3D Illustration von einem geschlossenen Vorhangschloss vor einem geöffneten Laptop platziert, ringsum visuell die technischen Netzwerkfäden
© Hein | stock.adobe.com
Güterbeförderungsgewerbe, Fachgruppe

Cybersicherheits-Richtlinie NIS 2

Lesedauer: 3 Minuten

14.05.2024

Ziel der Richtlinie 

Die Cybersicherheits-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern. 

Welche Unternehmen sind betroffen? 

Betroffen sind große und mittlere Unternehmen.

Ab wann gilt ein Unternehmen als groß oder mittel? 

Die Einstufung einer Einrichtung als „mittleres Unternehmen“ oder als „großes Unternehmen“ richtet sich nach der Anzahl der Mitarbeiter, dem Jahresumsatz und der Jahresbilanzsumme. 

Eine Einrichtung gilt als „großes Unternehmen“, wenn sie zumindest 250 Mitarbeiter beschäftigt oder wenn sie einen Jahresumsatz von über 50 Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über 43 Millionen Euro beläuft.

Eine Einrichtung gilt als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeiter beschäftigt, ODER wenn sie einen Jahresumsatz von über zehn Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über zehn Millionen Euro beläuft, sofern sie nicht bereits als großes Unternehmen gilt. 

Welche Sektoren sind unmittelbar und mittelbar betroffen? 

Der bisherige Anwendungsbereich der NIS-Richtlinie nach Sektoren wird mit NIS2 auf einen weit größeren Teil der Wirtschaft ausgeweitet, um eine umfassende Abdeckung der Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind.

Zusätzlich können auch Subunternehmer mittelbar betroffen sein: Von NIS2 betroffene Einrichtungen müssen die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern beachten.

Der derzeitige Entwurfstext des NISG 2024 gilt für bestimmte Unternehmen (nach § 24 ab einer gewissen Größe, in bestimmten Sektoren, angeführt in den Anlagen 1+2), weil diese als wichtige oder wesentliche Einrichtung gelten.  

Beispiele für die Betroffenheit in der Sparte Transport und Verkehr: 

  • Post und Kurierdienste. Kurierdienste gemäß 3 Z4a PMG sind ausdrücklich gelistet. Güterbeförderer, welche Kurierdienste nach dem PMG durchführen und ein großes oder mittleres Unternehmen darstellen sind somit betroffen.  
  • Luftfahrtunternehmen, Flughafenleitungsorgane, Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen 
  • Schienenverkehr-Infrastrukturbetreiber im Sinne des Artikels 3 Nummer 2 der Richtlinie 2012/34/EU und Eisenbahnunternehmen
  • Passagier- und Frachtbeförderungsunternehmen, Leitungsorgane von Häfen, Betreiber von Schiffsverkehrsdiensten 
  • Betreiber intelligenter Verkehrssysteme Straßenverkehrsbehörden

Erwähnenswert ist auch die Betroffenheit des Sektor Energie und der Abfallbewirtschaftung.

Zeitrahmen der Umsetzung

Die Regelungen gelten voraussichtlich ab 18. Oktober 2024 – nach der Umsetzung der Richtlinie in das NISG 2024 – für die betroffenen Einrichtungen. Es sind keine weiteren Übergangsfristen vorgesehen, das heißt die Verpflichtungen gelten ab diesem Zeitpunkt.

Es folgen nationale Verordnungen, insbesondere für die Festlegung der Risikomanagementmaßnahmen, die Registrierung für wesentliche und wichtige Einrichtungen, sowie EU-Durchführungsrechtsakte für die Risikomanagementmaßnahmen in Bezug auf DNS-Diensteanbieter, TLD-Namenregister, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, usw.

Wir empfehlen jedoch dringend mit der Umsetzung der Regelungen im Unternehmen so früh wie möglich zu beginnen, da die geforderten Maßnahmen (z.B. Risikomanagementsystem, Datensicherungskonzepte) entsprechende Vorlaufzeit benötigen.

Registrierungspflich 

Betroffene Einrichtungen müssen sich binnen 3 Monaten nach Inkrafttreten des NISG 2024 registrieren. 

Risikomanagement und Berichtspflichten 

Es sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten. Die Leitungsorgane (Geschäftsführer:in bei GmbH, Vorstand und Aufsichtsrat bei Aktiengesellschaft) haben die Einhaltung der Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen, haften der Einrichtung für den schuldhaft verursachten Schaden und müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen.

Bei erheblichen Cybersicherheitsvorfällen gibt es ein dreistufiges Meldeverfahren an das zuständige CSIRT (Cybersecurity Incident Response Team).

Hohe Strafen drohen 

Bei Nichterfüllung (Registrierungspflicht, Meldepflicht von Sicherheitsvorfällen, setzen von Risikomanagementmaßnahmen) drohen Sanktionen bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen. 

Umsetzungspunkte: 

  1. Betroffenheit klären: Nutzen Sie unseren kostenlosen Online-Ratgeber, um zu klären, ob Ihr Unternehmen betroffen ist.
  2. Ressourcen einplanen: Planen Sie Budget und personelle Ressourcen für die Umsetzung ein.
  3. Verantwortlichkeit klären:
    Bestimmen Sie eine Person im Unternehmen, die für die Umsetzung der Regelungen operativ (haupt-)verantwortlich ist.
    Suchen Sie sich rechtzeitig kompetente externe Partner, die Sie bei der Umsetzung unterstützen.
    Die Leitungsorgane müssen die Maßnahmen billigen, ihre Umsetzung überwachen und haften persönlich für Verstöße.
  4. Risikoanalyse und Lücken in Bezug auf NIS2
  5. Maßnahmen ermitteln
  6. Maßnahmen umsetzen
  7. Geschäftskontinuität sicherstellen
  8. kontinuierliche Überprüfung 

Unterstützung, Förderungen und Ansprechpartner zum Thema NIS 2 

Details zu NIS 2, zu Förderungen, Workshops, Online Seminar findet man unter folgendem links:

Weitere interessante Artikel
  • Hand hält ein rot-weißes Warnschild mit Halt Grenze
    Türkei: Übergangsprozess von NCTS-Phase 5 und Empfehlungen zur TIR-Nutzung
    Weiterlesen