Was bedeutet EU-Richtlinie NIS 2 für Unternehmen?

Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit ist ein Entwurf, der EU-weite Mindeststandards für Cybersicherheit festlegt. Es betrifft rund 30.000 Unternehmen, darunter mittelständische Unternehmen, und erweitert die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Auswirkungen auf mittelständische Unternehmen:

  • Das Gesetz bringt neue Cybersicherheitsregulierungen mit sich, die für mittelständische Unternehmen verpflichtend sind.
  • Unternehmen werden je nach Größe und Relevanz als „besonders wichtige Einrichtungen“, „wichtige Einrichtungen“ oder Betreiber kritischer Anlagen (KRITIS) eingestuft.
  • Mittelständische Unternehmen müssen spezifische Sicherheitsmaßnahmen ergreifen, wie Risikomanagement, Vorfallsmeldungen, technische Maßnahmen und Governance.
  • Unternehmen müssen ihre IT-Systeme und -Infrastrukturen an die neuen Sicherheitsanforderungen anpassen.
  • Es besteht die Pflicht zur Meldung von Sicherheitsvorfällen und zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen.
  • Die staatliche Aufsicht wird durch Registrierungspflichten, Nachweise, Meldepflichten und Informationsaustausch verstärkt.
  • Sanktionen bei Nichteinhaltung werden ausgebaut, mit Bußgeldern, die bis zu 20 Millionen EUR betragen können.
  • Geschäftsführer können persönlich für die Umsetzung und Genehmigung der Sicherheitsmaßnahmen haftbar gemacht werden.

Die NIS2-Umsetzung führt zu einer erheblichen Erweiterung der bestehenden KRITIS-Regulierung und betrifft Unternehmen durch ein gestuftes System von Pflichten, abhängig von ihrer Größe und Relevanz. Es gab mehrere Versionen des Entwurfs mit Anpassungen, um verschiedene Sektoren angemessen zu berücksichtigen. Das Ziel ist eine verbesserte Cybersicherheit in der EU durch die Einhaltung von Mindeststandards für Netzwerk- und Informationssysteme.

Wer ist betroffen?

Über den Autor

Alexander Jägers ist geschäftsführender Gesellschafter der vimopro GmbH und insbesondere in den Fachbereichen IT-Security, -Strategie und -Management tätig. Darüber hinaus ist er in IT-Sicherheitskonzepten für mittelständische Unternehmen involviert und arbeitet an Fachveröffentlichungen im Bereich digitaler Transformation.
Nach oben