Cyber-Security: NIS II-Richtlinie und ihre Umsetzung in nationales Recht
Am 14. Dezember 2022 wurde die sog. NIS II-Richtlinie unterzeichnet und am 16. Januar 2023 ist sie in Kraft getreten. Als EU-Richtlinie soll sie in der gesamten Union die Messlatte für nationale Gesetze bilden, die ein „hohes gemeinsames Cybersicherheitsniveau“ sicherstellen. Die dort vorgegebenen Regeln gelten für öffentliche, aber auch für private Einrichtungen, also für mittlere und große Unternehmen (mindestens 50 Mitarbeiter oder mehr als 10 M € Jahresumsatz). Kleinere Unternehmen sind dann betroffen, wenn sie z. B. als Betreiber besonders wichtiger Einrichtungen eingestuft werden. Die Mitgliedstaaten haben eine Frist bis zum 17.10.2024, um ein entsprechendes nationales Umsetzungsgesetz zu erlassen. Aufgrund der Dringlichkeit, die durch die bestehende Bedrohungslage verstärkt wird, ist davon auszugehen, dass eine Verabschiedung eher erfolgt.
Unternehmen aus dem Energiesektor, dem Verkehrssektor, dem Bankenwesen, der Finanzmarktinfrastruktur, dem Gesundheitswesen, der Trinkwasserver– und der Abwasserentsorgung, der digitalen Infrastruktur, der Verwaltung von IKT-Diensten (Business-to-Business) und der Erbringung von weltraumgestützten Diensten sind nach Anhang I als hochkritisch eingestuft.
Anhang II erweitert den Kreis der betroffenen Unternehmen „sonstiger kritischer Sektoren“ auf
- Post und Kurierdienste,
- die Abfallbewirtschaftung,
- Produktion, Herstellung und Handel mit chemischen Stoffen,
- Produktion, Herstellung, Verarbeitung und Vertrieb von Lebensmitteln,
- verarbeitendes Gewerbe/Herstellung von Waren (hier: Medizinprodukte, Datenverarbeitungsgeräte, elektronische und optische Geräte, elektrische Ausrüstungen, Maschinenbau, KfZ, sonstiger Fahrzeugbau)
- digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
- Forschung
Da sich Cyber-Angriffe nicht ausschließen lassen, sollen die NIS II-Richtlinie und die entsprechenden nationalen Gesetze dazu beitragen, dass durch ein Cybersicherheits-Management mit z. B. Risikoanalysen, Meldeprozessen, Schwachstellenoffenlegung, Back-up-Management und Konzepten der Zugangskontrolle ein hohes Sicherheitsniveau erreicht wird und im Fall eines Angriffs geeignete Gegenmaßnahmen ergriffen werden, die ein Funktionieren der Wirtschaft und der öffentlichen Verwaltung aufrechterhalten.
Diese geforderten Maßnahmen werden flankiert von der Ausdehnung der Regelungen auch auf die Lieferkette und einer persönlichen Verantwortung der Führungskräfte mit entsprechenden Sanktionen, die „wirksam, verhältnismäßig und abschreckend“ sein sollen.
Unternehmen können Zuschüsse zu Cybersecurity-Management z. B. über folgende Programme erhalten:
Bund:
- Go-digital (<100 MA): https://www.innovation-beratung-foerderung.de/INNO/Navigation/DE/go-digital/go-digital.html
- Digital jetzt (<500 MA): https://www.bmwk.de/Redaktion/DE/Dossier/digital-jetzt.html
Hessen:
- Digitalisierungsberatung des RKW-Hessen (< 250 MA): https://www.rkw-hessen.de/beratungsfoerderung/digitalisierungsberatung.html
- Digi-Zuschuss Hessen (< 250 MA): https://www.wibank.de/digital-zuschuss
Sie benötigen Unterstützung? Wir beraten Sie gerne!