Die EU’s NIS-2-Richtlinie, aktiv seit Januar 2023, markiert einen Paradigmenwechsel in der Cybersicherheit, indem sie über kritische Infrastrukturen hinausgeht und sich auf die volkswirtschaftliche Relevanz von Unternehmen konzentriert. Die Richtlinie, die eine horizontale Ausweitung der Regulierung darstellt, muss bis zum 17. Oktober 2024 auf Bundes- und Landesebene umgesetzt werden und betrifft schätzungsweise 29.000 Unternehmen.

Das Bundesministerium des Innern, für Bau und Heimat (BMI) steuert den legislativen Prozess, während das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zentrale Rolle bei der Durchsetzung und Aufsicht der Richtlinie spielt.

Zielgruppe: Alle Ebenen eines Unternehmens, die sich mit der NIS-2-Compliance befassen müssen.
Format: Regelmäßige, interaktive Roundtables (remote oder persönlich) für eine fortlaufende Bildung und Anpassung.

Inhalte:
– Gesetzgebungsentwicklung: Vertiefte Diskussionen über die Richtlinie und ihre nationalen Implementierungen.
– Strategische Diskussionen: Gemeinsame Problemlösung und Best Practices für Compliance und Risikomanagement.
– Das ist uns wichtig: Die Förderung von Zusammenarbeit und gemeinsamen Lösungsstrategien steht im Vordergrund.
– Praxisbeispiele: Direkte Erfahrungen mit der Umsetzung von Sicherheitsprotokollen und regulatorischen Anforderungen.

Teilnehmende werden ermutigt, aktiv beizutragen, um die Diskussionen relevant und praktisch anwendbar zu halten, wobei der Schwerpunkt auf proaktiver Risikominimierung und Verbesserung der Cybersicherheitsprotokolle liegt.

Informationen zu NIS 2.0:

Size-Cap-Rule:
Die NIS-2-Richtlinie unterscheidet Unternehmen für unterschiedliche Vorschriften hauptsächlich nach Größe:

Mittlere Unternehmen:
– 50-249 Mitarbeiter und weniger als 50 Mio. EUR Umsatz oder weniger als 43 Mio. EUR Bilanzsumme.
– ODER weniger als 50 Mitarbeiter, aber Umsatz und Bilanzsumme zwischen 10 und 50 Mio. EUR bzw. 10 und 43 Mio. EUR.

Große Unternehmen:
– Mindestens 250 Mitarbeiter oder mehr als 50 Mio. EUR Umsatz und über 43 Mio. EUR Bilanzsumme.

Je nach Kategorie müssen Unternehmen bestimmte Sicherheitsanforderungen erfüllen.

Sektoren und Kritis-Betreiber:
Die NIS-2-Richtlinie umfasst eine Reihe von Sektoren wie Energie, Transport, Finanzwesen, Gesundheitswesen und digitale Infrastruktur. Innerhalb dieser Sektoren gibt es Kritis-Betreiber, kritische Dienste, die aufgrund ihrer Bedeutung für das soziale und wirtschaftliche Wohl strengeren Vorschriften unterliegen. Dazu gehören Energieversorger, Transportdienste, Banken, Gesundheitseinrichtungen und Anbieter digitaler Dienste.

Regulatorische Vorgaben und Pflichten:
Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen eine Reihe von Sicherheitsmaßnahmen ergreifen. Dazu gehört die Implementierung geeigneter Risikomanagementpraktiken und die Sicherstellung der Sicherheit ihrer Netz- und Informationssysteme. Im Falle eines Sicherheitsvorfalls müssen Unternehmen sowohl schnelle als auch detaillierte Berichte einreichen, um potenzielle Schäden zu minimieren und Lerneffekte zu maximieren. Zudem sind sie verpflichtet, sich innerhalb einer bestimmten Frist beim BSI zu registrieren. Die Einhaltung dieser Vorschriften wird durch verschiedene Mittel, darunter Sicherheitsaudits, Prüfungen und Zertifizierungen, überprüft und nachgewiesen.

Aufsicht, Sanktionen und Haftung:
Die Überwachung der Einhaltung der NIS-2-Richtlinie erfolgt durch das BSI. Dieses Amt hat weitreichende Befugnisse, einschließlich der Durchführung von Vor-Ort-Kontrollen, der Anordnung von Sicherheitsmaßnahmen und der Verhängung von Sanktionen bei Nichteinhaltung. Bei schwerwiegenden Verstößen können Zertifizierungen oder Genehmigungen ausgesetzt und Bußgelder bis zu 2% des weltweiten Jahresumsatzes des betreffenden Unternehmens verhängt werden. Zudem besteht für Geschäftsführungen und Leitungsorgane eine persönliche Haftung, wenn sie ihre Pflichten zur Genehmigung und Überwachung der Cybersicherheitsmaßnahmen verletzen.