Don´t ignore NIS2

Was ist NIS2? Eine kurze Zusammenfassung

Die NIS2, die Ende 2022 verabschiedet wird, hebt die NIS-Richtlinie von 2016 auf. Sie ist weitaus ehrgeiziger als die NIS von 2016, sowohl was das Spektrum der Wirtschaftszweige betrifft, auf die sie sich unmittelbar auswirken wird, als auch hinsichtlich des kulturellen Wandels, den sie bewirken soll.

Eines ihrer Ziele ist es, das proaktive Management von Cyber-Risiken zu einer Kernkompetenz und zu einer Hauptpriorität für Führungskräfte in so unterschiedlichen Branchen wie dem Gesundheitswesen, dem Fahrzeugbau, dem Verkehrswesen oder der Abfallwirtschaft zu machen, um nur einige zu nennen. Sie ermöglicht (und erfordert in einigen Fällen) strenge Strafen in Form von Geldbußen in Höhe von mehreren Millionen Euro für Unternehmen und potenzieller persönlicher Haftung für leitende Angestellte bei nachweislicher Nichteinhaltung.

Mit anderen Worten, sie soll in vielen großen Unternehmen einen Kulturwandel in den Vorstandsetagen wie auch in den allgemeinen Betriebsabläufen auslösen – und zwar in einer weitaus größeren Bandbreite von Branchen als die ursprüngliche NIS.

NIS2 soll auch die Grundlagen für eine Regelung der ständigen Zusammenarbeit und des Informationsaustauschs zwischen Wirtschaftsakteuren und Regierungsbehörden für die Bewältigung von Cyber-Risiken im gesamten europäischen Binnenmarkt schaffen. Zu diesem Zweck werden neue Einrichtungen geschaffen und die Rolle der bestehenden Einrichtungen – insbesondere der ENISA – erweitert. Das Netzwerk der CSIRTs auf operativer Ebene und die NIS-Kooperationsgruppe auf strategischer Ebene sind Schlüsselelemente dieser neuen Architektur.

Warten Sie nicht auf die nationale Umsetzung, um aktiv zu werden

Da die NIS 2 eine Richtlinie ist, richtet sie sich in erster Linie an die EU Mitgliedstaaten. Generell gilt, dass die in einer Richtlinie festgelegten Anforderungen erst dann ihre volle Wirkung entfalten, wenn sie in nationales Recht umgesetzt sind, was bisher nur Belgien und Kroatiengetan haben. Die Frist für die Umsetzung der Richtlinie durch die Mitgliedstaaten rückt jedoch immer näher. Bis zum 17. Oktober 2024 sollten die EU-Länder die Richtlinie in nationales Recht umgesetzt haben. Dazu gehört auch die Einführung der rechtlichen Mechanismen zur Verhängung der – erheblichen – Mindeststrafen in den Ländern, in denen das nationale Recht noch keine Bußgelder vorsieht.

Ist Ihre Organisation von NIS2 betroffen?

Viele Organisationen fallen jetzt in den direkten Anwendungsbereich von NIS2. Die Festlegung wird auf nationaler Ebene erfolgen, aber die Anhänge des Gesetzes enthalten bereits eine Liste von Sektoren und Funktionen (unter Verwendung der NACE2-Nomenklatur). Alle Unternehmen (außer KMU), deren Tätigkeiten unter eine dieser Kategorien fallen, werden potenziell zu dieser Gruppe gehören. Darüber hinaus werden mehrere Unternehmen des digitalen Sektors und andere, die bereits in den Anwendungsbereich der NIS fallen, unabhängig von ihrer Größe hinzugefügt.

Der erste förmliche Hinweis wird in einigen Monaten erfolgen, wenn Sie einen Fragebogen von den Behörden des Mitgliedstaates/der Mitgliedstaaten erhalten, in dem Sie tätig sind. Es wird erwartet, dass die Regierungen die Liste erstellen und sie bis April 2025 an die Europäische Kommission zurücksenden. Danach wird die Liste alle zwei Jahre aktualisiert. Mit der NIS2 wird die Kommission ermächtigt, in den kommenden Jahren Aktualisierungen dieser Kriterien zu veröffentlichen. Auch von der Europäischen Kommission ist in den nächsten Monaten einiges an Aktivität in Form von Durchführungsverordnungen zu erwarten

Auch wenn Sie nicht zu denjenigen gehören, die gemäß den nationalen Gesetzen direkt von den NIS2-Anforderungen betroffen sind, können Sie dennoch die Auswirkungen der NIS2 auf der „sekundären Ebene“ zu spüren bekommen. Dies ist vor allem dann wahrscheinlich, wenn Sie Zulieferer und/oder Auftragnehmer von Organisationen sind, die direkt betroffen sind, da die Pflicht zum proaktiven Management von Cyber- und physischen Risiken für deren Betrieb eine verstärkte Prüfung von Risiken in der Lieferkette beinhaltet.

Wie wir Ihnen bei der Vorbereitung helfen können

Risikomanagement-Strategie: Wir können Ihnen bei der Entwicklung Ihrer Risikomanagement-Strategie helfen, die im Rahmen von NIS2 zur Pflicht wird.

Schulung: asvin kann Schulungen für Führungskräfte und Vorstandsmitglieder anbieten, die nach der Umsetzung der NIS2 in nationales Recht ebenfalls zur Pflicht werden[1] – zur Erinnerung: Die Frist für die Umsetzung ist der 17. Oktober 2024.

  • [1] KAPITEL IV MASSNAHMEN ZUM RISIKOMANAGEMENT UND BERICHTSPFLICHTEN Artikel 20 Governance

Risk by Context™.: Wir können unsere „Risk-by-Context“-Lösung anpassen und implementieren, die Risiken identifiziert und priorisierte Interventionen in all Ihren Werken automatisiert, unabhängig vom geografischen Standort.

SECTORS OF HIGH CRITICALITY – Quelle: NIS2 Anhang 1

OTHER CRITICAL SECTORS – Quelle: NIS2 Anhang II

Autor: Gaelle Le Gars