Die NIS2 ist Nachfolger der NIS1 EU-Richtlinie und betrifft die Anforderung, gewisse IT-Sicherheitsstandards zu erfüllen, da ansonsten empfindliche Bußgelder verhängt werden.
Während die derzeit in deutsches Recht umgesetzte NIS1 nur große Unternehmen und Firmen im Bereich kritischer Infrastrukturen betraf, ist NIS2 auch auf mittelständische und kleine Unternehmen ausgeweitet.
So ist ein mittelständischer Betrieb mit mehr als 50 Mitarbeitern oder/und 10 mio Euro Bilanzsumme, der Lebensmittel produziert oder damit handelt oder mit Chemikalien (z.B. Pflanzenschutz) handelt, von der NIS2 betroffen.
Die Umsetzung der EU-Richtline in deutsches Recht muss bis Mitte 2024 erfolgen – einen ersten Entwurf gibt es bereits.
Wer ist betroffen?
Zählt deren Branche zur kritischen Infrastruktur, sind auch Kleinunternehmen betroffen. Neu ist, dass auch für andere Geschäftszwecke Unternehmen, die mehr als 50 Personen beschäftigen und Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR übersteigt, unter die NIS2 fallen. Neu ist auch die Unterscheidung von „wesentlichen“ (wie bisher KRITIS mit erweiterten Kriterien) und „wichtigen“ Unternehmen. Die Einstufung hat Einfluss auf die Höhe der Bußgelder.
Was ist zu tun?
Da zu erwarten ist, dass die EU-Richtlinie weitgehend unverändert in deutsches Recht umgesetzt wird, prüfen Sie, anhand der Richtlinie, ob Sie zu den Betroffenen gehören, indem Sie in der Richtlinie nachlesen, ob die genannten Kriterien für Sie zutreffen.
Wenn ja, ist die Vorgehensweise leider nicht geregelt, da in der Richtlinie (ähnlich wie bei der DSGVO) keine konkreten Maßnahmen beschrieben sind, die man anhand einer zu erstellenden Checkliste abarbeiten oder prüfen kann.
Dennoch müssen bei den genannten Anforderungen mindestens der BSI Grundschutz (Standards 200-1 und -2) UND eine Risikoanalyse mit Notfallplan (BSI-Standards 200-3 und -4) erfüllt sein. Bei genossenschaftlich geprüften Unternehmen kommen dann noch PS330 und PS980 (Compliance) dazu. Die Pflichten umfassen somit technische (auf dem aktuellen Stand der Technik) und organisatorische Maßnahmen (Awareness-Schulungen), ein Reporting (Meldung von Verstößen ähnlich der DSGVO) und Verhaltensregeln im Fehlerfall. Darüberhinaus müssen regelmäßige Audits sicherstellen, dass die Maßnahmen erfüllt sind. Man geht im Best Practice von jährlichen Audits aus.
Beispiele für Verstöße
- Internetzugang durch eine Firewall der ersten Generation oder nur einen Router
- keine 2-Faktor-Authentifizierung für administrativen Zugriff auf Online- und Clouddienste und/oder Webseiten, auf denen Geld bewegt wird
- Personal ist nicht Umgang mit IT-Risiken (nachweislich) geschult
- kein Konzept im Umgang mit Ransomware und Verschlüsselungsschadsoftware
- Kein Meldewesen bei erkannten Vorfällen
Wo steht mein Unternehmen bei den Mindestanforderungen?
Sie sollten die Mindest-Standards BSI Grundschutzkataloge 200-1 und -2 sowie Risikoanalyse und Notfallplan nach BSI 200-3 und 4 erfüllen.
Fazit
Ähnlich wie 2018 bei der DSGVO gilt auch hier. Lassen Sie sich von Ihrem Fachanwalt beraten. Der hier erstellte Artikel dient nur zu Ihrer Information und stellt eine Möglichkeit dar, einen Mindestschutz zu erreichen.
Zwar wird NIS2 erst Mitte 2024 in deutsches Recht umgesetzt, jeder sollte sich aber schon jetzt Gedanken zur Umsetzung machen.Unabhängig davon, ob Sie unter die genannten Unternehmen fallen, sind die Erfüllung BSI Grundschutz und der Notfallplan auch für kleinere Unternehmen bei Nicht-Erfüllung häufig Grund von Versicherungen, die Leistungen im Schadenfall zu kürzen. Auch Ratings von Banken bei der Kreditvergabe sind von genannten Mindest-Standards abhängig.
Kommentare