Mehr Unternehmen betroffen
Die wichtigste Änderung betrifft den Kreis der Unternehmen, die NIS-2 anwenden müssen. Die Vorgänger-Verordnung KRITIS betraf nur große Unternehmen aus wenigen Bereichen. Nun gilt NIS-2 für sehr viele Firmen aus einer ganzen Reihe von Branchen. „In Deutschland wirkte die KRITIS-Gesetzgebung bislang insbesondere auf größere Institutionen. Mit NIS-2 wird Cybersicherheit und -resilienz nun auch für die breite Masse der Unternehmen in Europa und damit auch in Deutschland zum Top-Thema“, sagt André Glenzer, Partner bei PwC Deutschland.
Unternehmen, die von NIS2-Richtlinien betroffen sind, unterteilt die EU in die Kategorien:
-
Kategorie „essential“ – wesentliche Organisationen
Zur Gruppe der wesentlichen Organisationen zählt die EU Betriebe mit wichtiger Bedeutung für das Gemeinwesen. NIS2 nennt hier elf Bereiche, darunter Energie- und Wasserversorgung, Transport, Finanz- und Bankwesen, Gesundheit und öffentliche Verwaltung.
-
Kategorie „important“ – wichtige Organisationen
Zu den wichtigen Organisationen zählt die EU sieben Branchen: Post- und Kurierdienste, Abfall, Lebensmittel, Chemikalien, digitale Dienste (etwa für Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke), Industrie (unter anderem Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräten) sowie Forschung.
Zusätzlich müssen sie mindestens 50 Beschäftigte haben und einem Jahresumsatz von mehr als zehn Millionen Euro. Laut Schätzungen treffen all diese Kriterien auf 25.000 bis 40.000 Unternehmen in Deutschland zu.
Was Geschäftsführungen jetzt tun müssen
Unternehmen sollten sich zunächst damit beschäftigen, ob sie von NIS-2 betroffen sind. Die Anhänge der Verordnung nennen Branchen, Sektoren und Tätigkeitsbereiche. Wenn sie der NIS-2-Pflicht unterliegen, müssen sie sich in Deutschland beim Bundesamt für Sicherheit in der Informationstechnik (BSI) unter Angabe einer Kontaktstelle melden.
Im nächsten Schritt müssen Unternehmen Meldewege zur nationalen Behörde einrichten, über die sie relevante Sicherheitsvorfälle melden. Die Richtlinie sieht unterschiedliche Fristen für die Meldung von IT-Attacken vor: Eine Frühwarnung innerhalb von 24 Stunden ab Kenntnis, einen ausführlichen Bericht innerhalb von 72 Stunden ab Kenntnis und einen Fortschritts- und Abschlussbericht einen Monat nach der ersten Meldung.
Zudem müssen Unternehmen „angemessene“ Aktivitäten zur Informationssicherheit implementieren. Das Ziel: Die Folgen von Cyberangriffen so gering wie möglich zu halten. Jedes Unternehmen entscheidet selbst, wie es das in der Praxis umsetzt. Die Richtlinie nennt lediglich Bausteine, wie die Entwicklung von Konzepten zur Risikoanalyse, Backup-Management und Wiederherstellung, Krisenmanagement oder jederzeit sichere Sprach-, Video- und Text-Kommunikation.
Bei Verstößen drohen hohe Strafen
Die Richtlinie erweitert die Verantwortung der Geschäftsleitung. Sie müssen an Schulungen teilnehmen, um die Informationssicherheit des Unternehmens zu ermöglichen. Zudem haften sie für Verstöße. Bei „besonders wichtigen Einrichtungen“ können die Aufsichtsbehörden eine Strafe in Höhe von zehn Millionen Euro oder zwei Prozent des globalen Umsatzes des vergangenen Geschäftsjahres verhängen. Bei „wichtigen Einrichtungen“ sind Strafen von sieben Millionen oder 1,4 Prozent des globalen Umsatzes möglich.
Mit dem größeren Kreis von Anwendern stehen jetzt vor allem viele mittelständische Unternehmen unter Handlungsdruck. Auf der einen Seite bedeutet das eine weitere Belastung. Auf der anderen Seite bringt die Umsetzung der Richtlinie eine höhere IT-Sicherheit mit sich. Damit werden Unternehmen resilienter gegen die wachsende Cyberkriminalität.
