Die Rede ist von Cyberattacken. Im Rahmen der zunehmenden Digitalisierung kommt es immer häufiger zu Cyberangriffen. Dies bestätigt auch Juhan Lepassaar, der Direktor der Europäischen Agentur für Cybersicherheit (ENISA). Er weist darauf hin, dass sich Angriffe von Hackern im Verlauf des Jahres 2023 zu 2024 gehäuft haben. Grund genug, dass im Hinblick auf Cybersicherheit eine Verbesserung angestrebt wird. Deshalb gibt es seit dem 16. Januar 2023 die NIS2-Richtlinie, um ein höheres und einheitliches Cybersicherheitsniveau in der EU zu gewährleisten. NIS steht dabei für „The Network and Information Security“. Damit verbunden sind auch strengere Sicherheitsanforderungen und Meldepflichten für Unternehmen und verschiedene Branchen. Alles, was Sie dazu wissen müssen, erfahren Sie in diesem Artikel.
NIS2-Richtlinie: Hintergründe
Dahinter verbergen sich Maßnahmen, die im Rahmen einer Cyberstrategie in der Europäischen Union (EU) umgesetzt werden sollen. Grund dafür sind zunehmende Cyberangriffe. Um dieser Entwicklung entgegenwirken zu können, werden durch die NIS2-Richtlinie bereits bestehende Regelungen ausgebaut und erweitert, um Sicherheitslücken zu schließen.
NIS2 ist die Weiterentwicklung der ersten Richtlinie, NIS1, die sich vorrangig auf die Betreiber von kritischen Infrastrukturen und bestimmten digitalen Diensten fokussierte. Durch die Veränderungen im Bereich Cybersicherheit wurde eine Erweiterung dringend erforderlich, um auch digitale Plattformen, neuere Industriebereiche und mittelständische Unternehmen gegen Cyberattacken zu schützen. Zuvor waren meist klassische Sektoren, wie Transport oder auch Energie, Ziele solcher Angriffe.
Ein sehr bekanntes Beispiel war der Cyberangriff auf die Firma SolarWinds im Jahr 2020, bei dem die Lieferkette des Unternehmens im Fokus stand. Das Problem dabei war, dass der Schadcode in einer Software steckte, der das Unternehmen eigentlich vertraute. Mithilfe der neuen NIS2-Richtlinie sollen nun potenzielle Schwachstellen geschlossen werden.
Hannes Sachse ist zuständig für den Bereich Service Partner & Tender Manager, DACH bei Schneider Electric. Sachse beschäftigt sich schon seit mehreren Jahren mit dem Thema Cybersicherheit und sieht auch die Hersteller in der Verantwortung, die Betreiber bei der Erfüllung der Anforderungen zu unterstützen. Er weiß, was das jetzt für Unternehmen bedeutet: „Die NIS-Richtlinie legt Maßnahmen zur Cybersicherheit fest, wie z. B. ein Risikomanagement, Meldepflichten und besondere Schutzmaßnahmen. Unternehmen müssen ein ihrem Risikoprofil und ihrer Branche entsprechendes Sicherheitsniveau definieren, dokumentieren und dieses regelmäßig überprüfen.“
Aus NIS1 wird NIS2
NIS1 (Richtlinie 2016/1148) hatte die Aufgabe, innerhalb der EU als Rechtsvorschrift die Cybersicherheit von Netz- und Informationssystemen (NIS) zu erhöhen. Ziel war es, Wirtschafts- und lebenswichtige Dienste zu schützen. Aufgrund des Anstiegs der Cyberbedrohungen in Europa wurde NIS1 erweitert und durch die neue Richtlinie NIS2 ersetzt. Damit einhergehend sind deutlichere Vorschriften, umfassendere Anwendungsbereiche und stärkere Aufsichtsinstrumente. Durch den einheitlichen Rechtsrahmen soll die Cybersicherheit in 18 kritischen Sektoren aufrechterhalten werden. Dazu kommen weitere Anforderungen im Bereich der Cybersicherheit.
Ziele der NIS2-Richtlinie
Weitere Hauptziele der NIS2-Richtlinie sind auch die Verbesserung der Zusammenarbeit zwischen den Mitgliedsstaaten, die verstärkte Aufsicht und verbindliche Mindeststandards. Wie diese sogenannten NIS2-Sicherheitsstandards eingehalten werden können, weiß Björn Brand von Schneider Electric (Functional Safety with IT/ OT Security, Service DACH): „Um die Umsetzung der neuen Vorgaben nachzuweisen, müssen Unternehmen regelmäßige Audits und Systemüberprüfungen durchführen. Zudem sind sie verpflichtet, im Falle eines Audits eine umfassende Dokumentation zur Verfügung zu stellen.“
Wer ist davon betroffen?
Ob ein Unternehmen von der NIS2-Richtlinie betroffen ist oder nicht, das wird durch zwei Kategorien entschieden:
- Wesentliche Einrichtungen
- Wichtige Einrichtungen
Zur ersten Kategorie gehören Betreiber kritischer Infrastrukturen mit hoher Relevanz in Gesellschaft und Wirtschaft und zur zweiten Kategorie Unternehmen aus dem Mittelstand, die eine tragende Rolle für den digitalen Binnenmarkt innehaben.
Um zu überprüfen, ob Ihr Unternehmen von der Regelung betroffen ist, helfen noch folgende Merkmale:
- Unternehmen mit über 50 Beschäftigten und einem Jahresumsatz von mindestens 10 Mio. Euro.
- Großunternehmen mit mindestens 250 Beschäftigten und einem Jahresumsatz von über 50 Mio. Euro oder einer Bilanzsumme von über 43 Mio. Euro
Brand betont, dass es vor allem für Unternehmen schwierig sei, mit ihren bereits bestehenden Systemen die neuen Anforderungen der NIS2-Richtlinie erfüllen zu können.
Welche Änderungen und Neuerungen gibt es?
Innerhalb der EU soll es einheitliche Sicherheitsanforderungen geben. Das Ziel dieser Mindeststandards ist es, gleiche Wettbewerbsbedingungen zu schaffen und so die Cybersicherheit in Einklang zu bringen.
Auch im Bereich der Meldepflichten hat sich etwas getan. Die Erstmeldung von einem Sicherheitsvorfall muss innerhalb von 24 Stunden nach dem Erkennen erfolgen. Ebenfalls betroffen von den Neuerungen ist das Risikomanagement. Als verbindliche Maßnahme für die Risikoanalyse müssen Mehrfaktorauthentifizierung und Segmentierung von Netzwerken erfolgen.
Hannes Sachse empfiehlt „(…) ein schrittweises Vorgehen, das mit einer umfassenden Risiko- und Bedarfsanalyse beginnt.“ So müssten nicht alle Komponenten ausgetauscht werden, sondern nur die veralteten. Damit ließe sich das Budget etwas schonen und Kapazitäten im Betrieb anpassen, ohne den laufenden Betrieb in Gefahr zu bringen.
Björn Brand weist darauf hin, dass viele Angriffe erst durch menschliches Fehlverhalten möglich wären und es deshalb wichtig sei, Beschäftigte regelmäßig zu schulen. Sowohl Sachse als auch Brand sind sich einig, dass Bedrohungen immer komplexer werden und es deshalb wichtig ist, auch mit Abwehrmechanismen dem technischen Fortschritt zu folgen.
Herausforderungen bei der Umsetzung der NIS2-Richtlinie
Die Umsetzung der NIS2-Richtlinie bringt einige Herausforderungen mit sich. Bisherige IT-Sicherheitskonzepte müssen überarbeitet und neue Prozesse auch implementiert werden. Dafür müssen Unternehmen in neue Technologien investieren und auch Beschäftigte schulen oder zusätzliches Fachpersonal einstellen. Das sieht auch Björn Brand so: „Wichtig sind auch regelmäßige Sicherheitsschulungen der Mitarbeitenden. Denn viele Angriffe werden erst durch menschliches Fehlverhalten möglich.“ Auch konkurrieren Unternehmen miteinander, wenn es um Fachleute im Bereich Cybersicherheit geht. Diese sind nämlich nur begrenzt verfügbar und so steigt der Konkurrenzkampf um qualifizierte Fachkräfte, die dabei helfen sollen, neue Vorschriften einhalten zu können.
Mögliche Sanktionen bei Nichteinhaltung der NIS2-Richtlinie
Maßnahmen sind ja schön und gut, aber was passiert, wenn ich als Unternehmen die NIS2-Vorgaben nicht einhalte? In der Richtlinie sind auch diverse Sanktionen vermerkt. Unter anderem Bußgelder in Höhe von 2 Prozent des weltweiten Jahresumsatzes oder eine Verpflichtung zur Nachbesserung und sogar mögliche Betriebsaussetzungen. Letzteres wäre aber nur nach § 31 Abs. 2 BSIG nur bei schwerwiegenden Fällen erlaubt.
Die Sanktionen mögen zunächst sehr drastisch wirken und Eindruck machen, aber in der Praxis sieht die Situation etwas anders aus. Schwerwiegende Maßnahmen würden auch ein langwieriges Prüfungs- und Verwaltungsverfahren nach sich ziehen.
Viel realistischer sind dagegen indirekte Folgen, die aus einer Nichteinhaltung der NIS2-Richtlinie resultieren können. Sie können aus Lieferketten ausgeschlossen oder bei öffentlichen Ausschreibungen nicht berücksichtigt werden. Das sind nur ein paar Beispiele. So stellt die NIS2-Richtlinie nicht nur eine Verpflichtung dar, sondern vielmehr eine Art Schutzschild gegen Cyberangriffe. So sollte sie auch angesehen werden. Wer die NIS2-Anforderungen rechtzeitig umsetzt, wird langfristig seine Wettbewerbsfähigkeit verlängern können. Zusätzlich dient es auch als Signal für Verantwortungsbewusstsein gegenüber Stake- und Shareholdern.
Ausblick und Fazit
Was lässt sich also abschließend über die neue NIS2-Richtlinie sagen? Für Björn Brand steht vor allem aktives Handeln im Vordergrund: „Cybersecurity ist keine Option, sondern eine Pflicht. Unternehmen müssen proaktiv handeln, um Standards wie NIS2 zu erfüllen und im eigenen Interesse widerstandsfähiger gegen neue Bedrohungen zu werden.“
Mit der neuen Richtlinie ist ein weiterer Schritt in Richtung Stärkung der Cybersicherheit in Europa getan worden. Unternehmen sind jetzt im Zugzwang und müssen sich frühzeitig auf die neuen Anforderungen einstellen, um Sanktionen zu vermeiden. Letztlich können somit in der Europäischen Union Sicherheitslücken geschlossen und die Cybersicherheit erhöht werden, sodass Unternehmen wirksam gegen Cyberangriffe in Zukunft geschützt sind. Dafür müssen Unternehmen allerdings zeitnah handeln und auch Investitionen tätigen. Sie stehen vor der Herausforderung, die Vorgaben der NIS2-Richtlinie in bestehende Strukturen zu integrieren? Unsere Expert:innen helfen Ihnen dabei, Sicherheitslücken zu identifizieren, Prioritäten zu setzen und praxisgerechte Maßnahmen umzusetzen – Schritt für Schritt und im laufenden Betrieb. Lernen Sie jetzt unsere Energieberatungsservices näher kennen!
Über den Autor
Hannes Sachse
Partner & Tender Manager DACH
Hannes Sachse ist seit März 2025 als Partner & Tender Manager DACH tätig. In dieser Rolle verantwortet er die strategische Zusammenarbeit mit Partnern aus dem Industriesektor sowie die Koordination und Optimierung von Angebotsprozessen in der DACH-Region. Zuvor unterstützte er als Offer Manager im Industriesektor (Industriesegment) Kunden und Vertriebsteams mit seiner Service-Expertise – insbesondere im Bereich digitaler Services für Endkunden.
Kommentar hinzufügen