Die NIS2-Richtlinie und der Mittelstand: Ein Sturm im Wasserglas oder das nächste große Ding?

Cyber-Bedro­hun­gen bergen längst auch für mit­tel­ständis­che Unternehmen erhe­bliche, ganz reale und sehr teure Risiken. Die NIS2-Richtlin­ie soll Unternehmen und öffentliche Ein­rich­tun­gen wider­stands­fähiger gegen Cyberan­griffe machen. Viele mit­tel­ständis­che Unternehmen sind von der Richtlin­ie betrof­fen – oder soll­ten sich ihre Ziele frei­willig zu eigen machen.

Die NIS2-Richtlin­ie (Richtlin­ie über Maß­nah­men zur Gewährleis­tung eines hohen gemein­samen Sicher­heit­sniveaus von Netz- und Infor­ma­tion­ssys­te­men in der Union) ist eine Weit­er­en­twick­lung der ursprünglichen NIS-Richtlin­ie aus dem Jahr 2016. Am 18. Okto­ber 2024 tritt sie verbindlich in Kraft, ihr Hauptziel ist es, das Schutzniveau von Unternehmen und Organ­i­sa­tio­nen zu erhöhen, die als Betreiber kri­tis­ch­er Infra­struk­turen (KRITIS) eingestuft wer­den. Die Def­i­n­i­tion solch­er “kri­tis­chen Infra­struk­turen” wird in der NIS2-Richtlin­ie deut­lich aus­geweit­et und umfasst nun wesentlich mehr Sek­toren und auch die Liefer­ket­ten.

Für Unternehmen und Organ­i­sa­tio­nen, die in den genan­nten Bere­ichen tätig sind, legt die NIS2-Richtlin­ie hohe Cyber­sicher­heit­san­forderun­gen fest. Sie ver­langt von den betrof­fe­nen Unternehmen unter anderem die Ein­führung bes­timmter Sicher­heits­maß­nah­men, ein sys­tem­a­tis­ches Risiko­man­age­ment und eine Meldepflicht für Cyber­vor­fälle. Die Vor­gaben müssen ab dem 18. Okto­ber 2024 erfüllt wer­den.

Bet­rifft die NIS2-Richtlin­ie den Mit­tel­stand?

Bis­lang gal­ten Cyber­sicher­heit­san­forderun­gen entwed­er nur für aus­gewählte kri­tis­che Infra­struk­turen oder große Konz­erne. Viele mit­tel­ständis­che Unternehmen haben sich daher trotz der bald enden­den fast zwei­jähri­gen Umset­zungsphase noch gar nicht oder nur ober­fläch­lich mit der neuen Richtlin­ie befasst. Doch der Anwen­dungs­bere­ich von NIS2 ist deut­lich bre­it­er und reicht bis weit in den Mit­tel­stand.

» Unternehmensgröße

Die NIS2-Richtlin­ie greift für Unternehmen ab 50 Mitar­beit­ern und 10 Mio. Jahre­sum­satz. Entsprechend viele mit­tel­ständis­che Unternehmen sind nun erfasst, auch wenn sie sich bis­lang nur rudi­men­tär mit ihrer Infor­ma­tion­ssicher­heit auseinan­derge­set­zt haben.

Umgekehrt kön­nen sich Unternehmen unter­halb der genan­nten Schwellen mit Blick auf NIS2 und die in Kürze endende Umset­zungs­frist zwar entspan­nen. Sie sind aber gut berat­en, die Aktu­al­ität des The­mas zum Anlass zu nehmen, eben­falls die eige­nen Cyber­sicher­heitsvorkehrun­gen zu hin­ter­fra­gen.

» Erfasste Sek­toren

 Zweite Voraus­set­zung der Anwend­barkeit ist die Tätigkeit in einem der 18 (nun neu definierten) kri­tis­chen Infra­struk­tursek­toren. Hierzu zählen unter anderem

• Energie (z. B. Strom- und Gasver­sorgung)
• Banken und Finanz­di­en­stleis­ter
• Verkehr und Logis­tik
• Wass­er- und Abfall­wirtschaft
• Gesund­heitswe­sen
• Dig­i­tale Infra­struk­turen (z. B. Cloudan­bi­eter und Rechen­zen­tren)
• Liefer­ket­ten für kri­tis­che Pro­duk­te und Dien­stleis­tun­gen

» In der Liefer­kette

Der Anwen­dungs­bere­ich ist dabei weit­er, als es auf den ersten Blick scheint: Auch Unternehmen, die selb­st nicht unmit­tel­bar als kri­tis­che Infra­struk­tur gel­ten, kön­nen betrof­fen sein, wenn sie in den Liefer­ket­ten eines solchen Unternehmens tätig sind. Dies wird von vie­len Mit­tel­ständlern gerne unter­schätzt. So sind zum Beispiel Unternehmen jet­zt erfasst, die wichtige Teile oder Maschi­nen für die Auto­mo­bilin­dus­trie oder den Maschi­nen­bau her­stellen oder Rohstoffe oder Bauteile liefern, die für die Pro­duk­tion in großen Indus­trie­un­ternehmen uner­lässlich sind.

Was müssen betrof­fene mit­tel­ständis­che Unternehmen tun?

Für Unternehmen, die unter den Anwen­dungs­bere­ich der NIS2-Richtlin­ie fall­en, gibt es eine Rei­he von Pflicht­en, die einzuhal­ten sind, um sich vor Cyberbedro­hun­gen zu schützen und den Anforderun­gen der neuen Vorschriften zu genü­gen. Dazu gehören unter anderem:

1. Risiko­man­age­ment und Cyber­sicher­heits­maß­nah­men

Betrof­fene Unternehmen müssen ein umfassendes Risiko­man­age­mentsys­tem etablieren, das Cyber­risiken iden­ti­fiziert, bew­ertet und min­imiert. Das umfasst die Ein­führung von bes­timmten tech­nis­chen und organ­isatorischen Maß­nah­men.

2. Vor­fallsmeldun­gen

Eine wesentliche Neuerung der NIS2-Richtlin­ie ist die Pflicht zur Mel­dung von Cyber­vor­fällen an die zuständi­gen Behör­den. Vor­fälle, die den Betrieb des Unternehmens gefährden oder zu erhe­blichen Daten­ver­lus­ten führen, müssen inner­halb von 24 Stun­den gemeldet wer­den. Schon eine ver­spätete Mel­dung kann zu erhe­blichen Bußgeldern führen.

3. Zusam­me­nar­beit mit Behör­den

Die NIS2-Richtlin­ie fordert von den Unternehmen eine deut­lich engere Zusam­me­nar­beit mit dem Bun­de­samt für Sicher­heit in der Infor­ma­tion­stech­nik (BSI) sowie weit­eren zuständi­gen Stellen auf Lan­des- und Bun­de­sebene.

4. Doku­men­ta­tions- und Nach­weispflicht­en

Die Unternehmen müssen durch die Doku­men­ta­tion von Sicher­heitsvorkehrun­gen, interne Audits und regelmäßige Berichte nach­weisen, dass sie die Anforderun­gen der NIS2-Richtlin­ie ein­hal­ten.

Hohe Bußgelder bei Ver­stößen

Mit der NIS2-Richtlin­ie wer­den auch deut­lich stren­gere Sank­tio­nen einge­führt. Unternehmen, die ihre Pflicht­en aus der NIS2-Richtlin­ie nicht erfüllen, dro­hen Bußgelder in Höhe von bis zu 10 Mil­lio­nen Euro oder 2 % des weltweit­en Jahre­sum­satzes.

IT-Sicher­heit: Wirk­lich ein großes Ding – für alle Mit­tel­ständler

Für viele mit­tel­ständis­che Unternehmen ist die NIS2-Richtlin­ie tat­säch­lich ein “näch­stes großes Ding”. Ger­ade bei der Beurteilung, ob das eigene Unternehmen in den Anwen­dungs­bere­ich der Richtlin­ie fällt, soll­ten Entschei­der lieber einen selb­stkri­tis­chen Stand­punkt ein­nehmen.

Die verbleibende Zeit bis zum Inkraft­treten am 18. Okto­ber wird zumin­d­est für die diejeni­gen mit­tel­ständis­chen Unternehmen, die sich bis­lang noch gar nicht mit dem The­ma befasst haben, wohl nicht mehr zu Umset­zung reichen. Den­noch – oder ger­ade deshalb – sollte jet­zt aber auch keine Zeit mehr ver­schwen­det, son­dern die eigene Betrof­fen­heit gek­lärt und mit der Umset­zung begonnen wer­den.

Allen nicht betrof­fe­nen Unternehmen kann man angesichts der fast täglichen Cyber­sicher­heitsvor­fälle und Angriffe nur ans Herz leg­en, sich an den Vor­gaben der Richtlin­ie zu ori­en­tieren und in ihrem ure­ige­nen Inter­esse – vielle­icht in etwas abgeschwächter Form – eigene Maß­nah­men zu tre­f­fen, um die eigene IT-Sicher­heit zu stärken.

BEITRAG TEILEN