Application Integration
Damit Unternehmensdaten ungehindert entlang der Wertschöpfungskette fließen.
Business Intelligence
Unternehmensdaten als Grundlage für strategische und operative Entscheidungen.
Collaboration & Portal
Reibungslose Kommunikation und Zusammenarbeit im komplexen Prozessegeschehen.
Artifical Intelligence
maschinell Lernen und Problemlösen um Entscheidungsfindung und Sprachverständnis zu unterstützen
Ein einfacher Überblick für Einsteiger
Eine Reise in die Welt der intelligenten Maschinen
Die NIS-2-Richtlinie ist ein Gesetz der Europäischen Union, das darauf abzielt, die Cybersicherheit in allen Mitgliedstaaten zu verbessern. Die Abkürzung „NIS“ steht für „Sicherheit der Netz- und Informationssysteme“. Das Hauptziel der Richtlinie ist es, die Widerstandsfähigkeit (Resilienz) von wichtigen Unternehmen und öffentlichen Einrichtungen gegen Cyberangriffe zu stärken und eine einheitlich hohe Sicherheitsstufe in der gesamten EU zu schaffen.
Als Nachfolgerin der ursprünglichen NIS-Richtlinie aus dem Jahr 2016 modernisiert und verschärft NIS-2 die bestehenden Regeln. Doch warum war eine Aktualisierung notwendig und was genau hat sich geändert?
Warum wurde NIS-2 eingeführt? Die Gründe für strengere Regeln
Die erste NIS-Richtlinie war ein wichtiger Schritt, aber in der Praxis zeigten sich einige Schwächen. Die wachsende Abhängigkeit von digitalen Technologien, die durch die COVID-19-Pandemie noch beschleunigt wurde, zeigte die Schwachstellen in der europäischen Cyberabwehr schonungslos auf. Die Europäische Kommission stellte bei einer Überprüfung mehrere Kritikpunkte fest, die zur Entwicklung von NIS-2 führten:
Unzureichende Cyber-Resilienz: Viele Unternehmen in der EU waren trotz der alten Richtlinie nicht ausreichend gegen die wachsende Zahl und Komplexität von Cyberangriffen geschützt.
Inkonsistenter Schutz: Die Umsetzung der ersten Richtlinie war in den EU-Mitgliedstaaten sehr unterschiedlich. Dies führte zu einem Flickenteppich an Sicherheitsniveaus, bei dem einige Länder und Sektoren deutlich schlechter geschützt waren als andere.
-
Erweiterter Anwendungsbereich: Die Digitalisierung hat viele Bereiche erfasst, die für die Wirtschaft und Gesellschaft entscheidend sind, aber von der ersten NIS-Richtlinie nicht abgedeckt wurden. Der Geltungsbereich war zu eng gefasst.
Diese Schwächen machten deutlich, dass ein umfassenderes und strengeres Regelwerk notwendig war. Das wirft die Frage auf: Welche Unternehmen sind von diesen neuen, erweiterten Regeln nun betroffen?
Wer ist betroffen? Eine Übersicht der neuen Regelungen
Mit NIS-2 wird der Kreis der betroffenen Unternehmen und Organisationen massiv ausgeweitet. Die neuen Regeln basieren auf der Unternehmensgröße und dem Sektor, in dem eine Einrichtung tätig ist.
2.1 Deutlich mehr Unternehmen betroffen
Um das Ausmaß der Erweiterung zu verdeutlichen, genügt ein Blick auf Österreich: Während unter der alten NIS-Richtlinie nur etwa 100 Unternehmen betroffen waren, steigt diese Zahl unter NIS-2 auf rund 4.000 Unternehmen und Einrichtungen.
2.2 Die „Size-Cap-Rule“: Unternehmensgröße als Kriterium
Ob ein Unternehmen betroffen ist, hängt grundsätzlich von zwei Faktoren ab: seiner Größe und dem Sektor seiner Tätigkeit. Die sogenannte „Size-Cap-Rule“ legt fest, dass primär mittlere und große Unternehmen in den Anwendungsbereich fallen.
Unternehmenskategorie Kriterien (alle müssen erfüllt sein) Mittleres Unternehmen • Weniger als 250 Mitarbeiter UND • Jahresumsatz von höchstens 50 Mio. Euro ODER Jahresbilanzsumme von höchstens 43 Mio. Euro Großes Unternehmen • Mindestens 250 Mitarbeiter ODER • Jahresumsatz von über 50 Mio. Euro UND Jahresbilanzsumme von über 43 Mio. Euro 2.3 Die 18 betroffenen Sektoren
Die Richtlinie listet 18 Sektoren auf, die als kritisch für Wirtschaft und Gesellschaft eingestuft werden. Diese sind in zwei Gruppen unterteilt:
Sektoren mit hoher Kritikalität Sonstige kritische Sektoren Energie Post- und Kurierdienste Verkehr Abfallbewirtschaftung Bankwesen Chemie (Herstellung, Produktion und Handel) Finanzmarktinfrastrukturen Lebensmittel (Produktion, Verarbeitung und Vertrieb) Gesundheitswesen Verarbeitendes/Herstellendes Gewerbe (z. B. Medizinprodukte, Maschinenbau) Trinkwasser Anbieter digitaler Dienste Abwasser Forschung Digitale Infrastruktur Verwaltung von IKT-Diensten (B2B) Öffentliche Verwaltung Weltraum 2.4 Ausnahmen und die Lieferkette
Kleine Unternehmen (weniger als 50 Mitarbeiter und unter 10 Mio. Euro Umsatz/Bilanzsumme) fallen grundsätzlich nicht direkt unter die NIS-2-Richtlinie. Es gibt jedoch Ausnahmen, zum Beispiel für Unternehmen, die der alleinige Anbieter eines essenziellen Services in einem Mitgliedstaat sind.
Wichtig für die MOGI-Kunden: Auch wenn ein Kleinunternehmen nicht direkt betroffen ist, kann es indirekt in die Pflicht genommen werden. Als Dienstleister oder Lieferant für ein betroffenes Unternehmen muss es ebenfalls bestimmte Sicherheitsvorkehrungen einhalten, da die Sicherheit der Lieferkette eine zentrale Anforderung von NIS-2 ist. Hier setzen wir mit unseren Expertise im Sicherheitsmanagement an, um Ihre Lieferkette zu auditieren und abzusichern.
Nachdem nun klar ist, wer betroffen ist, stellt sich die Frage, was diese Unternehmen konkret tun müssen.
Was sind die Hauptpflichten für Unternehmen?
Die NIS-2-Richtlinie legt eine Reihe konkreter Pflichten fest, die sich in drei Kernbereiche gliedern lassen:
Risikomanagementmaßnahmen ergreifen
Unternehmen müssen geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Dies ist ein „All-Gefahren-Ansatz“, der nicht nur böswillige Angriffe, sondern auch technische Ausfälle oder menschliches Versagen berücksichtigt.
Hier sehen wir den größten Handlungsbedarf, bei dem wir Sie unterstützen können:
Ein Konzept zur Bewältigung von Sicherheitsvorfällen entwickeln.
Die Sicherheit der Lieferkette gewährleisten, indem auch die Cybersicherheitspraktiken von direkten Anbietern bewertet werden.
Regelmäßige Cybersicherheitsschulungen für Mitarbeiter und die Geschäftsführung durchführen.
Grundlegende Verfahren der Cyberhygiene und den Einsatz von Kryptografie und Verschlüsselung sicherstellen. (Dies betrifft direkt unsere Kompetenzen in Systemanalyse und Softwarearchitektur.)
Meldepflichten bei Vorfällen beachten
Bei einem erheblichen Sicherheitsvorfall müssen betroffene Einrichtungen die zuständige nationale Behörde (in Österreich das CSIRT) nach einem klaren Zeitplan informieren. Dieses dreistufige Verfahren soll als Frühwarnsystem dienen:
Unverzüglich, aber spätestens innerhalb von 24 Stunden: Eine Frühwarnung abgeben.
Unverzüglich, jedenfalls innerhalb von 72 Stunden: Eine detailliertere Meldung mit einer ersten Einschätzung des Vorfalls nachreichen.
Spätestens innerhalb von einem Monat: Einen Abschlussbericht vorlegen, der unter anderem die Ursachen und die ergriffenen Abhilfemaßnahmen beschreibt.
Verantwortung der Geschäftsführung
Eine der größten Neuerungen von NIS-2 ist die direkte Verantwortlichkeit der Leitungsorgane. Geschäftsführer und Vorstände müssen die Umsetzung der Sicherheitsmaßnahmen nicht nur genehmigen, sondern auch aktiv überwachen. Bei Verstößen haften sie persönlich gegenüber ihrer eigenen Einrichtung für schuldhaft verursachte Schäden. Zudem sind sie verpflichtet, an speziellen Cybersicherheitsschulungen teilzunehmen.
"Wesentliche" vs. "Wichtige" Einrichtungen: Was ist der Unterschied?
NIS-2 teilt die betroffenen Unternehmen in die Kategorien "wesentlich" (essential) und "wichtig" (important) ein. Die Einteilung folgt einer klaren Logik: Große Unternehmen aus den "Sektoren mit hoher Kritikalität" gelten als wesentlich. Alle anderen betroffenen Unternehmen – also mittlere Unternehmen aus diesen Sektoren sowie alle Unternehmen aus den "sonstigen kritischen Sektoren" – werden als wichtig eingestuft.
Merkmal | Wesentliche Einrichtungen | Wichtige Einrichtungen |
|---|---|---|
Aufsicht | Proaktive, anlasslose Überprüfung („ex-ante“), z. B. durch regelmäßige Sicherheitsprüfungen. | Reaktive, anlassbezogene Überprüfung („ex-post“), also erst bei einem konkreten Verdacht. |
Sanktionen (Bußgeldrahmen) | Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag zählt). | Bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes (der höhere Betrag zählt). |
Sicherheitsmaßnahmen | Die Anforderungen an die umzusetzenden Risikomanagementmaßnahmen sind für beide Kategorien identisch. | Die Anforderungen an die umzusetzenden Risikomanagementmaßnahmen sind für beide Kategorien identisch. |
Diese Unterscheidung sorgt dafür, dass die staatliche Kontrolle sich auf die kritischsten Sektoren konzentriert, während alle betroffenen Unternehmen das gleiche hohe Sicherheitsniveau erreichen müssen.
Was bedeutet das für die Praxis?
Die NIS-2-Richtlinie ist mehr als nur ein Update; sie ist ein fundamentaler Wandel in der Herangehensweise an Cybersicherheit in Europa. Für Einsteiger lassen sich die wichtigsten Punkte wie folgt zusammenfassen:
Erweiterter Geltungsbereich: Cybersicherheit wird für einen viel größeren Teil der Wirtschaft zur gesetzlichen Pflicht. Tausende Unternehmen müssen sich nun erstmals systematisch mit ihrem Risikomanagement auseinandersetzen.
Proaktives Handeln gefordert: Obwohl sich die Umsetzung in nationales Recht verzögert, ist das Warten auf die nationale Gesetzgebung keine Option. Die Komplexität der Anforderungen erfordert eine sofortige Auseinandersetzung mit der Thematik – von der Risikoanalyse über das technische Konzept bis zur Implementierung.
MOGI-Expertise als Ihr Vorsprung: Mit unserer langjährigen Erfahrung in den Bereichen Sicherheitsmanagement, Systemanalyse und Softwarearchitektur helfen wir Ihnen, die komplexen Anforderungen von NIS-2 in eine robuste, praxistaugliche und konforme IT-Lösung zu überführen. Kontaktieren Sie uns jetzt für eine individuelle NIS-2 Readiness-Analyse!
Möchten Sie mehr über NIS2 erfahren?
Kontaktieren Sie uns für eine Erstberatung.