BPG BPG Beratungs- und Prüfungsgesellschaft mbH
Zurück zu den News
Cybersecurity

NIS2-Richtlinie – Überblick und Status Quo

IT

Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (NIS = Network and Information Security) ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie der Europäischen Union, 2016 in Kraft trat. Ziel der NIS2 ist es, die Cybersicherheit in der EU weiter zu stärken, die Abwehrfähigkeit gegen Cyberangriffe zu verbessern und die Widerstandsfähigkeit kritischer Infrastrukturen zu erhöhen. Die NIS-2-Richtlinie wurde am 27. Dezember 2022 veröffentlicht und trat am 16. Januar 2023 in Kraft.

Die digitale Transformation bringt zahlreiche Vorteile, erhöht jedoch gleichzeitig die Anfälligkeit für Cyberbedrohungen. Angriffe auf kritische Infrastrukturen, wie Energieversorgung, Gesundheitswesen und Transport, können schwerwiegende Folgen für die Gesellschaft und die Wirtschaft haben. Daher wurde die NIS2-Richtlinie entwickelt, um einen robusteren und kohärenteren Ansatz zur Cybersicherheit innerhalb der EU zu gewährleisten.

Für wen gilt NIS2?
Bis Oktober 2024 müssen alle Länder der Europäischen Union die Regelungen in die nationale Gesetzgebung einbringen. Zudem sind ab Oktober 2024 alle Unternehmen aus 18 definierten Sektoren mit mindestens 50 Mitarbeitern und 10 Mio. € Umsatz dazu verpflichtet NIS2 umzusetzen.

Betroffene Sektoren in Deutschland sind sogenannte Betreiber kritischer Infrastrukturen (auch „KRITIS“), die bereits jetzt durch das IT-Sicherheitsgesetz 2.0 gesetzlich verpflichtet sind, ab bestimmten Schwellenwerten Maßnahmen zur Informationssicherheit zu ergreifen. Jedoch liegen viele kommunale Versorger unterhalb der Schwellenwerte, weshalb NIS2 nun bestehende Sektoren erweiterte und weitere hinzufügt:

Sektoren mit hoher Kritikalität
•    Energie
•    Transport
•    Bankwesen
•    Finanzmärkte
•    Gesundheit
•    Trinkwasser
•    Abwasser
•    Digitale Infrastruktur
•    IT/ICT Dienste (B2B)
•    Öffentliche Verwaltung
•    Weltraum

Sonstige kritische Sektoren
•    Post- und Kurierdienste
•    Abfallwirtschaft
•    Chemikalien
•    Lebensmittel
•    Industrie (z. B. Maschinenbau)
•    Digitale Dienste
•    Forschung

Wesentliche Neuerungen der NIS2

  1. Erweiterter Anwendungsbereich: Die Richtlinie umfasst mehr Sektoren als ihr Vorgänger, zudem wurde die Schwelle für die Einstufung als „wesentlicher Dienst“ gesenkt, sodass mehr Unternehmen und Organisationen unter die Richtlinie fallen.

  2. Verstärkte Zusammenarbeit und Koordination: Es wird eine engere Zusammenarbeit zwischen den Mitgliedstaaten und der EU-Agentur für Cybersicherheit (ENISA) gefordert. Gemeinsame Cybersicherheitsübungen und der Austausch bewährter Verfahren sollen gefördert werden.

  3. Verpflichtungen für Unternehmen: Unternehmen werden verpflichtet verstärkte Sicherheitsanforderungen zu erfüllen, einschließlich der Einführung von Risikomanagementmaßnahmen und der spezifischen Fristen für die Meldung von Cybervorfällen, um schnellere Reaktionen zu ermöglichen.

  4. Sanktionen: Die Richtlinie sieht härtere Strafen für Verstöße vor, einschließlich hoher Geldstrafen, um die Einhaltung zu gewährleisten. Zudem erhalten nationale Behörden erweiterte Befugnisse zur Durchsetzung der Richtlinie.

Wie ist der Status Quo in Deutschland?
Derzeit wird daran gearbeitet die Richtlinie in die nationale Gesetzgebung zu integrieren. Das Gesetz, das hierzu entsteht, nennt sich „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG). Trotz des Referentenentwurfs und der Anhörung rechnet das Land damit, dass das finale Gesetz nicht fristgerecht bis Oktober 2024 verabschiedet werden wird. Auch andere EU-Länder haben angekündigt, die Frist nicht einhalten zu können.

Was können betroffene Unternehmen bereits heute tun?
Trotz des noch fehlenden Gesetzes können betroffene Unternehmen bereits heute anhand der Richtlinie wichtige Maßnahmen ableiten. Da der Umsetzungsprozess komplex ist, empfiehlt es sich, schnellstmöglich mit der Planung und Umsetzung zu beginnen, um nach Verabschiedung des Gesetzes gut aufgestellt zu sein und Sanktionen zu vermeiden.

Wir können Ihnen bei der Prüfung oder Umsetzung der NIS2-Richtlinie in Ihrem Unternehmen mit fachkundigen Beratern helfen. Sprechen Sie uns einfach an:

Crowe BPG Beratungs- und Prüfungsgesellschaft mbH
Christian Maruhn
Telefon: 02151 508 400
E-Mail: maruhn@crowe-bpg.de

Autoren

Christian Maruhn

Weitere interessante Themen

IT

Die E-Rechnungspflicht im B2B-Bereich – Einführung und Bedeutung für den Mittelstand

In einer sich rasant digitalisierenden Welt steht der Mittelstand vor der Herausforderung, sich kontinuierlich anzupassen und zu modernisieren. Ein zentrales Element dieser Transformation ist die E-Rechnung. 
IT

IT emergencies and countermeasures

What would be the impact of a prolonged power outage, a hacker attack or a ransomware attack? IT emergencies can occur at any time but only few companies are aware of their significant effects on daily operations.
Wirtschaftsprüfung

The Power of Data Analytics

Data analytics are becoming increasingly important in our profession. As the volume and complexity of data generated by businesses continues to grow, auditors need to have the ability to efficiently and effectively analyze large amounts of data to identify potential risks and uncover insights.
Crowe Global, Crowe BPG

Our network: Excellence beyond borders

As of July 2020, Crowe BPG is a member of the Crowe Global network. This not only opens benefits for us, but also our clients – due to our Crowe membership, we have access to experts in all major countries all over the world.
Advisory

Crowe berät Ethypharm beim Erwerb des Argatroban-Geschäfts von der Mitsubishi Tanabe Pharma Corporation, einem Unternehmen der Mitsubishi Chemical Group

Ethypharm hat mit der Mitsubishi Tanabe Pharma Corporation (MTPC), ein Unternehmen der Mitsubishi Chemical Group, eine Vereinbarung zum Erwerb ...
Cookie-Einstellungen