Sie sind hier: Home » Markt » Hinweise & Tipps

NIS-2-Umsetzungsgesetz (NIS2UmsuCG)


Der Countdown für die NIS2-Richtline läuft: Was Unternehmen jetzt wissen müssen
IT-Compliance: NIS2-Compliance ist kein Produkt: Der Aufbau einer adäquaten Sicherheitsstruktur geht nicht von heute auf morgen



In wenigen Monaten müssen zahlreiche Unternehmen die NIS2-Richtlinie umsetzen. Die neue EU-Direktive schreibt vor, strenge Maßnahmen zur Gewährleistung der Cybersicherheit zu implementieren. Auf den ersten Blick mag diese Zeitspanne lang genug erscheinen, doch der Aufbau einer adäquaten Sicherheitsstruktur geht nicht von heute auf morgen. NTT Ltd., ein führendes IT-Infrastruktur- und Dienstleistungsunternehmen, räumt mit falschen Vorstellungen rund um die NIS2-Richtlinie auf und zeigt den besten Weg zur Umsetzung.

Die NIS2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die am 16. Januar 2023 in Kraft getreten ist und von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor. Die neue Richtlinie wird die Zahl der betroffenen Unternehmen hierzulande massiv erhöhen – zwischen 30.000 und 40.000 Firmen werden unter die schärferen Vorgaben von NIS2 fallen. Viele von ihnen dürften sich dessen jedoch gar nicht bewusst sein, obwohl bei Nichteinhaltung empfindliche Strafen drohen.

Unternehmen sollten sich deshalb aus Sicht von NTT dringend die folgenden Fragen stellen:

>> Falle ich unter die NIS2-Richtlinie? Die Behörden teilen einer Firma nicht mit, ob die neuen Vorgaben auf sie zutreffen oder nicht. Unternehmen müssen vielmehr selbst anhand der festgelegten Kriterien ihre "Betroffenheit" ermitteln. Grundsätzlich gilt: Alle, die als Betreiber kritischer Infrastrukturen eingestuft werden, fallen unter diese Richtlinie. Dazu zählen Einrichtungen, Anlagen und Systeme, deren Funktionsfähigkeit wichtig für die Gesellschaft, die Sicherheit des Landes sowie der Wirtschaft ist und deren Ausfall zu erheblichen Störungen führen würde. Nach Angaben des Bundesamtes für Katastrophenschutz handelt es sich um Unternehmen der Energie- und Wasserversorgung, der Telekommunikations- und Informationstechnik, der Lebensmittelversorgung, des Transport- und Logistikwesens, des Finanzwesens oder des Gesundheitswesens.

Gleichzeitig betrifft die NIS2-Richtlinie auch Organisationen in der Lieferkette, die Dienstleistungen oder Produkte im Zusammenhang mit kritischen Sektoren erbringen. Damit geht der Geltungsbereich weit über die bisher bekannten Schlüsselunternehmen hinaus. Künftig werden Unternehmen und Organisationen mit 50 oder mehr Mitarbeitenden sowie einem Jahresumsatz von mindestens zehn Millionen Euro in den jeweiligen Sektoren erfasst. Konkret wird bei NIS2 zwischen "wichtigen" und "wesentlichen" Einrichtungen unterschieden. Letztere nehmen aufgrund ihres Marktanteils in dem jeweiligen Sektor eine entscheidende Rolle ein.

>> Welche Vorschriften kommen mit NIS2 auf mich zu? Die EU hat die Vorgaben in drei Kernbereichen verschärft: Aufsichtsmaßnahmen und Geldbußen, Zusammenarbeit und Kooperation sowie Risikomanagement und Widerstandsfähigkeit. Die erhöhten Anforderungen an das Risikomanagement und die Widerstandsfähigkeit haben zur Folge, dass Organisationen sowohl Maßnahmen zur Schadensvermeidung als auch zur Schadensminimierung umsetzen müssen. Darunter fallen Bereiche wie Netzwerksicherheit, Risikomanagement, Cybersicherheit in Lieferketten, Zugangskontrolle und Verschlüsselung.

NIS2 sieht eine grundlegende IT-Hygiene vor, für kritische Einrichtungen schreibt der Referentenentwurf eine Angriffserkennung vor. Firmen sollten sich zudem Gedanken darüber machen, wie nach einer Cyberattacke die Geschäftskontinuität sichergestellt werden kann. Dazu gehören wiederum die Systemwiederherstellung, Notfallverfahren und das Einrichten einer Krisenorganisation. Darüber hinaus muss innerhalb von 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls eine erste Meldung als Frühwarnung bei den zuständigen Behörden eingehen. Binnen 72 Stunden muss sogar ein ausführlicher Bericht folgen, der die sogenannten Indicators of Compromise beschreibt. Unternehmen sollten unbedingt im Top-down-Ansatz zuerst einen ganzheitlichen Ist-Zustand des Reifegrads ihrer IT-Security ermitteln und danach bedarfsgerecht technische und organisatorische Maßnahmen umsetzen.

Zur Erfüllung der NIS2-Richtlinie empfiehlt sich darüber hinaus die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001. Gleichzeitig ist ein Security Operation Center (SOC) sinnvoll. Der Betrieb eines SOC ist jedoch sehr kostenintensiv, weshalb die Auslagerung an einen externen Dienstleister in Form von Managed Services eine gute Lösung ist.

>> Was passiert, wenn ich NIS2 nicht umsetze? Zwar werden nur die wesentlichen Einrichtungen auditiert – wer jedoch die Vorgaben missachtet, riskiert bei einem Sicherheitsvorfall spürbare Sanktionen. Bei Unternehmen, die in die Kategorie "wesentlich" eingestuft sind, können die Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist. Für "wichtige" Einrichtungen liegt das maximale Bußgeld bei sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Der Referentenentwurf des Bundesinnenministeriums sieht darüber hinaus vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen mit ihrem Privatvermögen für die Einhaltung der Risikomanagementmaßnahmen haften. Ihnen droht ebenfalls ein Bußgeld in Höhe von zwei Prozent des weltweiten Jahresumsatzes. NIS2 ist also ein Compliance-Risiko, das die Verantwortlichen sehr ernst nehmen sollten. Hinzu kommt, dass eine schlechte oder gar nicht vorhandene Security-Lösung am Ende deutlich mehr kostet, auch wenn die Investition in entsprechende Maßnahmen manchen Unternehmen anfangs hoch erscheinen mag. Analog zu anderen Richtlinien ist darüber hinaus die Wahrscheinlichkeit hoch, dass Firmen, die die geforderten Maßnahmen nicht umgesetzt haben, bei Ausschreibungen der öffentlichen Hand nicht berücksichtigt werden.

"NIS2-Konformität ist kein Produkt, das man einfach so kaufen und implementieren kann. Im Gegenteil: Unternehmen müssen verstehen, dass die Umsetzung der neuen EU-Richtlinie ein wirklich umfangreiches und langfristiges Projekt mit Auswirkungen in den unterschiedlichsten Bereichen ist. Gleichzeitig ist IT-Compliance längst ein strategisches Schlüsselthema für Firmen", erklärt Bernhard Kretschmer, Vice President Services und Cybersecurity bei NTT Ltd. "Die Praxis zeigt aber: Viele Unternehmen haben die geforderten Maßnahmen immer noch nicht in Angriff genommen. Das könnte zum Stolperstein einer fristgerechten Umsetzung von NIS2 werden. Denn die wenigsten Betriebe sind in der Lage, mit der eigenen IT-Mannschaft die geforderten Auflagen zu erfüllen." (NTT: ra)

eingetragen: 21.02.24
Newsletterlauf: 23.04.24


NTT Data: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hinweise & Tipps

  • Datenschutz erfordert technische Präzision

    Moderne Unternehmensarchitekturen stellen hohe Anforderungen an eine Consent Management Platform (CMP). Nur mit tiefer technischer Integration lassen sich Datenschutz und Nutzerfreundlichkeit effektiv umsetzen - das zeigen aktuelle Entwicklungen in Regulatorik und Praxis. Die Zeiten einfacher Cookie-Banner sind vorbei: In modernen Unternehmensumgebungen muss eine Consent Management Platform mehr leisten als die bloße Einholung einer Zustimmung.

  • Bewertung der Kreditwürdigkeit

    Wer in Anleihen investieren möchte, sollte die Unterschiede zwischen Staats- und Unternehmensanleihen kennen. Beide bieten Chancen aber auch unterschiedliche Risiken. Dieser Artikel zeigt, worauf es bei der Einschätzung von Bonität, Rendite und Sicherheit ankommt.

  • Compliance-Verstöße: Identitäten im Blindflug

    Rund 40 Prozent der Unternehmen verzichten laut einem aktuellen Bericht noch immer auf moderne Identity-Governance- und Administration-Lösungen (IGA). Das ist nicht nur ein organisatorisches Defizit - es ist ein ernstzunehmender Risikofaktor. Denn der Umgang mit digitalen Identitäten ist in vielen Organisationen noch immer ein Flickwerk aus manuellen Abläufen, intransparenten Prozessen und veralteter Technik. Während Cloud-Umgebungen rasant wachsen und Compliance-Anforderungen zunehmen, bleiben zentrale Fragen der Zugriffskontrolle oft ungelöst.

  • So schützen Sie sich vor Anlagebetrug

    Wer im Internet nach lukrativen Geldanlagemöglichkeiten sucht, sollte vorsichtig sein. Oft werden hohe Renditen auch für kleine Anlagebeträge versprochen. Was auf den ersten Blick verlockend klingt, kann Sie schnell um Ihr Geld bringen!

  • Risiko für Wirtschaftlichkeit & Compliance

    Die Begeisterung für KI-Modelle hält ungebrochen an - doch sie hat eine Schattenseite: Systeme wie GPT o3 und o4-mini werden zwar immer leistungsfähiger, halluzinieren aber immer häufiger. Bei Wissensfragen im sogenannten SimpleQA-Benchmark erreichen sie Fehlerquoten von bis zu 79 Prozent - ein alarmierender Wert, der selbst die Entwickler bei OpenAI ratlos zurücklässt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen