Die NIS-2-Richtlinie der EU kommt "mit Sicherheit"
NIS2 Richtlinie EU
- 20.01.2025
Aufgeschoben ist nicht aufgehoben
Am 14. Dezember 2022 wurde die EU-Richtlinie 2022/2555 des Europäischen Parlaments und des Rates verabschiedet, die "The Network and Information Security Directive". Die NIS-2 abgekürzte Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Union durchsetzen und so die Cyber-Resilienz in Europa stärken.Unter anderem verpflichtet die Richtlinie die Mitgliedstaaten auf eine nationale Cybersicherheitsstrategie für kritische Sektoren wie Energie, Verkehr, Weltraum, Gesundheit, Finanzen, digitale Infrastruktur und Vertrauensdiensteanbieter. Zugleich werden nationale Behörden durch die Richtlinie zu härteren Aufsichtsmaßnahmen verpflichtet, strengere Durchsetzungsanforderungen definiert und eine Harmonisierung der Sanktionsregelungen in allen Mitgliedstaaten angestrebt.
Die Richtlinie muss in den Mitgliedstaaten in nationales Recht umgesetzt werden. In Deutschland lagen hierfür unter Federführung des Bundesministeriums des Innern und für Heimat bereits mehrere Entwürfe vor. Die ursprüngliche Frist zur Umsetzung wurde im Oktober 2024 zwar gerissen, doch im zweiten Halbjahr 2025 soll das Gesetz in Kraft treten.
Eines ist wohlgemerkt schon jetzt deutlich: Die neue Regulatorik wird sehr viel mehr Organisationen als bisher betreffen. Die Bundesregierung rechnet mit 30.000 Unternehmen – unter Einbeziehung der Lieferketten noch mit deutlich mehr – die auf die Gesetzesnovelle reagieren müssen.
Warum Konformität mit der NIS-2-Richtlinie der EU keine Option ist
Organisationen ab 50 Mitarbeitern, zehn Millionen Euro Umsatz beziehungsweise 43 Millionen Euro Bilanzsumme oder Geschäftsfeld in einer der als "kritisch" eingeschätzten 18 Sektoren müssen daher prüfen, ob und inwiefern sie unter NIS-2 fallen.Ist dies der Fall, gilt es, ein Paket aus einem Dutzend Maßnahmen zu schnüren. Exemplarisch genannt seien an dieser Stelle die Umsetzung von Konzepten zur Risikoanalyse und Sicherheit der Netz- und Informationssysteme, zur Bewältigung von Sicherheitsvorfällen, zur Aufrechterhaltung des Betriebs mithilfe von Backups, Notfall-Wiederherstellung und Krisenmanagement, zur IT-Sicherheit von Lieferanten und Dienstleistern, zur Sicherheit und Sensibilisierung der eigenen Mitarbeiter, zum Einsatz von Kryptografie sowie Multi-Faktor-Authentifizierungslösungen und viele weitere.
Konformität mit der NIS-2-Richtlinie ist kein Nice-to-have, sondern Pflicht. Zunächst kann die Nichteinhaltung zu Bußgeldern von bis zu zehn Millionen Euro und zu persönlichen Haftungsrisiken für das Managementpersonal führen. Dieser Umstand birgt Gefahren, die ein Unternehmen im Ganzen betreffen.
Zweitens setzt fehlende Compliance ein Unternehmen ganz konkret erhöhten Cybersicherheitsrisiken aus. Datenpannen, Datenverlust, erfolgreiche Hackerangriffe et cetera aber ziehen Betriebsunterbrechungen nach sich, binden Ressourcen, kosten viel Geld und führen zu Vertrauensverlust bei Kunden und Partnern.
Drittens wird eine Nichteinhaltung der Richtlinie mit Bußgeld negativ in Medien und Öffentlichkeit auffallen, zum Verlust von Geschäftspartnerschaften führen, die Kundentreue untergraben und sich nachteilig auf das Image eines Unternehmens auswirken.
Hier ist also Vorsorge nötig, die keinen Aufschub duldet.
Das Experten-Framework von Opexa Advisory
Im Hinblick auf die Anforderungen der NIS-2-Richtlinie bewerten die Experten die aktuelle Cyber-Sicherheitslage in Firmen und bieten individuelle Lösungen an, um die Vorgaben gesetzeskonform zu erfüllen – stets unter Berücksichtigung von Geschäftsmodell, Risikoprofil und betrieblichen Realitäten.
Der Anspruch von Opexa Advisory ist, die Konformität so zu realisieren, dass alle Mitarbeiter sie verstehen und beachten. Dazu werden die Erfordernisse der Richtlinie in machbare Schritte zerlegt und in enger Zusammenarbeit mit dem Team notwendige Änderungen definiert. Die Experten unterstützen sodann bei der Auswahl der besten am Markt verfügbaren Informations-Sicherheit-Management-Systeme (ISMS). Anschließend werden durch den Einsatz entsprechender Software offene Sicherheitslücken geschlossen und alle neuen Cybersecurity-Maßnahmen so implementiert, dass sie verlässlich funktionieren.
Mit der Implementierung endet die Begleitung jedoch keineswegs. Opexa Advisory stellt im Fortgang durch regelmäßige Audits sicher, dass die Systeme auf dem neuesten technischen und regulatorischen Stand bleiben. Das ist wichtig, da sich Vorschriften und Bedrohungsszenarien kontinuierlich ändern.
Dank des Experten-Frameworks von Opexa Advisory sorgen Unternehmen daher für Compliance mit der NIS-2-Richtlinie der EU, ohne sich mit deren regulatorischer Komplexität zu belasten. Sie können sich weiter auf ihr Kerngeschäft konzentrieren und ihre Produktivität erhalten.
