Die NIS2-Richtlinie und der Mittelstand: Ein Sturm im Wasserglas oder das nächste große Ding?

© Who is Danny/stock.adobe.com
IT-Recht | 26. September 2024
BEITRAG TEILEN
LinkedInXINGXFacebookEmailPrint

Cyber-Bedro­hun­gen ber­gen längst auch für mit­tel­stän­di­sche Unter­neh­men erheb­li­che, ganz rea­le und sehr teu­re Risi­ken. Die NIS2-Richt­li­nie soll Unter­neh­men und öffent­li­che Ein­rich­tun­gen wider­stands­fä­hi­ger gegen Cyber­an­grif­fe machen. Vie­le mit­tel­stän­di­sche Unter­neh­men sind von der Richt­li­nie betrof­fen – oder soll­ten sich ihre Zie­le frei­wil­lig zu eigen machen.

 

Die NIS2-Richt­li­nie (Richt­li­nie über Maß­nah­men zur Gewähr­leis­tung eines hohen gemein­sa­men Sicher­heits­ni­veaus von Netz- und Infor­ma­ti­ons­sys­te­men in der Uni­on) ist eine Wei­ter­ent­wick­lung der ursprüng­li­chen NIS-Richt­li­nie aus dem Jahr 2016. Am 18. Okto­ber 2024 tritt sie ver­bind­lich in Kraft, ihr Haupt­ziel ist es, das Schutz­ni­veau von Unter­neh­men und Orga­ni­sa­tio­nen zu erhö­hen, die als Betrei­ber kri­ti­scher Infra­struk­tu­ren (KRITIS) ein­ge­stuft wer­den. Die Defi­ni­ti­on sol­cher “kri­ti­schen Infra­struk­tu­ren” wird in der NIS2-Richt­li­nie deut­lich aus­ge­wei­tet und umfasst nun wesent­lich mehr Sek­to­ren und auch die Lie­fer­ket­ten.

Für Unter­neh­men und Orga­ni­sa­tio­nen, die in den genann­ten Berei­chen tätig sind, legt die NIS2-Richt­li­nie hohe Cyber­si­cher­heits­an­for­de­run­gen fest. Sie ver­langt von den betrof­fe­nen Unter­neh­men unter ande­rem die Ein­füh­rung bestimm­ter Sicher­heits­maß­nah­men, ein sys­te­ma­ti­sches Risi­ko­ma­nage­ment und eine Mel­de­pflicht für Cyber­vor­fäl­le. Die Vor­ga­ben müs­sen ab dem 18. Okto­ber 2024 erfüllt wer­den.

 

Betrifft die NIS2-Richt­li­nie den Mit­tel­stand?

Bis­lang gal­ten Cyber­si­cher­heits­an­for­de­run­gen ent­we­der nur für aus­ge­wähl­te kri­ti­sche Infra­struk­tu­ren oder gro­ße Kon­zer­ne. Vie­le mit­tel­stän­di­sche Unter­neh­men haben sich daher trotz der bald enden­den fast zwei­jäh­ri­gen Umset­zungs­pha­se noch gar nicht oder nur ober­fläch­lich mit der neu­en Richt­li­nie befasst. Doch der Anwen­dungs­be­reich von NIS2 ist deut­lich brei­ter und reicht bis weit in den Mit­tel­stand.

 

» Unter­neh­mens­grö­ße

Die NIS2-Richt­li­nie greift für Unter­neh­men ab 50 Mit­ar­bei­tern und 10 Mio. Jah­res­um­satz. Ent­spre­chend vie­le mit­tel­stän­di­sche Unter­neh­men sind nun erfasst, auch wenn sie sich bis­lang nur rudi­men­tär mit ihrer Infor­ma­ti­ons­si­cher­heit aus­ein­an­der­ge­setzt haben.

Umge­kehrt kön­nen sich Unter­neh­men unter­halb der genann­ten Schwel­len mit Blick auf NIS2 und die in Kür­ze enden­de Umset­zungs­frist zwar ent­span­nen. Sie sind aber gut bera­ten, die Aktua­li­tät des The­mas zum Anlass zu neh­men, eben­falls die eige­nen Cyber­si­cher­heits­vor­keh­run­gen zu hin­ter­fra­gen.

 

» Erfass­te Sek­to­ren

 Zwei­te Vor­aus­set­zung der Anwend­bar­keit ist die Tätig­keit in einem der 18 (nun neu defi­nier­ten) kri­ti­schen Infra­struk­tur­sek­to­ren. Hier­zu zäh­len unter ande­rem

  • Ener­gie (z. B. Strom- und Gas­ver­sor­gung)
  • Ban­ken und Finanz­dienst­leis­ter
  • Ver­kehr und Logis­tik
  • Was­ser- und Abfall­wirt­schaft
  • Gesund­heits­we­sen
  • Digi­ta­le Infra­struk­tu­ren (z. B. Clou­dan­bie­ter und Rechen­zen­tren)
  • Lie­fer­ket­ten für kri­ti­sche Pro­duk­te und Dienst­leis­tun­gen

 

» In der Lie­fer­ket­te

Der Anwen­dungs­be­reich ist dabei wei­ter, als es auf den ers­ten Blick scheint: Auch Unter­neh­men, die selbst nicht unmit­tel­bar als kri­ti­sche Infra­struk­tur gel­ten, kön­nen betrof­fen sein, wenn sie in den Lie­fer­ket­ten eines sol­chen Unter­neh­mens tätig sind. Dies wird von vie­len Mit­tel­ständ­lern ger­ne unter­schätzt. So sind zum Bei­spiel Unter­neh­men jetzt erfasst, die wich­ti­ge Tei­le oder Maschi­nen für die Auto­mo­bil­in­dus­trie oder den Maschi­nen­bau her­stel­len oder Roh­stof­fe oder Bau­tei­le lie­fern, die für die Pro­duk­ti­on in gro­ßen Indus­trie­un­ter­neh­men uner­läss­lich sind.

 

Was müs­sen betrof­fe­ne mit­tel­stän­di­sche Unter­neh­men tun?

Für Unter­neh­men, die unter den Anwen­dungs­be­reich der NIS2-Richt­li­nie fal­len, gibt es eine Rei­he von Pflich­ten, die ein­zu­hal­ten sind, um sich vor Cyber­be­dro­hun­gen zu schüt­zen und den Anfor­de­run­gen der neu­en Vor­schrif­ten zu genü­gen. Dazu gehö­ren unter ande­rem:

 

1. Risi­ko­ma­nage­ment und Cyber­si­cher­heits­maß­nah­men

Betrof­fe­ne Unter­neh­men müs­sen ein umfas­sen­des Risi­ko­ma­nage­ment­sys­tem eta­blie­ren, das Cyber­ri­si­ken iden­ti­fi­ziert, bewer­tet und mini­miert. Das umfasst die Ein­füh­rung von bestimm­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men.

 

2. Vor­falls­mel­dun­gen

Eine wesent­li­che Neue­rung der NIS2-Richt­li­nie ist die Pflicht zur Mel­dung von Cyber­vor­fäl­len an die zustän­di­gen Behör­den. Vor­fäl­le, die den Betrieb des Unter­neh­mens gefähr­den oder zu erheb­li­chen Daten­ver­lus­ten füh­ren, müs­sen inner­halb von 24 Stun­den gemel­det wer­den. Schon eine ver­spä­te­te Mel­dung kann zu erheb­li­chen Buß­gel­dern füh­ren.

 

3. Zusam­men­ar­beit mit Behör­den

Die NIS2-Richt­li­nie for­dert von den Unter­neh­men eine deut­lich enge­re Zusam­men­ar­beit mit dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) sowie wei­te­ren zustän­di­gen Stel­len auf Lan­des- und Bun­des­ebe­ne.

 

4. Doku­men­ta­ti­ons- und Nach­weis­pflich­ten

Die Unter­neh­men müs­sen durch die Doku­men­ta­ti­on von Sicher­heits­vor­keh­run­gen, inter­ne Audits und regel­mä­ßi­ge Berich­te nach­wei­sen, dass sie die Anfor­de­run­gen der NIS2-Richt­li­nie ein­hal­ten.

 

Hohe Buß­gel­der bei Ver­stö­ßen

Mit der NIS2-Richt­li­nie wer­den auch deut­lich stren­ge­re Sank­tio­nen ein­ge­führt. Unter­neh­men, die ihre Pflich­ten aus der NIS2-Richt­li­nie nicht erfül­len, dro­hen Buß­gel­der in Höhe von bis zu 10 Mil­lio­nen Euro oder 2 % des welt­wei­ten Jah­res­um­sat­zes.

 

IT-Sicher­heit: Wirk­lich ein gro­ßes Ding – für alle Mit­tel­ständ­ler

Für vie­le mit­tel­stän­di­sche Unter­neh­men ist die NIS2-Richt­li­nie tat­säch­lich ein “nächs­tes gro­ßes Ding”. Gera­de bei der Beur­tei­lung, ob das eige­ne Unter­neh­men in den Anwen­dungs­be­reich der Richt­li­nie fällt, soll­ten Ent­schei­der lie­ber einen selbst­kri­ti­schen Stand­punkt ein­neh­men.

Die ver­blei­ben­de Zeit bis zum Inkraft­tre­ten am 18. Okto­ber wird zumin­dest für die die­je­ni­gen mit­tel­stän­di­schen Unter­neh­men, die sich bis­lang noch gar nicht mit dem The­ma befasst haben, wohl nicht mehr zu Umset­zung rei­chen. Den­noch – oder gera­de des­halb – soll­te jetzt aber auch kei­ne Zeit mehr ver­schwen­det, son­dern die eige­ne Betrof­fen­heit geklärt und mit der Umset­zung begon­nen wer­den.

Allen nicht betrof­fe­nen Unter­neh­men kann man ange­sichts der fast täg­li­chen Cyber­si­cher­heits­vor­fäl­le und Angrif­fe nur ans Herz legen, sich an den Vor­ga­ben der Richt­li­nie zu ori­en­tie­ren und in ihrem urei­ge­nen Inter­es­se – viel­leicht in etwas abge­schwäch­ter Form – eige­ne Maß­nah­men zu tref­fen, um die eige­ne IT-Sicher­heit zu stär­ken.

BEITRAG TEILEN
LinkedInXINGXFacebookEmailPrint

Über den autor

Aktuelles

Weitere Beiträge des Autors

Datenschutz 27. Juni 2024

Handelsregister: Kein Datenschutz für Gesellschafter, Geschäftsführer und Kommanditisten?

Spätestens seit das Handelsregister für alle einsehbar ist, würden viele Personen die dort über sie genannten Informationen gern einschränken. Doch nachdem der BGH entschied, dass kein Anspruch auf Löschung persönlicher Daten wie Geburtsdatum und Wohnort besteht, lehnte das OLG München nun sogar Korrekturen solcher Infos ab, die das Gesetz gar nicht vorschreibt.   Seit das Handelsregister kostenlos und ohne Registrierung...

Der BGH bestätigt seine harte Linie: Strafbarkeit bei CBD-Handel auch bei niedrigem THC-Gehalt möglich

Trotz aller politischen Absichtsbekundungen hinsichtlich einer Liberalisierung der Drogenpolitik bestätigte der BGH in seiner Entscheidung erneut eine uneingeschränkt strenge Haltung. Der CBD-Handel bleibt damit weiterhin in Deutschland ohne ausreichende Vorkehrungen und Kenntnisse rechtlich riskant, erklärt Gero Wilke.  (mehr …)