NIS 2: Was Unternehmen jetzt beachten müssen

Was ist die NIS-2-Richtlinie? 

Die NIS-2-Richtlinie wurde von der Europäischen Union ins Leben gerufen, um ein gemeinsames Cybersicherheitsniveau in der EU zu gewährleisten. Mitgliedsstaaten sollten NIS 2 ursprünglich bis Oktober 2024 in nationales Recht übertragen. In Deutschland steht ein genaues Datum für die Einführung des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) noch nicht fest, könnte jedoch im März 2025 liegen. Mit NIS 2 werden die betroffenen Unternehmen dazu verpflichtet, wesentlich höhere Sicherheitsstandards und stärkeres Risikomanagement für digitale Dienste einzuführen. Zudem wird es neue Meldepflichten bei Sicherheitsvorfällen geben. 

Darüber hinaus werden Führungskräfte und Mitarbeitende dazu verpflichtet, regelmäßig an Schulungen teilzunehmen, um sich das notwendige Fachwissen anzueignen. Zuständige Stellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten mehr Befugnisse, um die Einhaltung der Vorschriften zu überprüfen. Ansonsten drohen Organisationen empfindliche Sanktionen mit bis zu 10 Millionen Euro Strafe oder 2 Prozent des Jahresumsatzes.

Wer ist von NIS 2 betroffen?

In Deutschland sind rund 29.000 Unternehmen von NIS 2 betroffen. Dazu gehören Betreiber von kritischen Infrastrukturen (KRITIS), Unternehmen bestimmter Größen sowie zahlreiche Bundeseinrichtungen. Zudem wird in der NIS-2-Richtlinie in ‘besonders wichtige’ und ‘wichtige’ Einrichtungen unterteilt. Für besonders wichtige Einrichtungen können höhere Bußgelder verhängt werden. Ebenso können diese regelmäßig ohne besonderen Anlass von BSI geprüft werden.

Ist meine Organisation betroffen?

Die Unterteilung in ‘wichtige’ und ‘besonders wichtige’ Einrichtungen ist abhängig vom Sektor und der Größe des Unternehmens nach Anzahl der Mitarbeitenden bzw. nach Umsatz. Unternehmen aus folgenden Sektoren, die eine entsprechende Größe erreichen, werden als ‘besonders wichtig’ definiert: Energie, Verkehr, Bankwesen, Finanzmarkstrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten in B2B, öffentliche Verwaltung (in Deutschland zunächst nur Bundeseinrichtungen) und Weltraum. 

Darüber hinaus gibt es einige Sonderregelungen, beispielsweise für die Betreiber von Top-Level-Domains oder DNS.

Die weiteren betroffenen Unternehmen werden als ‘wichtig’ eingestuft.

Ob und wie das eigene Unternehmen betroffen ist, kann über dieses Tool vom BSI geprüft werden.

NIS 2: Die ersten Schritte für Unternehmen

Gehört Ihre Organisation zu den betroffenen Unternehmen? Dann sollten Sie jetzt handeln! Denn es lohnt sich, früh auf die neuen Regelungen vorbereitet zu sein. Hier sind einige Punkte, die Sie bei der Umsetzung von NIS 2 beachten sollten:

• Unternehmen, die unter die Regelungen für besonders wichtige Einrichtungen fallen, sollten sich zunächst beim BSI registrieren.
• Im weiteren Verlauf sollte eine Bestandsaufnahme durchgeführt werden: Welche Maßnahmen hat mein Unternehmen bereits ergriffen? Wo gibt es noch Lücken? Wie kann ich die Erfüllung der Auflagen nachweisen?
• Anhand der Analyse des Ist-Zustandes sollten Unternehmen die wichtigsten Maßnahmen priorisieren. 

„NIS 2 stellt viele Unternehmen vor enorme Herausforderungen. Häufig wird dabei jedoch übersehen, dass sich die Vorschriften nicht nur auf technische Maßnahmen beschränken, sondern Weiterbildung einen entscheidenden Faktor bei der Umsetzung der Richtlinie darstellt.“

Dr. Raphaela Schätz, Leiterin des Lernlabor Cybersicherheit 

Darum ist Weiterbildung für die Umsetzung von NIS 2 unerlässlich

Weiterbildung ist ein wichtiger Teil der Umsetzung von NIS 2. Denn IT-Sicherheit erfordert dezidiertes Fachwissen. Bedrohungsakteure nutzen immer wieder neue Vektoren und Methoden, um IT-Systeme anzugreifen. Aus diesem Grund wird es für Mitarbeitende und Führungskräfte mit der neuen Richtlinie zur Pflicht, regelmäßig an Schulungen teilzunehmen. Ziel ist es, immer auf dem neuesten Stand der Technik zu bleiben und die Gefahr durch Cyberattacken sowie die Effektivität von Sicherheitsmaßnahmen bewerten zu können. Die Schulungen sollten stets an den spezifischen Anforderungen der Teilnehmenden und den aktuellen gesetzlichen Bestimmungen ausgerichtet werden. Denn Fachkräfte benötigen anderes Wissen als Entscheidungsträger aus dem Management oder nicht-technische Mitarbeitende. 

Weiterbildung mit dem Lernlabor Cybersicherheit

Die Expertinnen und Experten des Lernlabor Cybersicherheit der Fraunhofer Academy unterstützen Unternehmen bei der Vorbereitung und Umsetzung der NIS-2-Richtlinie durch ein breites Angebot an Schulungen und Workshops. Der Vorteil: Die Trainerinnen und Trainer kommen direkt aus der Forschung. Somit profitieren die Teilnehmenden von einem einzigartigen Wissenstransfer aus der IT-Sicherheitsforschung in die praxisnahe Anwendung. Die Teilnehmenden sind so auf dem neuesten Stand der Technik und können die Anforderungen von NIS 2 erfüllen. 

Das erwartet Sie bei unseren Weiterbildungen

Alle Kurse beim Lernlabor Cybersicherheit sind an den aktuellen Regularien ausgerichtet.

Folgende offene Schulungen und Seminare helfen Ihnen dabei, NIS 2 umzusetzen:

• Bedrohungsanalyse und Risikomanagement in IT-Projekten [Link zur Anmeldung]
• Einführung in interne Sicherheits- und Penetrationstests [Link zur Anmeldung]
• Sicherer Umgang mit IT im Arbeitsalltag [Link zur Anmeldung]
• NIS 2/DORA Konformität durch sichere Migration in die Cloud [Link zur Anmeldung]

Was bedeutet NIS 2 für Ihr Unternehmen und wie können Sie die neuen Maßnahmen am besten in Ihren Strukturen und Prozessen umsetzen? Gerne konzipieren wir auch individuelle Schulungen und Workshops für Ihr Unternehmen.

Kontaktieren Sie uns hier für ein individuelles Angebot.