NIS-2-Richtlinie eröffnet neue IT-Sicherheitsvorgaben für eine Vielzahl von Unternehmen

• BSI-Lagebericht 2023: Bedrohung im Cyberraum so hoch wie noch nie zuvor
• NIS-2-Richtlinie gilt für Firmen ab 50 Mitarbeitenden und 10 Mio. Euro Umsatz in 18 festgelegten Sektoren
• Das Inkrafttreten der neuen Regelungen ist für Oktober 2024 geplant

Die Bedrohung im Cyberraum ist so hoch wie nie zuvor – zu diesem Ergebnis kommt der Lagebericht des BSI, der am 02.11.2023 veröffentlicht wurde. Im Durchschnitt wurden in diesem Jahr täglich rund 70 neue Schwachstellen in Softwareprodukten registriert, rund 24 Prozent mehr als im Jahr zuvor. Auch der zunehmende Einsatz von Künstlicher Intelligenz berge Risiken, zum Beispiel durch die Manipulation von Trainingsdaten, die zum Anlernen der KI verwendet werden.

Als Reaktion auf die verschärfte Sicherheitslage verabschiedete die EU bereits im Dezember 2022 die "Network and Information Security 2.0"-Richtlinie (NIS-2), die die Sicherheitsanforderungen für IT-Systeme in der EU verschärft. Deutschland muss diese Richtlinie bis Oktober 2024 umsetzen. Der Anwendungsbereich der neuen NIS-Richtlinie erstreckt sich über die bisher bekannten Schlüsselunternehmen im Bereich kritischer Infrastrukturen.

Mit der Überarbeitung der NIS-2 schafft die EU klare Vorgaben und bestimmt genau, welche Unternehmen als kritische Dienste eingestuft werden und welche Anforderungen für sie gelten. Die Richtlinie gilt für Firmen ab 50 Mitarbeitenden und 10 Mio. Euro Umsatz. Die Zuordnung einer Einrichtung zu NIS-2 hängt außerdem davon ab, ob sie einem der 18 festgelegten Unternehmenssektoren angehört. Dazu gehören unter anderem Energie, Banken, Gesundheit und die öffentliche Verwaltung.

Die spezifischen Kriterien zur Bestimmung der Unternehmensgröße führen dazu, dass die Anzahl der Unternehmen, die als Teil des kritischen Infrastrukturbereichs betrachtet werden, erheblich zunimmt. Allein in Deutschland werden voraussichtlich etwa 30.000 Unternehmen von NIS-2 betroffen sein.

Verschärfte Pflichten für Geschäftsleitungen

Die NIS-2-Richtlinie verschärft die Pflichten der Geschäftsleitung von Unternehmen. Sie müssen Governance-Regeln auf Leitungsebene etablieren sowie die Umsetzung von Cybersicherheitsmaßnahmen im Unternehmen billigen und überwachen. Selbst wenn die Geschäftsleitung externe Unterstützung in Anspruch nimmt, bleibt sie verantwortlich. Diese strenge Einbindung eines Cyber-Vorstands ist eine neue und strikt geregelte Entwicklung.

Hohe Bußgelder bei Verstößen

Das neue IT-Sicherheitsrecht droht mit hohen Bußgeldern bei Verstößen, insbesondere bei fehlender Implementierung von Risikomanagementmaßnahmen. Diese Verstöße werden als Ordnungswidrigkeiten eingestuft und können Bußgelder von bis zu 2 Mio. Euro zur Folge haben. Es ist ratsam, dass Unternehmen bereits jetzt prüfen, ob sie von der NIS-2 betroffen sind, und sich auf die neuen Anforderungen vorbereiten. Der Gesetzgeber hat bereits detaillierte Leitlinien zur Umsetzung vorgelegt.

„Die Implementierung der Maßnahmen erfordert Zeit und Ressourcen. Das Inkrafttreten der neuen Regelungen ist für Oktober 2024 geplant, daher ist eine zügige Umsetzung notwendig, angesichts der umfangreichen neuen Pflichten“ betont Geschäftsführerin Anja Olsok.

Exklusivseminar für das C-Level

Das Management-Seminar “Cyber-Vorstand” versetzt die Leitungsebene der betroffenen Unternehmen in die Lage, eine angemessene Cybersicherheit in korrekt zu steuern und zu überwachen, um persönliche Haftungsansprüche zu vermeiden.

Zielgruppe des Management-Seminars ist demnach explizit die Unternehmensführung, da der Gesetzgeber die persönliche Haftung für die Leitungsebene im Umsetzungsgesetz zur NIS 2-Richtlinie festschreibt. Die Verantwortung für diese Kontrollfunktion darf nach dem Gesetzesvorschlag nicht delegiert werden. Durchgeführt wird das Exklusivseminar von Dr. Kristina Schreiber (Loschelder Rechtsanwälte) und Dr. Eren Basar (Wessing & Partner). Sie vermitteln den Teilnehmenden das Know-how, welches für die Implementierung eines wirksamen Cyber-Security-Riskmanagements erforderlich ist.

Das breit gefächerte Angebot der Bitkom Akademie umfasst weitere Seminare in den Themenbereichen Digitale Transformation, Datenschutz, Nachhaltigkeit, Recht & Regulierung sowie Big Data & KI. Alle Lehrgangsformate werden auch als Inhouse-Schulung angeboten.

Weitere Informationen zu unserem Seminarangebot finden Sie hier.