Die NIS-2-Richtlinie und ihre Umsetzung in Deutschland – Relevanz, Anforderungen und pragmatische Lösungen

Betroffenheitsanalyse: Wer fällt unter die NIS-2-Richtlinie?

Die NIS-2-Richtlinie erweitert den Kreis der betroffenen Unternehmen erheblich im Vergleich zur Vorgängerversion. Zu beachten ist, dass eine Klassifizierung der Unternehmen in wichtige und besonders wichtige Einrichtungen vorgenommen wird. Bei besonders wichtigen Einrichtungen ist sowohl die Aufsicht und Stichprobenanzahl als auch die Strafe bei nicht Beachtung der Vorschriften höher.  Nach dieser Einstufung sind Unternehmen, die Waren oder Dienstleistungen in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung oder Weltraum anbieten und die mindestens 250 Mitarbeiter oder einen Jahresumsatz von mehr als 50 Mio. € aufweisen als besonders wichtige Einrichtungen klassifiziert. Des Weiteren gilt dies für Anbieter von Telekommunikationsdiensten mit mindestens 50 Mitarbeitern und qualifizierte Vertrauensdiensteanbieter, TLD Name Registry und DNS-Diensteanbieter. Dagegen werden Unternehmen die Waren und Dienstleistungen in den Sektoren Post- und Kurierdienste, Abfallbewirtschaftung, chemische Stoffe, Lebensmittel, verarbeitendes Gewerbe von Waren, digitale Dienste oder Forschung anbieten und mindestens 50 Mitarbeiter oder einen Jahresumsatz von mehr als 10 Mio. € aufweisen, ebenso wie nicht- qualifizierte Vertrauensdiensteanbieter, als wichtige Einrichtungen klassifiziert.

Eine Betroffenheitsanalyse ist für Unternehmen der erste Schritt, um zu klären, ob sie den Anforderungen der NIS-2-Richtlinie unterliegen. Hierbei sollten Unternehmen zunächst prüfen, ob ihre Branche in den entsprechenden Leitlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) aufgeführt ist. Anschließend gilt es, die Größe und Bedeutung des Unternehmens in Bezug auf die Abhängigkeiten anderer Akteure zu analysieren. Hilfreich ist dabei, bestehende Informationen aus dem eigenen Risikomanagementsystem zu nutzen.

Anforderungen der NIS-2-Richtlinie und ihre Umsetzung

Unternehmen, die als betroffen eingestuft werden, müssen eine Vielzahl von Maßnahmen umsetzen, um die gesetzlichen Anforderungen zu erfüllen. Der Kern liegt im Aufbau eines umfassenden Risikomanagements für Cyberbedrohungen. Dies beinhaltet sowohl technische als auch organisatorische Maßnahmen. Unternehmen müssen sicherstellen, dass ihre IT-Systeme gegen Angriffe abgesichert sind, etwa durch Zugriffskontrollen, regelmäßige Updates und Netzwerküberwachung. Ebenso wichtig sind Prozesse zur Erkennung und Meldung von Sicherheitsvorfällen. Hierfür fordert die Richtlinie klare Meldewege, die sicherstellen, dass Vorfälle innerhalb von 24 Stunden nach erkennen des Sicherheitsvorfalls dem BSI gemeldet werden.

Darüber hinaus verlangt die Richtlinie, dass Unternehmen regelmäßige Überprüfungen ihrer Sicherheitsmaßnahmen durchführen und diese gegebenenfalls anpassen. Auch Schulungen der Mitarbeitenden sind vorgeschrieben, um das Sicherheitsbewusstsein im gesamten Unternehmen zu erhöhen. Dabei gilt: Die Verantwortung für die Einhaltung der Richtlinie liegt ausdrücklich bei der Geschäftsleitung. Geschäftsführer und Vorstände sind dazu verpflichtet, geeignete Maßnahmen zu ergreifen und deren Wirksamkeit zu überwachen. Bei Verstößen drohen Bußgelder von 100.000 € bis zu 10 Mio. € und persönliche Haftungsrisiken für die Geschäftsführung.

Synergien mit bestehenden Regelungen und Zertifizierungen

Die NIS-2-Richtlinie steht nicht isoliert, sondern ergänzt bestehende Regulierungen im Bereich der Cybersicherheit. Unternehmen, die bereits Anforderungen des KRITIS-Dachgesetzes oder des Cybersecurity Acts erfüllen, können Synergien nutzen, um doppelte Arbeit zu vermeiden. Auch der Cyber Resilience Act (CRA), der höhere Sicherheitsstandards für digitale Produkte fordert, spielt in diesem Zusammenhang eine Rolle.

Ein besonders effektiver Weg, die Anforderungen der NIS-2-Richtlinie zu erfüllen, ist die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001. Diese international anerkannte Norm bietet einen strukturierten Rahmen für die Umsetzung der erforderlichen Maßnahmen.

Steigende Anforderungen von Kundenseite

Nicht nur gesetzliche Vorgaben, sondern auch Kunden erwarten zunehmend hohe IT-Sicherheitsstandards. Dies gilt insbesondere für internationale Geschäftspartner, die oft eine ISO/IEC 27001-Zertifizierung als Voraussetzung für eine Zusammenarbeit verlangen. Unternehmen, die proaktiv in ihre Cybersicherheit investieren, profitieren nicht nur von einer besseren Compliance, sondern auch von Wettbewerbsvorteilen. Ein robustes Sicherheitsmanagementsystem erhöht das Vertrauen in die Stabilität und Verlässlichkeit des Unternehmens.

Pragmatische Ansätze für die Umsetzung

Die Umsetzung der NIS-2-Richtlinie stellt insbesondere mittelständische Unternehmen vor Herausforderungen, da diese oft über begrenzte Ressourcen verfügen. Ein pragmatischer Ansatz ist daher entscheidend, um die Anforderungen effizient zu erfüllen, ohne unnötigen Verwaltungsaufwand zu erzeugen.

Ein guter Ausgangspunkt ist die Betroffenheitsanalyse, die eine realistische Einschätzung darüber liefert, ob und in welchem Umfang die Richtlinie auf das Unternehmen zutrifft. Anschließend sollten Unternehmen schrittweise vorgehen und zunächst die kritischsten Bereiche angehen. Dies können zum Beispiel der Aufbau klarer Meldeprozesse und die Schulung der Mitarbeitenden sein. Auch der Einsatz externer Berater oder die Nutzung von Managed Services kann helfen, den internen Aufwand zu reduzieren.

Technische Sicherheitsmaßnahmen wie Firewalls, Verschlüsselung und Zugriffskontrollen lassen sich häufig durch standardisierte Lösungen effizient umsetzen. Gleichzeitig sollten organisatorische Maßnahmen wie die Einführung eines ISMS und die klare Zuweisung von Verantwortlichkeiten nicht vernachlässigt werden. Unternehmen, die bereits mit Standards wie ISO 27001 arbeiten, können bestehende Strukturen nutzen und diese an die Anforderungen der NIS-2-Richtlinie anpassen.

Fazit

Die NIS-2-Richtlinie bringt erhebliche Veränderungen mit sich, die vor allem den Mittelstand betreffen. Unternehmen sind gefordert, ihre Cybersicherheitsmaßnahmen zu überprüfen und zu professionalisieren. Eine klare Betroffenheitsanalyse und die Nutzung bestehender Standards wie ISO/IEC 27001 können dabei helfen, die Anforderungen effizient umzusetzen. Gleichzeitig stärken diese Maßnahmen das Vertrauen von Kunden und Partnern und erhöhen die Resilienz des Unternehmens gegenüber Cyberangriffen.

Es ist ratsam, frühzeitig mit der Umsetzung zu beginnen, um den gesetzlichen Anforderungen gerecht zu werden und mögliche Haftungsrisiken zu vermeiden. Unternehmen, die proaktiv handeln, profitieren nicht nur von einer besseren Compliance, sondern auch von langfristigen Wettbewerbsvorteilen in einem zunehmend digitalisierten Umfeld.

‍