NIS2: Das müssen Sie als IT-Dienstleister wissen
Ende 2022 wurde die zweite „Network and Information Security Directive“ (kurz „NIS2“) im Amtsblatt der Europäischen Union veröffentlicht. Sie soll die europäische Wirtschaft widerstandsfähiger gegen Cyberangriffe machen. Knapp 30.000 Unternehmen fallen in Deutschland unter die Richtlinie, darunter viele mittelständische Betriebe.
Wer ist betroffen?
Grundsätzlich gilt NIS2 für zwei Arten von Organisationen:
⊲ Wesentliche Einrichtungen: Unternehmen mit hoher Kritikalität, z. B. Energie- und Wasserversorger. Aber auch Anbieter verwalteter (Sicherheits-)Dienste – also MSPs oder MSSPs – können darunter fallen.
⊲ Wichtige Einrichtungen: Hierzu zählen z. B. die Lebensmittelbranche, die pharmazeutische und chemische Industrie sowie bestimmte Bereiche des verarbeitenden Gewerbes.
Zusätzlich muss ein Unternehmen diese Schwellenwerte überschreiten, um unter NIS2 zu fallen:
⊲ Wesentliche Einrichtungen: Mitarbeiterzahl ≥ 250 ODER Jahresumsatz ≥ 50 Mio. € bzw. Bilanzsumme ≥ 43 Mio. €
⊲ Wichtige Einrichtungen: Mitarbeiterzahl ≥ 50 ODER Jahresumsatz bzw. Bilanzsumme ≥ 10 Mio. €
Aber Achtung: Es können Sonderregelungen gelten – z. B. dann, wenn sogenannte „qualifizierende Faktoren“ vorliegen. Eine rechtliche Einzelfallbewertung ist daher zwingend nötig.
Tipp: Eine erste Einschätzung, ob Sie oder Ihre Kunden von NIS2 betroffen sind, können Sie mit dem kostenlosen Quick-Check des renommierten Rechtswissenschaftlers Prof. Dr. Dennis-Kenji Kipker vornehmen.
Was muss ich tun?
Betroffene Unternehmen sind verpflichtet, „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ zu ergreifen. Diese sollen den Stand der Technik sowie die Bedrohungslage berücksichtigen.
Konkret schreibt NIS2 Folgendes vor:
⊲ Risikoanalyse und Konzepte für die Sicherheit von Informationssystemen
⊲ Bewältigung von Sicherheitsvorfällen
⊲ Aufrechterhaltung des Betriebs (Backup-, Wiederherstellungs- und Krisenmanagement)
⊲ Sicherheit der Lieferkette
⊲ Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Informationssystemen
⊲ Bewertung der Wirksamkeit des Risikomanagements
⊲ Cyberhygiene und Cybersicherheits-Schulungen
⊲ Verschlüsselung
⊲ Sicherheit des Personals sowie Zugriffskontrolle und Anlagen-Management
⊲ Multi-Faktor-Authentifizierung sowie gesicherte Sprach-, Video-, Text- und Notfallkommunikation
Bis wann?
EU-Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland wurde hierzu am 24. Juli der Regierungsentwurf des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) vom Kabinett beschlossen.
Was droht bei Nichteinhaltung?
Bei Verstößen gegen NIS2 können u. a. folgende Bußgelder verhängt werden, wobei der jeweils höhere Betrag gilt:
⊲ Wesentliche Einrichtungen: 10 Mio. € ODER 2 % des weltweiten Jahresumsatzes
⊲ Wichtige Einrichtungen: 7 Mio. € ODER 1,4 % des weltweiten Jahresumsatzes
Was sollte ich also tun?
Falls Sie oder Ihre Kunden unter NIS2 fallen, sollten Sie Folgendes tun:
⊲ Nehmen Sie fachliche Beratung in Anspruch, bspw. von auf IT-Sicherheitsrecht spezialisierten Anwaltskanzleien.
⊲ Führen Sie bei betroffenen Kunden eine Risikoanalyse durch – der CyberRisikoCheck bietet hierfür einen guten Ansatzpunkt.
⊲ Sehen Sie sich die Informationsseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) an
In der 9. Podcast-Folge von „Goodbye Turnschuh-IT “ haben wir Prof. Kipker ausführlich zur NIS2-Richtlinie und ihren Anforderungen interviewt.
Jetzt reinhören
Wie (umfangreich) unterstützt mich Elovade?
Auf unserer Themenseite finden Sie alles, was Sie zu NIS2 wissen müssen:
⊲ Dort ist u. a. unser Whitepaper mit Lösungsmatrix verlinkt, das zeigt, wie unser SoftwarePortfolio bei der Umsetzung der Richtlinie helfen kann.
⊲ Für unsere Hersteller Cortex Kaspersky, N-able und OpenText Cybersecurity haben wir sowohl Leitfäden erstellt, die zeigen, wie die Lösungen bei der NIS2-Umsetzung helfen können, als auch anpassbare Mailingvorlagen, mit denen Sie Ihre Kunden auf die Thematik aufmerksam machen. Letztere finden Sie in unserem Partnerportal unter „VAD-Services“ ▶ „Vertriebsunterstützung“ ▶ „Mailingvorlagen“.
⊲ Zudem finden Sie auf unserer Themenseite auch die Videoserie mit Prof. Kipker sowie die dazugehörige Podcast-Folge
Sie haben noch Fragen dazu, wie wir Sie bei NIS2 unterstützen? Nehmen Sie jetzt Kontakt zu uns auf!
sales@elovade.com
+49 6441 67118-838
www.elovade.com/nis2
In unserer dreiteiligen Videoserie gibt Prof. Kipker einen Überblick über die Richtlinie und erklärt, warum Systemhäuser jetzt handeln sollten.