinsichtlich Cybersecurity

Haftungsthemen und komplexe Anforderungen von NIS2 sollten den Blick nicht dafür verstellen, dass die neue Richtlinie inhaltlich hochgradig sinnvoll ist und Cybersecurity zu den elementaren Herausforderungen für Wirtschaft und Gesellschaft zählt. Von Michael Deissner*

Von

Ike Nünchert

1. September 2023

Bildnachweis: comforte AG.

Zehntausende Unternehmen allein in Deutschland betroffen

Eigeninitiative ist gefragt, denn auf eine behördliche Mitteilung, dass sie unter die NIS2- Regelungen fallen, brauchen Unternehmen nicht zu warten – die wird es nicht geben. Vielmehr müssen Firmen aufgrund des in der Richtlinie und später in den nationalen Umsetzungen definierten Rahmens selbst eruieren, inwieweit sie ‚NIS2 ready‘ sein müssen.

Diese Prüfung sollte im günstigsten Fall jetzt schon begonnen haben, will man in nur noch 14 Monaten tatsächlich die Anforderungen von NIS2 erfüllen. Grundsätzlich sind in der Richtlinie 18 ‚wesentliche‘ beziehungsweise ‚wichtige‘ Sektoren definiert, die als schützenswerte kritische Infrastruktur gelten. Darunter fallen beispielsweise Transport, Energie, Finanzmärkte und Bankwesen sowie Verwaltung, Forschung und digitale Infrastruktur.

Innerhalb der festgelegten Sektoren unterliegen schon Unternehmen ab 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Mio. EUR oder einer Bilanzsumme von mehr als 43 Mio. EUR NIS2. Auch die Betreiber kritischer Anlagen (KRITIS) werden den Bestimmungen von NIS2 unterliegen. Insgesamt dürften von NIS2 allein in Deutschland rund 30.000 bis 40.000 Unternehmen direkt betroffen sein. Weitere Abstrahleffekte der Richtlinie auf andere Unternehmen entstehen dadurch, dass Unternehmen auch die Cybersicherheit ihrer Lieferketten im Blick haben müssen, wodurch auch Zulieferer mit neuen Anforderungen konfrontiert werden können.

Sicherheitsrisiken analysieren und Schäden vorbeugen

Inhaltlich zielt NIS2 darauf ab, dass Unternehmen ihre Risiken im Bereich Cybersicherheit frühzeitig analysieren und bewerten, ihre Informationssysteme sichern und Pläne und Prozesse zur Bewältigung von Sicherheitsvorfällen und zur Aufrechterhaltung des Betriebs aufsetzen. Maßnahmen wie Schulungen, Sicherheitsrichtlinien, Back-up-Management, Beschaffungssicherheit, Datenverschlüsselung und Authentifizierungsprozesse haben in diesem Zusammenhang große Bedeutung.

Hinzu kommen steigende Anforderungen an das Meldewesen, wonach beispielsweise Cyberangriffe – auch wenn sie nicht erfolgreich waren – zwingend und kurzfristig behördlich zu melden sind. Die Maßnahmen zum Risikomanagement müssen von den Leitungsorgangen des Unternehmens gebilligt und die Umsetzung überwacht werden. Die Delegation dieser Verantwortlichkeit an Dritte ist nicht zulässig, somit kann auch die persönliche Haftung nicht vermieden werden.

NIS2: Neue Richtlinie erhöht Aufwand hinsichtlich Cybersecurity

Kommende Veranstaltungen

Ilmac

11 Annual HealthTech Investment Forum, Basel

Mitgliederversammlung BIO Deutschland e.V.

24 Annual Biotech in Europe Investment Forum

pemacom