NIS2 für deutsche KMU: Ist Ihr Unternehmen betroffen?
Die NIS2-Richtlinie verschärft die Anforderungen an die Cybersicherheit für viele Unternehmen. Erfahren Sie, ob Sie betroffen sind, was die Pflichten in der Praxis bedeuten und wo Sie anfangen sollten.
NIS2 ist eines der Regelwerke, das bei vielen Unternehmen für erhebliche Unsicherheit gesorgt hat. Zahlreiche Betriebe fragen sich, ob sie überhaupt betroffen sind und was sie gegebenenfalls tun müssen. Dieser Beitrag gibt einen sachlichen Überblick. Er dient der allgemeinen Information und ersetzt keine rechtliche Beratung im Einzelfall.
Was ist NIS2?
NIS2 ist eine EU-Richtlinie zur Cybersicherheit, die in nationales Recht umgesetzt wurde. Ziel ist es, das Sicherheitsniveau in gesellschaftlich wichtigen Sektoren anzuheben. Im Vergleich zur ursprünglichen NIS-Richtlinie ist der Kreis der Unternehmen mit konkreten Pflichten erheblich größer geworden.
Ist Ihr Unternehmen betroffen?
Zwei Faktoren sind entscheidend: in welchem Sektor Sie tätig sind und wie groß Ihr Unternehmen ist.
- Die Richtlinie erfasst eine Reihe von Sektoren, darunter Energie, Verkehr, Gesundheit, digitale Infrastruktur, Lebensmittelproduktion, Abfallwirtschaft und verarbeitendes Gewerbe.
- Grundsätzlich richtet sie sich an mittlere und große Unternehmen, doch auch kleinere Betriebe können einbezogen sein, wenn sie eine kritische Rolle innerhalb eines Sektors einnehmen.
Wer als Zulieferer oder Dienstleister für ein betroffenes Unternehmen tätig ist, kann NIS2-Anforderungen außerdem indirekt über Vertragsklauseln begegnen, da Ihre Kunden die Sicherheit ihrer eigenen Lieferkette nachweisen müssen.
Was fordert NIS2 in der Praxis?
Die Anforderungen lassen sich in vier Bereiche gliedern:
- Risikomanagement. Sie müssen Ihre Cyberrisiken kennen und angemessene technische sowie organisatorische Maßnahmen treffen.
- Incident Management. Sicherheitsvorfälle müssen erkannt, bewältigt und innerhalb festgelegter Fristen gemeldet werden.
- Lieferkettensicherheit. Sie sind gehalten, die Sicherheitslage Ihrer Lieferanten zu bewerten.
- Verantwortung der Geschäftsführung. Die Unternehmensleitung trägt die Verantwortung und kann persönlich haftbar gemacht werden. NIS2 ist damit keine reine IT-Angelegenheit.
Wo fangen Sie an?
Der wichtigste erste Schritt ist zu klären, ob Ihr Unternehmen überhaupt in den Anwendungsbereich fällt. Danach empfiehlt es sich, eine einfache Risikobeurteilung durchzuführen, Backups und Zugriffsmanagement zu ordnen sowie einen Plan festzuhalten, wie Sie im Ernstfall vorgehen. Alles auf einmal umzusetzen ist nicht notwendig, aber Sie sollten nachweisen können, dass Sie das Thema Sicherheit systematisch angehen.
Häufig gestellte Fragen
Sind kleine Unternehmen von NIS2 betroffen? In der Regel nicht direkt, aber sie können über Kunden in betroffenen Sektoren mit entsprechenden Anforderungen konfrontiert werden. Eine frühzeitige Vorbereitung ist sinnvoll.
Welche Konsequenzen drohen bei Nichterfüllung? Die zuständigen Aufsichtsbehörden können Anordnungen und Bußgelder verhängen. Darüber hinaus kann die Unternehmensleitung persönlich zur Rechenschaft gezogen werden.
Ab wann gelten die Vorschriften? Die Pflichten treten schrittweise in Kraft, und es werden laufend neue Durchführungsbestimmungen veröffentlicht. Halten Sie die Entwicklungen für Ihren Sektor im Blick.
Immer auf dem Laufenden bleiben
NIS2 ist noch im Wandel: Neue Durchführungsverordnungen und Leitlinien kommen regelmäßig hinzu. Legiant beobachtet die regulatorische Entwicklung für Ihre Branche und informiert Sie auf verständlichem Deutsch, sobald sich etwas Relevantes ändert, sodass Sie nicht alles selbst verfolgen müssen.
Kostenlos starten und die Cybersicherheitsanforderungen für Ihren Sektor im Griff behalten.
