NIS2-Richtlinie: Anwendungsbereich und Indikatoren für die Betroffenheit von Unternehmen

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist eine EU-weite Regelung, die den Schutz kritischer Infrastrukturen und essenzieller Dienste vor Cyberbedrohungen stärken soll. Sie wurde 2022 verabschiedet und stellt eine Weiterentwicklung der ersten NIS-Richtlinie dar. Während die ursprüngliche NIS-Richtlinie vor allem auf den Schutz der Netz- und Informationssysteme in den Bereichen Energie, Verkehr, Gesundheit und Wasserversorgung abzielte, erweitert NIS2 den Anwendungsbereich erheblich.

Die NIS2-Richtlinie legt Mindestanforderungen an die Cybersicherheit für Unternehmen fest und stärkt die Kooperation zwischen den EU-Mitgliedstaaten. Ziel ist es, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme innerhalb der EU zu gewährleisten.

Anwendungsbereich der NIS2-Richtlinie

Die NIS2-Richtlinie betrifft eine breite Palette von Sektoren und Unternehmen. Der erweiterte Anwendungsbereich umfasst neben den klassischen kritischen Infrastrukturen auch zahlreiche weitere essenzielle und wichtige Dienstleistungen. Hier sind die Hauptsektoren, die von der NIS2-Richtlinie abgedeckt werden:

1. Kritische Infrastrukturen:
   • Energie (Elektrizität, Gas, Öl)
   • Verkehr (Flughäfen, Häfen, Bahn- und Straßenverkehr)
   • Wasserversorgung und Abwasserentsorgung
   • Gesundheitswesen (Krankenhäuser, Pharmaunternehmen)
2. Digitale Infrastruktur:
   • Cloud-Dienste
   • Rechenzentren
   • Internetdienstanbieter
   • DNS-Dienstleister
3. Öffentliche Verwaltung und Dienstleistungen:
   • Regierungsbehörden
   • Öffentliche Institutionen, die kritische Dienstleistungen bereitstellen
4. Finanzsektor:
   • Banken
   • Versicherungen
   • Zahlungsverkehrsdienste
5. Hersteller von digitalen Produkten und Dienstleistungen:
   • Softwarehersteller
   • IT-Dienstleister
6. Andere wichtige Dienstleistungen:
   • Lebensmittelversorgung
   • Abfallwirtschaft
   • Chemieindustrie
   • Raumfahrtindustrie

Woran kann ein Unternehmen erkennen, ob es von NIS2 betroffen ist?

Nicht jedes Unternehmen fällt automatisch unter die NIS2-Richtlinie. Es gibt jedoch mehrere Faktoren, anhand derer ein Unternehmen feststellen kann, ob es von NIS2 betroffen ist:

1. Sektorale Zugehörigkeit: Unternehmen, die in einem der oben genannten Sektoren tätig sind, sollten prüfen, ob sie essenzielle oder wichtige Dienstleistungen erbringen. Diese Unternehmen fallen in der Regel unter die NIS2-Richtlinie.
2. Größe des Unternehmens: Die NIS2-Richtlinie zielt primär auf mittlere und große Unternehmen ab. Kleine Unternehmen und Start-ups sind häufig ausgenommen, es sei denn, sie erbringen essenzielle Dienstleistungen oder sind von erheblicher Bedeutung für die Gesellschaft oder die Wirtschaft.
3. Art der Dienstleistung: Erbringt das Unternehmen Dienstleistungen, die als essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten gelten? Wenn ja, unterliegt es wahrscheinlich den Vorschriften der NIS2-Richtlinie.
4. Nationale Umsetzung: Die NIS2-Richtlinie wird von den EU-Mitgliedstaaten in nationales Recht umgesetzt. Daher kann es Unterschiede in der genauen Definition und dem Anwendungsbereich zwischen den einzelnen Ländern geben. Unternehmen sollten sich über die spezifischen Anforderungen in ihrem Land informieren.
5. Vorhandene Regulierungen: Unternehmen, die bereits unter die erste NIS-Richtlinie fielen, werden sehr wahrscheinlich auch unter die NIS2-Richtlinie fallen. Darüber hinaus könnten Unternehmen, die bereits anderen Cybersicherheitsvorschriften unterliegen, ebenfalls von NIS2 betroffen sein.
6. Bedeutung der bereitgestellten Dienste: Wenn ein Unternehmen Dienste anbietet, die für die Aufrechterhaltung kritischer Infrastruktur entscheidend sind, könnte es als Anbieter eines essenziellen Dienstes klassifiziert werden und somit unter die NIS2-Richtlinie fallen.

Maßnahmen zur Erfüllung der NIS2-Anforderungen

Sollte ein Unternehmen feststellen, dass es von der NIS2-Richtlinie betroffen ist, müssen bestimmte Maßnahmen ergriffen werden, um die Anforderungen zu erfüllen:

• Risikomanagement: Unternehmen müssen ein Cybersicherheitsrisikomanagement implementieren, das Bedrohungen und Schwachstellen regelmäßig bewertet und entsprechende Gegenmaßnahmen plant.
• Meldung von Sicherheitsvorfällen: Betroffene Unternehmen sind verpflichtet, schwerwiegende Sicherheitsvorfälle innerhalb bestimmter Fristen an die zuständigen Behörden zu melden.
• Technische und organisatorische Maßnahmen: Unternehmen müssen eine Reihe von Sicherheitsmaßnahmen implementieren, darunter Zugangskontrollen, Netzwerksicherheit und Notfallpläne.
• Audit und Reporting: Es ist erforderlich, regelmäßige Sicherheitsaudits durchzuführen und Berichte über die Cybersicherheit an die zuständigen Behörden zu übermitteln.

Des Weiteren müssen sich betroffene Unternehmen registrieren. Zum aktuellen Zeitpunkt ist allerdings noch nicht klar, bei welcher Behörde die Registrierung stattfinden wird. Erst wenn das NIS2 Umsetzungsgesetz in Kraft tritt, wird es hier Klarheit geben.

Fazit

Die NIS2-Richtlinie erweitert den Anwendungsbereich der Cybersicherheitsvorschriften in der EU erheblich und betrifft eine breite Palette von Unternehmen. Um festzustellen, ob ein Unternehmen von der Richtlinie betroffen ist, sollten Faktoren wie Sektorzugehörigkeit, Unternehmensgröße, Art der Dienstleistung und nationale Regulierungen berücksichtigt werden. Betroffene Unternehmen müssen spezifische Sicherheitsmaßnahmen umsetzen, um den Anforderungen der NIS2-Richtlinie gerecht zu werden. Eine gründliche Überprüfung und Anpassung der bestehenden Sicherheitspraktiken ist für Unternehmen unerlässlich, um die Compliance sicherzustellen und den Schutz vor Cyberbedrohungen zu stärken.