Wir bitten Sie an dieser Stelle um Ihre Einwilligung für die Nutzung unseres Videodienstes. Nähere Informationen zu allen Diensten finden Sie, wenn Sie die Pfeile rechts aufklappen. Sie können Ihre Einwilligungen jederzeit erteilen oder für die Zukunft widerrufen. Rufen Sie dazu bitte diese Einwilligungsverwaltung über den Link am Ende der Seite erneut auf.
Diese Webseite setzt temporäre Session Cookies. Diese sind technisch notwendig und deshalb nicht abwählbar. Sie dienen ausschließlich dazu, Ihnen die Nutzung der Webseite zu ermöglichen.
Das Ministerium präsentiert seine Arbeit auf dieser Webseite auch in Form von Videos. Diese werden vom deutschen Anbieter TV1 mit Hilfe des JW-Players mit Sitz in den USA ausgeliefert. Bitte willigen Sie in die Übertragung Ihrer IP-Adresse und anderer technischer Daten an den JW-Player ein, und erlauben Sie JW-Player, Cookies auf Ihrem Endgerät zu setzen, wenn Sie unser Video-Angebot nutzen wollen. Verantwortlich für diese Verarbeitung Ihrer Daten ist das Bundesministerium für Wirtschaft und Energie. Unsere Datenschutzbeauftragte erreichen Sie unter datenschutzbeauftragte@bmwk.bund.de. Als Rechtsgrundlage dient uns Ihre Einwilligung nach § 25 Abs. 1 TTDSG i. V. m. Artikel 6 Abs. 1 lit. a) DSGVO und § 3 Abs. 1 EGovG. Wir haben sichergestellt, dass Sie Ihre Einwilligung jederzeit für die Zukunft widerrufen können. Über die Einwilligungsverwaltung am Ende der Seite können Sie jederzeit steuern, ob Sie den Videodienst JW-Player zur Übertragung freigeben oder nicht.
Ausführliche Informationen über Ihre Betroffenenrechte und darüber, wie wir Ihre Privatsphäre schützen, entnehmen Sie bitte unserer Datenschutzerklärung.
Einwilligung zum Videodienst JW-Player
Das Ministerium präsentiert seine Arbeit auf dieser Webseite auch in Form von Videos. Diese werden vom deutschen Anbieter TV1 mit Hilfe des JW-Players mit Sitz in den USA ausgeliefert. Bitte willigen Sie in die Übertragung Ihrer IP-Adresse und anderer technischer Daten an den JW-Player ein, und erlauben Sie JW-Player, Cookies auf Ihrem Endgerät zu setzen, wenn Sie unser Video-Angebot nutzen wollen. Verantwortlich für diese Verarbeitung Ihrer Daten ist das Bundesministerium für Wirtschaft und Energie. Unsere Datenschutzbeauftragte erreichen Sie unter datenschutzbeauftragte@bmwk.bund.de. Als Rechtsgrundlage dient uns Ihre Einwilligung nach § 25 Abs. 1 TTDSG i. V. m. Artikel 6 Abs. 1 lit. a) DSGVO und § 3 Abs. 1 EGovG. Wir haben sichergestellt, dass Sie Ihre Einwilligung jederzeit für die Zukunft widerrufen können. Über die Einwilligungsverwaltung am Ende der Seite können Sie jederzeit steuern, ob Sie den Videodienst JW-Player zur Übertragung freigeben oder nicht.
Als Reaktion auf die zunehmenden Bedrohungen durch Cyberkriminalität hat die Europäische Union beschlossen, per Gesetz einheitliche Vorschriften zur Stärkung der Cyber-Resilienz auf den Weg zu bringen. In diesem Blogbeitrag erfahren Sie, welche Unternehmen davon betroffen sind, warum sie bereits jetzt handeln sollten und was sie tun können, um sich vorzubereiten.
Stärkung der Cyber-Resilienz durch die NIS2-Richtlinie
Die NIS2-Richtlinie – oder wie sie offiziell heißt, die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union – ist eine Reaktion auf die stetig wachsenden Bedrohungen durch Cyberangriffe auf Unternehmen. Mit dieser neuen EU-weiten Gesetzgebung werden Unternehmen aus sogenannten „gesellschaftlich relevanten Sektoren“ verpflichtet, umfassende technische und organisatorische Maßnahmen im Bereich der Informations- und Cybersicherheit umzusetzen. Das Ziel ist es, ein hohes Cybersicherheitsniveau in der gesamten Europäischen Union zu erreichen.
Welche Unternehmen sind betroffen?
In Deutschland fallen Schätzungen zufolge etwa 30.000 Unternehmen unter den Anwendungsbereich der NIS2-Richtlinie. Ob ein Unternehmen betroffen ist, hängt von verschiedenen Faktoren ab. Dazu zählen unter anderem die Branche, die Größe – also die Anzahl der Mitarbeitenden – und der Jahresumsatz. Grundsätzlich gilt: Unternehmen, die in einem „gesellschaftlich relevanten Sektor“ tätig sind und die mindestens 50 Mitarbeitende haben oder einen Jahresumsatz von über 10 Millionen Euro aufweisen, können in den Anwendungsbereich der NIS-2-Richtlinie fallen. In besonderen Fällen können auch kleinere Betriebe von der Richtlinie betroffen sein, zum Beispiel wenn ihr Ausfall erhebliche Konsequenzen für die Wirtschaft oder öffentliche Verwaltung hätte oder wenn sie in enger Verbindung mit einem Unternehmen stehen, das unter die zuvor genannten Anwendungsbereiche der NIS2-Richtlinie fällt. Unternehmen sollten daher selbstständig überprüfen, ob die Richtlinie für sie gilt. Eine erste Hilfestellung zur Einschätzung gibt es hier.
Welche Verpflichtungen und Konsequenzen ergeben sich aus der NIS2-Richtlinie?
Die Richtlinie schreibt betroffenen Unternehmen vor, „geeignete und verhältnismäßige technische operative und organisatorische Maßnahmen“ zu ergreifen, um Risiken zu beherrschen und Auswirkungen von Sicherheitsvorfällen zu minimieren. In der Richtlinie selbst werden dazu einige Konkretisierungen gemacht. Betroffene Unternehmen müssen beispielsweise Maßnahmen zum Risikomanagement ergreifen, die an die Unternehmensgröße, die Wahrscheinlichkeit eines Vorfalls und die potenziellen Auswirkungen eines Sicherheitsvorfalls angepasst sind. Welche Maßnahmen letzten Endes umzusetzen sind, ist für jedes Unternehmen aber individuell zu analysieren. Betroffene Unternehmen müssen nicht nur bestimmte Sicherheitsmaßnahmen umsetzen, sondern im Falle eines Cyberangriffs auch Melde- und Berichtspflichten erfüllen.
Um die betroffenen Unternehmen zur Einhaltung der Richtlinie zu bewegen, gelten strenge Haftungsregelungen und Bußgelder – insbesondere für die Geschäftsleitung. Bei Verstößen können Strafen bis zu 10 Millionen Euro oder bis zu 2% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Dies unterstreicht die Ernsthaftigkeit, mit der die EU den Schutz sensibler Informationen und die Stärkung der Cyber-Resilienz verfolgt.
Ab wann gelten die neuen Regelungen?
Die NIS2-Richtlinie muss vom Gesetzgeber bis Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland wird dies durch das „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ geschehen. Dass das Gesetz gegenwärtig noch nicht verabschiedet ist, bedeutet jedoch nicht, dass es eine Schonfrist gibt. Offiziell wird es keine Übergangsfrist zur Umsetzung geben. Betroffene Unternehmen müssen ab Einführung des Gesetzes die geforderten Sicherheitsanforderungen erfüllen.
Was sollten und können Unternehmen jetzt machen?
Unternehmen sollten prüfen, ob sie ausreichende Maßnahmen zum Schutz vor Cyberkriminalität ergriffen haben, unabhängig davon, ob sie unter den Anwendungsbereich der NIS2-Richtlinie fallen oder nicht. Das Bundesamt für Sicherheit in der Informationstechnik warnte im letzten Jahresbericht davor, dass die Gefährdungslage so hoch wie nie zuvor sei. Unternehmen sollten also prüfen, ob sie ausreichende Maßnahmen zum Schutz vor Cyberkriminalität ergriffen haben, unabhängig davon, ob sie unter den Anwendungsbereich der NIS2-Richtlinie fallen oder nicht. Eine erste Einschätzung erhalten Sie beispielsweise hier.
Mit dem Leitfaden Hilfestellungen bei der Umsetzung von NIS2 bietet Mittelstand-Digital einen schnell umsetzbaren, einfachen und kostengünstigen Einstieg zur Durchführung von Maßnahmen zur Erhöhung des Cybersicherheitsniveaus. Die darin aufgeführten Maßnahmen können auch Unternehmen nutzen, die nicht unter den Anwendungsbereich der NIS2-Regelung fallen.
Legen Sie also am besten gleich los:
Überprüfen Sie den Stand der Cybersicherheit in Ihrem Unternehmen
Schulen Sie sich und Ihre Belegschaft
Die Gewährleistung von Cybersicherheit ist ein Prozess – sie muss regelmäßig geprüft und angepasst werden
Beginnen Sie mit der Umsetzung
Fazit
Die NIS2-Richtlinie ist ein wichtiger Schritt zur Erhöhung der Cyber-Resilienz in Europa. Unternehmen sollten die Anforderungen sorgfältig prüfen und sich frühzeitig auf die neuen Bestimmungen vorbereiten. Dadurch können sie nicht nur rechtliche Konsequenzen vermeiden, sondern auch allgemein ihre Cybersicherheit verbessern. Letzteres gilt für alle Unternehmen – egal ob sie unter den Anwendungsbereich fallen oder nicht.
Weiterführende Informationen
Publikation:Hilfestellungen bei der Umsetzung von NIS2
