Aktuell

NIS 2-Richtlinie verschärft – besteht auch für Sie Handlungsbedarf?

Die Cy­ber­kri­mi­na­li­tät ist in­ter­na­tio­nal wie na­tio­nal an­hal­tend hoch und gilt als ei­nes der grö­ß­ten Ge­schäfts­ri­si­ken. Das be­stä­tigt die sehr be­trächt­li­che An­zahl (9 von 10 Be­trie­ben) be­trof­fe­ner Un­ter­neh­men.

Hamburg, 29.04.2024 – Aus die­sem Grund hat die EU mit der Richt­li­nie NIS 2 die An­for­de­run­gen an die IT-Si­cher­heit eben­so ver­schärft wie die per­sön­li­che Haf­tung des Ma­nage­ments. Für die Um­set­zung bleibt nicht mehr viel Zeit.


Inhalt der NIS-Richtlinie

Die ur­sprüng­li­che NIS-Richt­li­nie mit dem Haupt­ziel, Eu­ro­pas Wi­der­stands­fä­hig­keit ge­gen Cy­ber­kri­mi­na­li­tät zu stär­ken und die Re­ak­ti­ons­fä­hig­keit zu ver­bes­sern, wur­de be­reits 2016 ver­ab­schie­det und muss­te bis Mai 2018 von al­len EU-Mit­glied­staa­ten in na­tio­na­les Recht um­ge­setzt wer­den. Die NIS 2-Richt­li­nie wur­de En­de 2022 erst­mals ver­öf­fent­licht und ist im Ja­nu­ar 2023 in Kraft ge­tre­ten. Sie ist noch nicht in deut­sches Recht um­ge­setzt, und bei di­ver­sen Punk­ten gibt es Dis­kus­si­ons­be­darf. Bis zum 17.10.2024 muss die Richt­li­nie al­ler­dings ra­ti­fi­ziert sein, so­dass die be­trof­fe­nen Un­ter­neh­men ab 18. Ok­to­ber zur An­wen­dung ver­pflich­tet sein wer­den.

Wir behalten den weiteren Verlauf im Blick und informieren Sie über mögliche Veränderungen.
 

Für wen besteht Handlungsbedarf?

Ge­nau in die­ser Fra­ge liegt ei­nes der Haupt­pro­ble­me, denn durch die Ver­schär­fung der Richt­li­nie hat sich die Band­brei­te und An­zahl der be­trof­fe­nen Un­ter­neh­men im­mens er­höht. NIS 1 wand­te sich zu­nächst an Be­trei­ber kri­ti­scher In­fra­struk­tu­ren (KRI­TIS), z. B. Un­ter­neh­men der En­er­gie­ver­sor­gung, Ge­sund­heit und Trans­port. Schät­zun­gen zu­fol­ge müs­sen durch die­se Aus­wei­tung nun rund 30.000 zu­sätz­li­che Be­trie­be in Deutsch­land den An­for­de­run­gen ent­spre­chen, für die ur­sprüng­lich kein Hand­lungs­be­darf be­stand. Da­zu zäh­len bei­spiels­wei­se Zu­lie­fe­rer in di­ver­sen Bran­chen. Hin­zu kommt ei­ne deut­li­che Her­ab­set­zung der Mit­ar­bei­ter­zahl und des Jah­res­um­sat­zes der be­trof­fe­nen Un­ter­neh­men.

In vie­len Fäl­len be­darf es ei­ner fach­ge­rech­ten Prü­fung, um fest­zu­stel­len, in­wie­weit der ei­ge­ne Be­trieb da­zu­zählt, denn nicht im­mer ist die­se Ein­schät­zung ein­deu­tig. So kön­nen bei­spiels­wei­se Her­stel­ler von Ni­schen­pro­duk­ten in ei­nem der nun re­le­van­ten Sek­to­ren in­be­grif­fen sein, wenn der Um­satz die neue Gren­ze von 10 Mil­lio­nen Eu­ro über­steigt.

Es be­steht jetzt Hand­lungs­be­darf! Prü­fen Sie, ob Ihr Un­ter­neh­men be­trof­fen ist, um im Be­darfs­fall recht­zei­tig die ge­for­der­ten Maß­nah­men bis zum Ok­to­ber die­ses Jah­res in Gang zu set­zen.
 

Welche Maßnahmen müssen ergriffen werden?

Unternehmen, die von NIS 2 betroffen sind, müssen umfangreiche Schutzvorgaben erfüllen. Dazu zählen in erste Linie folgende Maßnahmen:

  • Konzepte der Risikobewertung, Risikoanalyse und Informationssicherheit
  • Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
  • Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle (z. B. EDR, XDR, SIEM, SOC)
  • Backup-Management und Wiederherstellung, Krisenmanagement (z. B. BCM, Notfallplan, 3-2-1 Backup-Strategie)
  • Sicherheit in der Lieferkette (z. B. Absicherung der Fern-/Fremdzugriffe)
  • Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme
  • Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
  • Cyberhygiene (z. B. Updates), Schulungen, Tests und Phishing-Simulationen in der Cyber Security
  • Einsatz von Kryptografie und Verschlüsselung
  • Personalsicherheit, Zugriffskontrolle und Asset Management
  • Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
  • sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall

Ge­ra­de für klei­ne­re und mitt­le­re Be­triebs­grö­ßen kann die­ses Maß­nah­men­pa­ket pro­ble­ma­tisch sein. Wer in­hou­se nicht über die ent­spre­chen­de IT-Ex­per­ti­se ver­fügt, muss per­so­nell ge­zielt auf­sto­cken be­zie­hungs­wei­se ex­ter­ne Dienst­leis­ter in An­spruch neh­men, um die ge­for­der­ten Maß­nah­men in der vor­ge­ge­be­nen Zeit er­fül­len zu kön­nen.

Wichtig: Künf­tig muss ein Cy­ber-Scha­den der be­trof­fe­nen Un­ter­neh­men di­rekt dem Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) ge­mel­det wer­den, in­ner­halb von 24 Stun­den mit ei­nem vor­läu­fi­gen Be­richt, in­ner­halb von 72 Stun­den mit ei­nem voll­stän­di­gen Be­richt samt ei­ner Be­wer­tung und spä­tes­tens nach ei­nem Mo­nat mit ei­nem aus­führ­li­chen Ab­schluss­be­richt - so der ak­tu­el­le Stand.
 

Cybersicherheit wird künftig zur Chefsache

Ge­schäfts­füh­rer, Vor­stän­de und Auf­sichts­rä­te haf­ten schon jetzt mit ih­rem Pri­vat­ver­mö­gen im Fal­le von vor­sätz­li­chen oder fahr­läs­si­gen Pflicht­ver­let­zun­gen. Die­se Haf­tung wird im ak­tu­el­len Ge­set­zes­ent­wurf nun deut­lich prä­zi­siert: Die Ge­schäfts­lei­ter sind ver­pflich­tet, die ge­for­der­ten Maß­nah­men zu bil­li­gen und zu über­wa­chen. Au­ßer­dem müs­sen sie re­gel­mä­ßig an Schu­lun­gen per­sön­lich teil­neh­men und ei­ne Teil­nah­me auch wei­te­ren Mit­ar­bei­tern an­bie­ten. Die Haf­tung nach NIS 2 be­zieht sich auf al­le "Lei­tungs­or­ga­ne", wo­bei noch un­klar ist, wer hier­un­ter zu sub­su­mie­ren ist.

Neu ist: Ein Ver­zicht der Ein­rich­tung auf Er­satz­an­sprü­che auf­grund ei­ner Ver­let­zung der Pflich­ten oder ein Ver­gleich zwi­schen Un­ter­neh­men und Leis­tungs­or­gan über die­se An­sprüch ist un­wirk­sam.
 

Hohe Geldbußen drohen

Bei Ver­stö­ßen dro­hen ho­he Geld­bu­ßen bis zu zwei Pro­zent des welt­wei­ten Um­sat­zes bzw. bis zu ei­ner Hö­he von sie­ben Mil­lio­nen Eu­ro für "we­sent­li­che Ein­rich­tun­gen" und bis 1,4 Pro­zent des welt­wei­ten Um­sat­zes bzw. bis zu ei­ner Hö­he von zehn Mil­lio­nen Eu­ro für "wich­ti­ge Ein­rich­tun­gen".
 

Umsetzung in eigenem Interesse

Auch wenn es ei­nen ho­hen Auf­wand be­deu­tet, soll­te die Um­set­zung der Richt­li­nie im In­ter­es­se al­ler be­tei­lig­ten Sei­ten lie­gen. Nur ei­ne stark aus­ge­präg­te und so­li­de Cy­ber­ab­wehr so­wie ef­fi­zi­en­te Hand­lungs­vor­ga­ben kön­nen lang­fris­tig und dau­er­haft vor gro­ßen wirt­schaft­li­chen Schä­den schüt­zen.
 

Warum die Cyberversicherung nun umso wichtiger ist

Na­tür­lich geht es bei der Ab­si­che­rung durch ei­ne Cy­ber­ver­si­che­rung um die De­ckung des ver­ur­sach­ten Scha­dens, der oft erst spä­ter in sei­ner vol­len Grö­ße sicht­bar wird. Den­noch bie­tet die Cy­ber­ver­si­che­rung – ge­ra­de in Hin­sicht auf die ver­schärf­ten NIS 2-An­for­de­run­gen – noch deut­lich mehr Un­ter­stüt­zung und Si­cher­heit, denn die IT-Fo­ren­sik ist dar­in in­be­grif­fen.

So ste­hen Ih­nen bei ei­nem ent­spre­chen­den Ab­schluss ab dem Mo­ment des Scha­den­ein­tritts um­fas­sen­de As­sis­tan­ce-Dienst­leis­tun­gen für die Hand­lungs­fä­hig­keit im Not­fall zur Ver­fü­gung. Über ei­ne 24/7-Hot­line er­hal­ten Sie Zu­griff auf ein Netz­werk von IT-Ex­per­ten, die Ih­nen auch bei der Um­set­zung ge­nau die­ser nun so ele­men­ta­ren An­for­de­run­gen zur Sei­te ste­hen.

Be­reits der Fra­ge­bo­gen, der im Rah­men des Ab­schlus­ses ei­ner Cy­ber­ver­si­che­rung aus­zu­fül­len ist, kann un­ter Um­stän­den ver­deut­li­chen, wie vie­le Punk­te Sie be­reits er­fül­len oder wo Sie im Rah­men der künf­ti­gen An­for­de­run­gen mög­li­cher­wei­se noch ak­tiv wer­den soll­ten.
 

Die wichtigsten neuen Punkte in der Übersicht

  • Umsetzung bis zum 17.10.2024
  • betrifft: Unternehmen ab 50 Mitarbeitern oder 10 Millionen EUR Jahresumsatz und bestimmter Sektortätigkeit (insgesamt 18 Sektoren, davon elf "wesentliche" und 7 "wichtige", s. Übersicht weiter unten)

Als "wesentliche Unternehmen" gelten:

  • Energie (auch Lieferkette betroffen wie Verkauf, Betreiber, Verteiler, Zulieferer)
  • Luft-, Schienen, Straßen- und Schiffsverkehr
  • Bankwesen/Gesundheitswesen/Digitale Infrastruktur

Als "wichtige Unternehmen" gelten:

  • Hersteller aus den Bereichen Medizin, Computer, Elektronik, Maschinen, Transportmittel etc.)
  • Abfallwirtschaft/Chemische Erzeugnisse/Lebensmittel etc.

Verpflichtend sind folgende Maßnahmen im Bereich des Risikomanagements:

  • Ergreifung von technischen und organisatorischen Maßnahmen (TOM) auf dem aktuellen Stand der Technik zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme etc.
  • grundlegende und ausreichende Schulungen im Bereich der Cybersicherheit für verantwortliche Geschäftsleiter
  • Konzepte in Hinsicht auf Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung

Weitere Pflichten für betroffene Unternehmen und Einrichtungen:

  • Meldepflicht ans BSI: erste Meldung 24 Std. nach Entdeckung / erste Bewertung 72 Std. nach Entdeckung / Abschlussbericht innerhalb eines Monats nach Entdeckung (Cyberversicherungen bieten entsprechende Sachverständige)
  •  Registrierungspflicht (muss spätestens bis 18.10.2024 erfolgt sein)
  • mögliche zusätzliche Nachweispflicht für besonders wichtige Einrichtungen wie ein regelmäßiger Nachweis bzgl. der Einhaltung bestehender IT-Standards

Pflichten für die verantwortlichen Geschäftsleiter:

  • Billigung bzw. Überwachung der zur Einhaltung der Richtlinie ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • Teilnahme an regelmäßigen Schulungen zum Erwerb ausreichender Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die Dienste des jeweiligen Unternehmens


Die genannten 18 Sektoren in der Gesamtübersicht

Sektoren mit hoher Kritikaliät:

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten (B2B)
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe / Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschung


Was GGW für Sie tun kann

Prü­fen Sie zu­nächst, ob Sie zu den Un­ter­neh­men ge­hö­ren, die die NIS 2-Richt­li­nie um­set­zen müs­sen. Ger­ne ste­hen wir Ih­nen da­zu in fol­gen­den Be­rei­chen zur Sei­te:

Sie wol­len ei­ne Cy­ber-Ver­si­che­rung ab­schlie­ßen oder wis­sen, in­wie­weit Ih­re be­ste­hen­de Ver­si­che­rung im Hin­blick auf die NIS 2-An­for­de­run­gen un­ter­stützt?

Für die Ma­na­ger­haf­tung schlie­ßen Un­ter­neh­men re­gel­mä­ßig ei­ne D&O Ver­si­che­rung ab. Die­se kann durch ei­ne per­sön­li­che D&O Ver­si­che­rung er­gänzt wer­den, die der Ma­na­ger selbst ver­ein­bart.

Gern beraten wir Sie individuell und höchst persönlich.
 

Über die GGW Gruppe

Die Gossler, Gobert & Wolters Gruppe (GGW Gruppe) ist einer der großen unabhängigen und inhabergeführten Industrieversicherungsmakler in Deutschland. Als Experte für integriertes Risiko- und Versicherungsmanagement betreuen die rund 290 Mitarbeiter der GGW Gruppe mittelständische Unternehmen aus Industrie, Handel, Gewerbe sowie den rechts- und wirtschaftsberatenden Berufen. Deutschlandweit ist das Beratungshaus an neun Standorten vertreten und berät in Zusammenarbeit mit internationalen Netzwerken Kunden in über 60 Ländern.

Autor: Claudia Runge
Veröffentlicht: 29.04.2024
Share:

Ansprechpartner

Jan Kempermann
Leiter Geschäftsbereich Wirtschaftskriminalität

Mehr zum Thema

Über GGW

GGW Service

Das könnte auch von Interesse sein

GGW Blog

Aktuelles aus unserem Haus

Neue EU-Produktsicherheitsverordnung (GPSR)

Jetzt lesen

Oktoberfest bei GGW Leipzig

Jetzt lesen

GGW Leipzig beim Sommerfest im Ronald McDonald Haus

Jetzt lesen

RWB-Artikelreihe: Artikel 5 – Treuhandschaften für Rechtsanwälte – eine Risikoanalyse

Jetzt lesen

Getreidehändler ist pleite – verlieren Landwirte nun ihr Geld?

Jetzt lesen

Gemeinsam aktiv – GGW beim Firmenlauf Leipzig am Start

Jetzt lesen

Gemeinsam GGW

Jetzt lesen

Zukunftswerkstatt bei GGW Leipzig

Jetzt lesen

CHORal TOTAL – GGW auf dem Bachfest in Leipzig

Jetzt lesen

Aktionstag Lehrstellen – GGW Leipzig war dabei!

Jetzt lesen

Update +++ Gesetz zur Umsetzung der EU-Richtlinie nun final bestätigt

Jetzt lesen

RWB-Artikelreihe: Artikel 4 – Wegweisendes EUGH-Urteil zu DSGVO Schadenersatz bei Cyberschäden

Jetzt lesen
Corona-Störer
  

Aktuelle Information zum Corona-Virus

Wir sind weiter für Sie da!

Jetzt lesen