Was Geschäftsführer über NIS-2 wissen müssen

Die Network and Information Systems Directive 2 (NIS-2) soll die Sicherheit von Netzwerken und Informationssystemen europaweit erhöhen, indem sie einheitliche Standards für die Cybersicherheit schafft. Neben kritischen Infrastrukturen fallen nun auch viele Wirtschaftssektoren, wie Energie, Gesundheitswesen und verarbeitendes Gewerbe, unter die neuen Anforderungen. Etwa 30.000 Unternehmen, die als „wichtig“ oder „besonders wichtig“ eingestuft werden, müssen künftig bestimmte Maßnahmen zum Risikomanagement und zur Meldung von Sicherheitsvorfällen umsetzen. Diese neuen Regeln gelten ab März 2025.

Was nun zu tun ist

Zunächst muss das Unternehmen prüfen, ob es unter die NIS-2-Richtlinie fällt. Hierbei können Experten unterstützen, da viele Faktoren berücksichtigt werden müssen: der wirtschaftliche Sektor, die Unternehmensgröße (mehr als 50 Mitarbeitende), Jahresumsatz und Bilanzsumme (jeweils über zehn Millionen Euro) sowie die rechtliche Struktur. Auch die Art des Unternehmens spielt eine Rolle – ob eigenständig oder Teil einer größeren Gruppe. Bei der Unternehmensgröße zählen nur Vollzeitkräfte und Leiharbeitnehmer, nicht jedoch Auszubildende und Mitarbeitende in Elternzeit.

Ist das Unternehmen betroffen, erfordert die NIS-2 Anpassungen in der Netzwerk- und Informationssicherheit. Ein maßgeschneidertes Risikomanagement, das besonders auf die IT-Sicherheit eingeht, ist nötig, da Cyberrisiken wie Systemunterbrechungen, Malware-Angriffe und Datenschutzverletzungen laut dem Allianz Risk Barometer 2024 mit 36 Prozent weltweit an erster Stelle stehen und gravierende Folgen wie Betriebsunterbrechungen und Reputationsschäden haben können. Ein umfassendes Risikomanagement kann zwar nicht alle Vorfälle verhindern, aber durch regelmäßige Überprüfung die Auswirkungen mindern.

Die NIS-2 verlangt ein Risiko- und Sicherheitskonzept, das auch Lieferkettenrisiken und alle Bedrohungen – nicht nur Cyberrisiken – einbezieht. Diese Risiken müssen klar dokumentiert werden, um relevante Stakeholder zu informieren.

Kommt es zu einem „erheblichen Sicherheitsvorfall“ (wie vom Bundesamt für Sicherheit in der Informationstechnik definiert), gelten Meldefristen: eine Erstmeldung innerhalb von 24 Stunden, eine Bestätigung innerhalb von 72 Stunden und ein Abschlussbericht spätestens nach einem Monat. Unternehmen müssen sich dazu innerhalb von drei Monaten auf einer zentralen Plattform, voraussichtlich beim BSI, registrieren.

Verpflichtende Notfall- und Krisenpläne mit klar definierten Verantwortlichkeiten sollten regelmäßig geübt werden. Ein Cyberangriff könnte sonst zu Produktionsstopps und erheblichen finanziellen Einbußen führen – mit weitreichenden Folgen für die gesamte Branche, die auf die Lieferung von Produkten angewiesen ist.

Welche Vorteile bietet die NIS-2-Richtlinie?

NIS-2 unterstützt Unternehmen dabei, Sicherheitsrisiken besser zu verstehen und zu managen, was den Schutz vor Cyberangriffen stärkt. Die frühzeitige Erkennung von Sicherheitsvorfällen hilft, handlungsfähig zu bleiben und Schäden zu begrenzen. Ein besonderer Fokus liegt auf der Sicherheit der Lieferkette und der Verbesserung des Business Continuity Managements.

In wichtigen Wirtschaftssektoren sind etablierte Notfallprozesse unerlässlich. NIS-2 legt daher Wert auf Schulungen und Trainings für Mitarbeitende, besonders in den Bereichen Einkauf, IT-Sicherheit und Management. Zudem müssen Mitglieder der Geschäftsleitung nachweisen, dass sie eine Schulung zum Risikomanagement absolviert haben.

Da die Geschäftsleitung für alle Unternehmensrisiken haftet, ist die Einhaltung der Anforderungen von großer Bedeutung. Bei Nichteinhaltung drohen Sanktionen und hohe Geldstrafen. Es empfiehlt sich daher, frühzeitig Schulungs- und Beratungsangebote zu nutzen. Eine spezielle Schulung für Geschäftsleitungen und ein NIS-2 Readiness Check tragen zur Einhaltung der Compliance und zur Vorbereitung auf die neuen Standards bei.