Für viele Unternehmen gelten nun deutlich strengere Anforderungen in Sachen Cybersicherheit – auch dann, wenn sie bisher nicht zu den „kritischen Unternehmen“ zählten.
Der Grund: Mit dem neuen NIS-2-Umsetzungsgesetz hat Deutschland die europäische NIS-2-Richtlinie vollständig in nationales Recht überführt.
Wenn es um Cybersicherheit bei Unternehmen geht, ist oft auch von „kritischer Infrastruktur“ die Rede. Doch damit sind nicht nur Energieversorger, Krankenhäuser oder Finanzinstitute gemeint. Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) betrifft deutlich mehr Bereiche, zum Beispiel Unternehmen der Lebensmittelproduktion.
Und: NIS 2 macht Cybersicherheit zur Chefsache. Denn bei Verstößen drohen nicht nur Sanktionen; unter Umständen ist sogar eine persönliche Haftung möglich.
NIS-2 – Worum es geht
Die NIS-2-Richtlinie soll ein einheitliches Sicherheitsniveau für Netz- und Informationssysteme in der EU sicherstellen und legt verbindliche Pflichten für Unternehmen und Behörden fest. Unter deren Vorschriften fallen in Deutschland ca. 30 000 Unternehmen, was viele vor große Herausforderungen stellt. Es geht um die nachweisbare Umsetzung eines ganzen Katalogs von technischen und organisatorischen Maßnahmen zur Sicherstellung des Risikomanagements für Cybersicherheitsgefährdungen.
„Wichtige“ und „besonders wichtige“ Unternehmen
Die NIS-2-Richtlinie klassifiziert Unternehmen in so genannte „Sektoren“ und berücksichtigt hierbei auch Umsatz und Mitarbeiteranzahl. Hat ein Unternehmen 50 oder mehr Mitarbeiter oder übersteigen Umsatz und Bilanzsumme pro Jahr 10 Mio. Euro, und ist das Unternehmen in einem von der NIS-2 betroffenen Sektoren (z. B. Lebensmittel und Ernährung) angesiedelt, definiert der Gesetzgeber diese Unternehmen bereits als wichtige Einrichtung.
Zur besonders wichtigen Einrichtung werden Unternehmen ab 250 Mitarbeitenden und 50 Mio. Euro Umsatz pro Jahr.
Darüber hinaus zählen viele Unternehmen zur so genannten „kritischen Infrastruktur“. Diese wird anhand von Schwellenwerten wie beispielsweise der Anzahl der zu versorgenden Menschen definiert. Hier gelten besondere gesetzliche Vorgaben hinsichtlich des erforderlichen Risikomanagements, der Maßnahmen zur Cybersicherheit und des ebenfalls notwendigen Business Continuity Managements.