NIS-2-Richtlinie: Ein neuer Standard für Cybersicherheit von virtuellen Datenräumen in der EU

16.05.2024

Virtuelle Datenräume bieten einen besonderen Schutz vor Wirtschaftsspionage und Cyberangriffen und bieten einen sicheren Datenraum, hochsensible Daten zu speichern. Die Bedrohungslage im Cyberraum war noch nie so hoch wie heute. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet von immer professionelleren Cyberangriffen, die nicht nur große Unternehmen, sondern zunehmend auch kleine und mittlere Unternehmen (KMUs), Kommunen und staatliche Institutionen betreffen. Angesichts dieser wachsenden Bedrohungslage hat die EU die NIS-2-Richtlinie verabschiedet, die am 16. Januar 2023 in Kraft trat. Diese Richtlinie erweitert und verschärft die Anforderungen der zuvor geltenden NIS1-Richtlinie, um ein höheres und einheitliches Schutzniveau in der EU zu gewährleisten.

Ziel und Geltungsbereich der NIS-2-Richtlinie

Unternehmen müssen eigenständig prüfen, ob sie unter die Richtlinie fallen, da es keine offiziellen Benachrichtigungen geben wird. Betroffen sind Unternehmen mit mehr als 50 Mitarbeitenden und einem Jahresumsatz von über 10 Millionen Euro, sofern sie in einem der 18 definierten Sektoren tätig sind. Dazu zählen unter anderem Energie, Verkehr, Gesundheitswesen, Datenräume und andere digitale Infrastruktur.

Wichtige Neuerungen der NIS-2

Erweiterter Geltungsbereich

Im Vergleich zur NIS1-Richtlinie ist der Geltungsbereich der NIS-2 deutlich erweitert. Neben großen Unternehmen werden nun auch mittelgroße und kleinere Unternehmen sowie ihre Dienstleister und Zulieferer erfasst. Dabei wird zwischen wesentlichen und wichtigen Einrichtungen unterschieden, was unterschiedliche Anforderungen an die Aufsicht und Konsequenzen mit sich bringt.

Strenge Meldepflichten und Aufsicht

Die NIS-2-Richtlinie führt strenge Meldepflichten ein: Sicherheitsvorfälle müssen innerhalb von 24 Stunden nach deren Entdeckung an das BSI gemeldet werden. Eine erste Bewertung des Vorfalls muss innerhalb von 72 Stunden erfolgen, und ein detaillierter Abschlussbericht innerhalb eines Monats. Diese Meldepflichten sollen sicherstellen, dass Vorfälle schnell und effektiv behandelt werden können.

Das BSI wird voraussichtlich als Aufsichtsbehörde fungieren und erhält weitreichende Befugnisse, einschließlich der Möglichkeit, im Extremfall Geschäftsführungen zeitweise zu suspendieren. Hohe Geldstrafen drohen bei Nichteinhaltung der Richtlinie.

Schulungsverpflichtungen für die Geschäftsführung

Die NIS-2-Richtlinie nimmt die Geschäftsführung von Unternehmen stärker in die Pflicht. Sie ist nicht nur verantwortlich für die Genehmigung von Risikomanagementmaßnahmen, sondern muss auch selbst an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten im Bereich Cybersicherheit zu erlangen.

Maßnahmen zur Cybersicherheit

Unternehmen müssen eine Vielzahl von Sicherheitsmaßnahmen umsetzen, darunter Risikoanalysen, Business-Continuity-Management, Sicherheit in der Lieferkette und Multi-Faktor-Authentifizierung. Die Richtlinie gibt dezidierte Beispiele für Mindestmaßnahmen und unterscheidet dabei zwischen Anforderungen für große und kleinere Unternehmen, um deren unterschiedliche Ressourcen zu berücksichtigen.

Handlungsbedarf und Umsetzung

Bis zum 18. Oktober 2024 müssen die EU-Mitgliedstaaten die NIS-2-Richtlinie in nationales Recht überführen. In Deutschland existieren bereits Entwürfe für das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), die einen Ausblick auf die erwarteten Anforderungen geben.

Unternehmen sollten sich jetzt darauf vorbereiten, indem sie prüfen, ob sie von der NIS-2 betroffen sind, und ihre aktuellen Sicherheitsmaßnahmen evaluieren. Ein systematisches Risikomanagement und Pläne für Backup und Wiederherstellung sind ebenso essenziell wie die Fähigkeit, die strengen Meldepflichten einzuhalten. Besonders kleinere und mittlere Unternehmen, die bisher wenig Erfahrung im Bereich Cybersicherheit haben, sollten dringend Maßnahmen ergreifen.

Virtuelle Datenräume schützen

Die NIS-2-Richtlinie ist eine notwendige Antwort auf die zunehmenden Cyberbedrohungen und hilft, die Widerstandsfähigkeit von Unternehmen und virtuellen Datenräumen zu stärken. Während einige Anforderungen als streng empfunden werden könnten, tragen sie dazu bei, schwere Verluste und Imageschäden zu verhindern. Unternehmen tun gut daran, die Richtlinie gewissenhaft umzusetzen, um nicht nur Strafen zu vermeiden, sondern auch ihre Wettbewerbsfähigkeit ihrer Datenräume langfristig zu sichern.

Für weiterführende Informationen und Unterstützung bei der Umsetzung bietet sich die Teilnahme an spezialisierten Webinaren und der Austausch mit Cybersicherheitsexperten an. So können Unternehmen sicherstellen, dass sie den Anforderungen der NIS-2 gerecht werden und ihre IT-Sicherheitslage nachhaltig verbessern.