Cybersicherheit

Cybersicherheit im Unternehmen

Neue EU-Richtlinie NIS 2 verschärft Cybersicherheitsanforderungen für Unternehmen

Seit Jahren wird die Welt digitaler und das Thema Cybersicherheit wird von vielen Unternehmen schon angegangen. Eine neue Regelung zur Cybersicherheit für „kritische Infrastruktur“ sorgt auch in Deutschland dafür, dass für viele Firmen eine neue Umstrukturierung und Neuregelung beim Thema IT-Sicherheit nötig ist. Ob Sie zu den mehr als 30.000 betroffen Unternehmen zählen, erfahren Sie in unserem Beitrag.

NIS 1 und NIS 2

Die NIS-2-Richtlinie der Europäischen Union (EU) wurde eingeführt, um die Cybersicherheit zu stärken und die digitale Resilienz zu verbessern. Sie erweitert und ersetzt die ursprüngliche NIS-Richtlinie von 2016. Im Vergleich zur ursprünglichen NIS-Richtlinie weitet NIS-2 den Anwendungsbereich auf weitere Sektoren aus und erfordert strengere Sicherheitsprotokolle sowie höhere Anforderungen an die Verantwortlichkeit der Führungskräfte. Die Richtlinie fördert Sicherheitspraktiken und regelmäßige Updates, um ein hohes Maß an Cybersicherheit zu gewährleisten​. Das oberste Ziel ist es, dass sowohl öffentliche als auch private Sektoren in der EU ihre Cyberabwehr stärken und widerstandsfähiger gegen Cyberangriffe werden.

Ziele und Umsetzung

Die NIS-2-Richtlinie zielt darauf ab, den Schutz kritischer Infrastrukturen und wesentlicher Dienste vor Cyberbedrohungen zu erhöhen. Die Richtlinie fördert Sicherheitspraktiken und regelmäßige Updates, um ein hohes Maß an Cybersicherheit zu gewährleisten​.

Die EU-Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen​. Ab dem 18. Oktober greifen dann europaweit die neuen Regelungen. In Deutschland erfolgt die Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz.

Die neue Richtlinie setzt auf Selbstermittlung der Unternehmen, verschärft jedoch zugleich die Meldepflichten und Sanktionen in Hinblick auf die die Cybersicherheit. So können bei wesentlichen Einrichtungen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden, je nachdem welcher Betrag höher ist.

Betroffene Unternehmen

NIS-2 gilt für eine breite Palette von Unternehmen und Sektoren, die als „wesentliche“ oder „wichtige“ Diensteanbieter eingestuft werden. Auch Unternehmen außerhalb der EU, die Dienste innerhalb der EU anbieten und „Sonderfälle“ können von der Richtlinie betroffen sein​. Ausschlaggebend sind zur Beurteilung die folgenden die folgenden Einstufungen:

Besonders wichtige Einrichtungen

Als besonders wichtige Einrichtungen im Sinne der Neuregelungen gelten Unternehmen ab 250 Mitarbeitenden oder mit einem Umsatz von mindestens 50 Mio. € und einer Bilanzsumme über 43 Mio. €. Es gibt zudem einige Sonderfälle, zu denen die Anbieter von Telekommunikationsdienstleistungen zählen.

Wichtige Einrichtungen

Wenn Ihr Unternehmen mehr als 50 Mitarbeitende oder mehr als 10 Mio. € Umsatz und eine Bilanzsummer über 10 Mio. € hat, gilt es als wichtige Einrichtung. Auch sogenannte Vertrauensdienste, als zum Beispiel Betreiber von Rechenzentren, Servern oder DNS-Diensten, gelten als wichtige Einrichtung.

Betreiber kritischer Anlagen (KRITIS)

Als Betreiber kritischer Einrichtungen gelten unter insbesondere die Bereiche Energie, Transport, Gesundheit, Wasserwirtschaft, Finanzen und Versicherungen, Ernährung, Abfallentsorgung, digitale Infrastruktur und teilweise auch Informationstechnik und Telekommunikation​​.

Bundeseinrichtungen

Nicht nur Unternehmen sind betroffen, sondern unter anderem auch verschiedene Bundeseinrichtungen, Industrie- und Handelskammern und Institutionen der sozialen Sicherung.

Fazit und weitere Informationen

Zusammenfassend lässt sich feststellen, dass ein größerer Kreis an Unternehmen als bisher unter die Regulierungen für IT-Sicherheit fällt. Unabhängig davon ist es jedoch sinnvoll, für Sie als Unternehmer*in für Ihr Unternehmen zu prüfen welche Anforderungen an IT-Sicherheit Sie bereits erfüllen. Eine Unterstützung bietet Ihnen dabei unser Beitrag 5 Schritte zur optimierten IT-Sicherheit.

Einen tieferen Einblick in die Regelungen gibt OpenKRITIS auf seiner Website ↗.

Aktuelle Beiträge

e-Kassensystem
Aktuelles

Meldung elektronischer Kassensysteme

Ab dem 1. Januar 2025 wird eine wichtige Neuerung für alle Betreiber von elektronischen Kassensystemen wirksam: Die verpflichtende elektronische Meldung von Kassensystemen an das Finanzamt.

Steuerhinterziehung(1)
Aktuelles

Berufliche Konsequenzen bei Steuerhinterziehung

Steuerhinterziehung wird nicht nur strafrechtlich verfolgt, sondern kann auch ernsthafte berufliche Folgen für die Betroffenen haben. Dabei spielt es keine Rolle, ob die Hinterziehung vorsätzlich