Deprecated: Automatic conversion of false to array is deprecated in /app/de/wp-content/plugins/wpml-sticky-links/classes/class-wpml-sticky-links.php on line 19

Notice: Die Funktion wp_enqueue_script wurde fehlerhaft aufgerufen. Skripte und Stile sollten nicht vor den Hooks wp_enqueue_scripts, admin_enqueue_scripts oder login_enqueue_scripts registriert oder eingebunden werden. Dieser Hinweis wurde durch das Handle jobs-script verursacht. Weitere Informationen: Debugging in WordPress (engl.). (Diese Meldung wurde in Version 3.3.0 hinzugefügt.) in /app/de/wp-includes/functions.php on line 6114

Warning: Undefined variable $tipos in /app/common/themes/auren/inc/functions-theme.php on line 419

Deprecated: Creation of dynamic property wpml_cms_nav_cache::$name is deprecated in /app/de/wp-content/plugins/wpml-cms-nav/inc/cache.class.php on line 36

Deprecated: Creation of dynamic property wpml_cms_nav_cache::$cache_to_option is deprecated in /app/de/wp-content/plugins/wpml-cms-nav/inc/cache.class.php on line 37
Cybersecurity und NIS2
  • 06.03.2025

Cybersecurity und NIS2

Cybersecurity und NIS2

Die Bedrohungslage im Bereich Cybersicherheit wächst stetig – Angriffe auf Unternehmen, Behörden und kritische Infrastrukturen nehmen zu und können schwerwiegende wirtschaftliche sowie gesellschaftliche Folgen haben. Um diesem Risiko zu begegnen, verschärft die Europäische Union mit der NIS2-Richtlinie die Anforderungen an IT-Sicherheit und Risikomanagement.

Die neue Richtlinie weitet den Kreis der betroffenen Unternehmen erheblich aus, setzt strengere Sicherheitsstandards und fordert eine engere Zusammenarbeit entlang der Lieferkette. Gleichzeitig bringt sie verschärfte Meldepflichten und erhebliche Sanktionen bei Verstößen mit sich. Mittelständische Unternehmen sollten also prüfen, ob sie selbst als „wesentliche“ oder „wichtige“ Einrichtungen gelten oder ob sie indirekt über einen Geschäftspartner einer „betroffenen“ Lieferkette angehören.

Wir erklären die zentralen Neuerungen von NIS2, zeigen den daraus resultierenden Handlungsbedarf für Unternehmen auf und und geben praxisnahe Empfehlungen, um die Anforderungen frühzeitig zu erfüllen.

NIS2 – Was bedeutet das für Ihr Unternehmen?

Die Network and Information Systems Directive 2 (im Folgenden „NIS2-Richtlinie“ oder „NIS2“) der Europäischen Union stellt eine bedeutende Weiterentwicklung der NIS1-Richtlinie dar und verfolgt das Ziel, die Cybersicherheit in der Europäischen Union weiter zu stärken. Im Vergleich zur NIS1-Richtlinie bringt die NIS2 eine Reihe von Neuerungen und deutlich strengeren Anforderungen, die Unternehmen und Organisationen betreffen.

Wen betrifft die NIS2?

Im Vergleich zu NIS1 wurde im Rahmen von NIS2 der Kreis betroffener Unternehmen deutlich erweitert. Während NIS1 sich nur auf große Unternehmen ausgewählter kritischer Sektoren wie Energie, Transport, Banken und Gesundheitswesen konzentrierte, umfasst NIS2 nun eine weitaus größere Zahl an Sektoren. Dazu gehören auch die öffentliche Verwaltung, Lebensmittelproduktion, Abfallwirtschaft, die verarbeitende Industrie, Luftfahrt, Gesundheit, digitale Infrastruktur und viele andere Einrichtungen, die als wichtig oder wesentlich für die Gesellschaft oder Wirtschaft angesehen werden. Zudem führt NIS2 eine Unterscheidung zwischen „wesentlichen“ und „wichtigen“ Einrichtungen ein.

Dies bedeutet, dass nun auch mittelständische Unternehmen (KMUs), die als wichtig oder wesentlich für die Wirtschaft oder Gesellschaft angesehen werden, in den Geltungsbereich der Richtlinie fallen können und entsprechende Sicherheitsvorkehrungen treffen müssen. Zudem können aufgrund der Änderungen durch die NIS2 Unternehmen auch indirekt unter den Anwendungsbereich der NIS2 fallen, wenn die eben genannten Kriterien nicht auf sie direkt zutreffen, jedoch auf einen ihrer Geschäftspartner. Denn die betroffenen Unternehmen müssen neben der Umsetzung der NIS2-Anfoderungen im eignen Geschäftsbereich auch die Umsetzung innerhalb ihrer Lieferkette überprüfen bzw. gewährleisten.

Ab wann gilt die NIS2?

Der nationale Gesetzgeber ist verpflichtet, die NIS2-Richtlinie bis Oktober 2024 in nationales Recht umzusetzen. Es ist jedoch absehbar, dass die Umsetzung frühestens nach der Bundestagswahl im Bundestag verabschiedet wird. Dies führt dazu, dass deutsche Unternehmen derzeit keine gesetzliche Grundlage mit konkreten Details haben, was für Unsicherheit sorgt. Gleichzeitig droht Deutschland ein Vertragsverletzungsverfahren durch die EU, falls die Frist nicht eingehalten wird. Trotz dieser Unsicherheiten ist es für Unternehmen ratsam, sich zeitnah mit den Anforderungen der NIS2 auseinanderzusetzen und entsprechende Maßnahmen zu ergreifen.

Welche Änderungen bringt NIS2 für direkt oder indirekt betroffene Unternehmen?

Durch NIS2 werden die Sicherheitsanforderungen im Bereich Cybersicherheit deutlich verschärft. In NIS1 waren die Sicherheitsanforderungen noch nicht harmonisiert und wurden von den einzelnen Mitgliedsstaaten der Europäischen Union unterschiedlich umgesetzt. NIS2 bringt nun einheitliche und gleichzeitig strengere Mindestanforderungen an die Cybersicherheit mit sich, die alle Unternehmen in den betroffenen Sektoren erfüllen müssen. Diese umfassen unter anderem strengere Vorgaben zum Risikomanagement und zur Handhabung von Sicherheitsvorfällen, was eine proaktive und koordinierte Reaktion auf mögliche Bedrohungen im Bereich Cybersicherheit erforderlich macht.

Ein weiterer wichtiger Aspekt sind die strengeren Meldepflichten. Gemäß NIS2 müssen Sicherheitsvorfälle nun innerhalb von 24 Stunden nach deren Entdeckung gemeldet werden, und die vollständige Meldung muss spätestens 72 Stunden nach dem Vorfall erfolgen. Diese kürzeren Fristen sollen sicherstellen, dass schnell auf Vorfälle reagiert werden kann, um größere Schäden zu vermeiden und die betroffenen Systeme rasch wiederherzustellen.

Ein zentrales – und nicht zu unterschätzendes – Element von NIS2 ist die Lieferkettensicherheit. Die betroffenen Unternehmen müssen gemäß NIS2 ihre Cybersicherheitsrisiken innerhalb ihrer Lieferketten aktiv managen. Dies bedeutet, dass Unternehmen ihre Lieferanten und Geschäftspartner auf ihre Cybersicherheitsstandards überprüfen und sicherstellen müssen, dass diese ebenfalls den Vorgaben von NIS2 entsprechen. Unternehmen, die nicht direkt betroffen sind, könnten trotzdem von Geschäftspartnern verpflichtet werden, Nachweise und Erklärungen zur NIS2-Konformität zu erbringen. Falls diese nicht erbracht werden können, droht der Verlust von Aufträgen.

Durch NIS2 wird auch die Durchsetzung und Sanktionierung konkretisiert. NIS2 führt eine einheitliche Sanktionierung auf EU-Ebene ein. Unternehmen, die gegen die Vorgaben der Richtlinie verstoßen, können mit erheblichen Geldstrafen belegt werden, die bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen können – ähnlich wie bei der Datenschutz-Grundverordnung (DSGVO). Neben Geldstrafen kann die Geschäftsführung mit beruflichen Sanktionen wie der vorübergehenden Untersagung der Tätigkeit, persönlicher Haftung für Schäden, Reputationsverlust sowie disziplinarischen Maßnahmen (z. B. in öffentlichen Einrichtungen) rechnen.

In Bezug auf die Governance und das Berichtswesen gibt NIS2 konkrete Vorgaben, indem sie die Mitgliedsländer nun zu regelmäßigen Berichterstattungen verpflichtet. Zudem wird ein „EU-Cyber-Krisenmanagement-Mechanismus“ (CyCLONe) eingeführt, um im Falle eines größeren Cybervorfalls eine koordinierte und effiziente Reaktion zu gewährleisten.

Zusammenfassend lässt sich sagen, dass NIS2 die Anforderungen an die Cybersicherheit erheblich verschärft. Die Erweiterung des Anwendungsbereichs, die strengeren Meldepflichten, Sanktionen und die verstärkte Fokussierung auf Lieferkettensicherheit machen deutlich, dass Unternehmen zunehmend in die Verantwortung genommen werden, ihre Systeme zu schützen und Risiken aktiv zu managen.

Welche konkreten Schritte müssen betroffene Unternehmen nun umzusetzen?

Wir empfehlen den Unternehmen, die direkt oder indirekt unter den Anwendungsbereich der NIS2-Richtlinie fallen, rechtzeitig aktiv zu werden, um den neuen gesetzlichen Anforderungen gerecht zu werden, sobald die Richtlinie in deutsches Gesetz umgesetzt wird. Hierbei ist es zunächst entscheidend, die Betroffenheit des eigenen Unternehmens zu analysieren. Unternehmen sollten prüfen, ob sie selbst als „wesentliche“ oder „wichtige“ Einrichtungen gelten oder ob sie indirekt über einen Geschäftspartner einer „betroffenen“ Lieferkette angehören.

Darüber hinaus sollten Unternehmen eine Risikoanalyse durchführen und ein effektives Risikomanagement etablieren. Hierbei sollten sie ihr Bruttorisiken erkennen und bewerten und auf dessen Basis Maßnahmen implementieren, Cybersicherheitsstrategien entwickeln, Notfallpläne und Business-Continuity-Konzepte aufstellen und Maßnahmen zur Sicherung der Lieferkette ergreifen.

Zur Umsetzung der Sicherheitsanforderungen gehört die Implementierung von Schutzmaßnahmen. Zudem sollte ein Schulungskonzept zur Cybersicherheit erstellt werden, um Mitarbeiter für potenzielle Risiken zu sensibilisieren. Zudem müssen die bestehenden Geschäftsprozesse in Bezug auf Cybersicherheit auf Gesetzeskonformität überprüft und gegebenenfalls angepasst werden.

Unternehmen sind außerdem dazu verpflichtet Berichtswege und Meldeprozesse einzurichten, um Sicherheitsvorfälle schnell und korrekt zu melden. Um im Falle einer Prüfung oder eines Audits gewappnet zu sein, ist es wichtig, alle getroffenen Maßnahmen ordnungsgemäß zu dokumentieren und nachvollziehbar zu machen.

Wie Auren Sie unterstützen kann

Wir bieten Ihnen die Möglichkeit, in einem effizienten und standardisierten Workshop gemeinsam Ihre Betroffenheit in Bezug auf die NIS2-Richtlinie zu analysieren.

Sollte Ihr Unternehmen direkt oder indirekt betroffen sein, können wir Sie gern mit einem Health-Check im Bereich Cybersicherheit unterstützen, bei dem wir ihren aktuellen Status Quo in Bezug auf die gesetzlichen Anforderungen im Bereich Cybersicherheit bewerten, ein für sie passgenaues Zielbild für ihre Cybersicherheitsmaßnahmen definieren und konkrete, individuelle Handlungsempfehlungen ableiten.

Um optimal aufgestellt zu sein, empfehlen wir dringend, sich frühzeitig mit den neuen Anforderungen auseinanderzusetzen und entsprechende Maßnahmen zur Umsetzung zu ergreifen, um rechtlichen Problemen sowie potenziellen Sicherheitsvorfällen vorzubeugen.

Kontaktieren Sie uns:

Saskia Korte
Wirtschaftsprüferin, Steuerberaterin
saskia.korte@auren.de
+49 40 2982359 26

Nadiia Lisova
Data Analyst
nadiia.lisova@auren.de
+49 711 997868 – 852


Warning: Undefined array key 0 in /app/de/wp-content/plugins/wpml-media-translation/classes/class-wpml-media-attachment-by-url-query.php on line 99

Warning: Undefined array key 3 in /app/de/wp-content/plugins/wpml-media-translation/classes/class-wpml-media-attachment-by-url-query.php on line 163

Warning: Undefined array key 4 in /app/de/wp-content/plugins/wpml-media-translation/classes/class-wpml-media-attachment-by-url-query.php on line 163