NIS-2: Wie Unternehmen die neue EU-Richtlinie als Chance nutzen

NIS steht dabei für „Network and Information Security“. Hauptziel ist es, ein einheitlich hohes Sicherheitsniveau in allen EU-Ländern zu erreichen und damit Gesellschaft und Wirtschaft vor immer häufiger auftretenden Cyberangriffen zu schützen.

Wer ist von NIS-2 betroffen?

Jedes Unternehmen, das kritische Dienstleistungen erbringt oder eine signifikante gesellschaftliche Bedeutung hat, fällt unter die neuen, strengeren Regeln. Das umfasst sowohl die sogenannten „wesentlichen Einrichtungen“ als auch „wichtige Einrichtungen“.

Wesentliche Einrichtungen sind große Unternehmen, die in Sektoren mit hoher Kritikalität tätig sind. Sie haben mindestens 250 Mitarbeiter, einen Mindestumsatz von 50 Mio. Euro und mehr als 43 Mio. Euro Gesamtvermögen.

Zu den Sektoren mit hoher Kritikalität zählen u. a. Unternehmen aus Energiebranche, dem Beförderungswesen oder der Trink- und Abwasserwirtschaft. Kurzum: Sektoren, die für Gesellschaft und Wirtschaft besonders wichtig sind.

Wichtige Einrichtungen sind mittelgroße Unternehmen, die in Sektoren mit hoher Kritikalität oder in sonstigen kritischen Sektoren tätig sind, mindestens 50 Beschäftigte und entweder einen Umsatz von 10 – 50 Mio. Euro oder Vermögenswerte von bis zu 43 Mio. Euro haben.

Zu den sonstigen kritischen Sektoren zählen u. a. Unternehmen in den Bereichen Warenherstellung, Lebensmittelproduktion und digitale Services.

Was sieht NIS-2 vor?

Die NIS-2-Richtlinie bringt erhebliche Veränderungen und Pflichten mit sich:

• Es entsteht ein Koordinationsnetz zwischen den EU-Mitgliedsstaaten und den länderspezifischen Computer Security Incident Response Teams (CSIRT).
• Die Richtlinie fordert strenge Kontrollen, damit Maßnahmen ordnungsgemäß umgesetzt werden.
• Unternehmen, die die Vorgaben nicht einhalten, erhalten empfindliche Sanktionen. Änderungen bzgl. der Governance bedeuten, dass die Unternehmensleitung persönlich für Verstöße haftet. Die Verantwortung liegt also beim Topmanagement.
• Sicherheitsvorfälle müssen zeitnah gemeldet werden.
• Compliance: Es müssen Nachweise zur Erfüllung der NIS-2-Richtlinien erbracht werden.
• Meldepflichten: Sicherheitsvorfälle müssen an die zuständigen Behörden gemeldet werden.
• Informationsaustausch: Sicherheitslücken müssen offengelegt und Informationen auf EU-Ebene ausgetauscht werden.

Was muss getan werden?

Besonders multinationale Konzerne mit Standorten in mehreren Ländern müssen ein einheitliches Sicherheitskonzept entwickeln, das den jeweiligen nationalen Anforderungen entspricht. Wichtig ist es, das Topmanagement frühzeitig einzubinden und in Ressourcen, Technologie und Wissen zu investieren.

Damit können Unternehmen umfassende Maßnahmen ergreifen, z. B. Gap-Analysen sowie Identifikation, Priorisierung und Umsetzung von Compliance-Maßnahmen. Konkrete Maßnahmen sind beispielsweise:

• Risk Management: Ethisches Hacking und Penetrationstests identifizieren Sicherheitslücken, bevor sie zum Problem werden.
• Absicherung der digitalen Transformation: Cloud Security, Zero Trust Architektur.
• Frühzeitige Erkennung von Risiken: Proaktive Ansätze zur Identifikation von Sicherheitsproblemen, bevor diese sich negativ auswirken.
• Effiziente Automatisierung: Schnellere Reaktionszeiten und Kosteneffizienz.
• Einführung eines Informationssicherheits-Managementsystems (ISMS) zur langfristigen Sicherung der Unternehmensnetzwerke.
• Frühwarnsysteme zur Erkennung von Cyberangriffen und entsprechende Reaktionspläne.
• Datensicherheitsmaßnahmen wie die Verschlüsselung sensibler Informationen und regelmäßige Audits der Sicherheitsarchitektur.

NIS-2 als Chance

Die NIS-2-Richtlinie erhöht die Anforderungen an Unternehmen, die in kritischen Sektoren tätig sind. Viele stehen hier vor größeren Herausforderungen. NIS-2 bringt aber einheitliche Cybersicherheitsstandards quer durch Europa – ein immens wichtiger Fortschritt und eine Quelle für Innovation.

Denn Cybersecurity muss nicht in erster Linie Risiko und Kosten bedeuten. Vielmehr ist eine vertrauenswürdige und zuverlässige digitale Basis eine treibende Kraft hinter notwendigen Veränderungen, denen Unternehmen sich derzeit gegenübersehen.

Der Schlüssel sind End-to-End-Lösungen, die eine Kombination ermöglichen aus geschäftsorientiertem Ansatz, spezifischem Branchenwissen, und modernster Technologie. Unser Cybersecurity-Team bietet genau das: Ein globales Netzwerk an qualifizierten Expert*innen, die Cybersecurity von Ende zu Ende denken und auf kundenspezifische Bedürfnisse maßschneidern. Wie können Unternehmen NIS-2 als Chance begreifen? Wir freuen uns, mit Ihnen zu diskutieren.