Lesezeit ca. 10 Minuten
Bildquelle: Designed by Freepik
Sind Sie bereit für Europas neue Cybersecurity Spielregeln?
Wir sagen Ihnen was die beiden Gesetzte für Ihr Unternehmen zu bedeuten haben.
Was ist NIS2 – und warum betrifft es fast jedes Unternehmen?
Die NIS2-Richtlinie (EU 2022/2555) ist das zentrale Gesetz der Europäischen Union zur Stärkung der Cybersicherheit.
Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und wurde als Antwort auf die dramatisch gestiegene Zahl und Komplexität von Cyberangriffen geschaffen. Während NIS (in Deutschland unter IT-Sicherheitsgesetz 1.0 umgesetzt) lediglich auf Betreiber kritischer Infrastrukturen (KRITIS) abzielte und 1-2% der deutschen Unternehmen betraf, z.B. Energieversorger, zielt NIS2 nun auf alle Unternehmen.
Unter NIS2 fallen nun auch:
-
Rechenzentrums- und Cloud-Anbieter
-
IT- und Managed-Service-Provider
-
Unternehmen aus der Abfallwirtschaft, Post- & Kurierdienste
-
Pharma-, Chemie-, Lebensmittel- und Produktionsbetriebe
-
Öffentliche Verwaltungen und kommunale Betriebe
Mit anderen Worten: Fast jedes mittelständische Unternehmen mit digitalem Geschäftsbezug könnte betroffen sein.
Darauf zielt NIS2 ab:
Ein einheitlich hohes Sicherheitsniveau in der gesamten EU, um effektiv vor Cyberangriffen schützen zu können.
Was NIS2 konkret fordert:
Verpflichtendes Risikomanagement:
Unternehmen müssen Sicherheitsrichtlinien dokumentieren, Schwachstellen analysieren und Maßnahmen definieren.
Incident Reporting:
Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständige Behörde gemeldet werden.
Lieferketten-Sicherheit:
Auch Dienstleister und Zulieferer müssen NIS2-konform arbeiten.
Verantwortung des Managements:
Geschäftsführung und Vorstände tragen persönliche Haftung, wenn Sicherheitsvorgaben missachtet werden.
Nachweispflicht:
Unternehmen müssen ihre Sicherheitsmaßnahmen regelmäßig auditieren und dokumentieren.
Empfindliche Sanktionen bei Nichteinhaltung:
Bei Nichteinhaltung drohen Bußgelder bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes – ähnlich wie bei der DSGVO.
Kurz gesagt:
NIS2 ist kein optionaler „IT-Leitfaden“, sondern eine rechtliche Verpflichtung, die für viele Unternehmen 2025 / 2026 Realität wird.
Aktuell ist NIS2 für Deutsche Unternehmen noch nicht gültig, da es erst auf Nationaler Ebene einen Gesetzesentwurf hierfür geben muss. Jedoch rechnen wir noch im Jahr 2025 damit.
Was ist der Cyber Resilience Act (CRA) – und wie unterscheidet er sich von NIS2?
Während NIS2 den Betrieb von IT-Systemen regelt, setzt der Cyber Resilience Act (CRA) am Produkt an.
Er ist eine EU-Verordnung, die sicherstellen soll, dass digitale Produkte schon ab Werk sicher sind – also „Security by Design“ und „Security by Default“.
Der CRA betrifft Hersteller, Händler und Entwickler von Hardware, Software und IoT-Geräten – also zum Beispiel:
-
Anbieter von Betriebssystemen, Business-Software, Apps
-
Hersteller von Routern, Kameras, Smart-Home-Geräten, medizinischer Elektronik
-
Anbieter digitaler Steuer- oder Automationssysteme
Die zentralen Anforderungen:
-
Sicherheitsanforderungen über den gesamten Produktlebenszyklus:
-
Von der Entwicklung über das Deployment bis zur Wartung müssen Risiken analysiert und abgesichert werden.
-
Pflicht zu Schwachstellenmanagement und Patching:
Hersteller müssen bekannte Sicherheitslücken innerhalb festgelegter Fristen schließen und Updates bereitstellen.
Meldepflicht:
Entdeckte Sicherheitslücken und Angriffe müssen an zentrale EU-Stellen (ENISA) gemeldet werden.
Haftung und Nachweispflicht:
Unternehmen müssen die Einhaltung dokumentieren – fehlende Nachweise gelten im Zweifel als Verstoß.
NIS2 & CRA: Beide greifen ineinander:
Ein Unternehmen etwa, das eigene Software entwickelt und betreibt (z. B. Cloud-Anbieter), muss beide Regelungen erfüllen.
Wie Bytora Sie NIS2 & CRA Compliant machen kann
Gerne unterstützen wir Sie dabei, Ihre IT sicher zu gestalten. Heute, morgen und langfristig.
Gerne führen wir ein Audit ihrer aktuellen IT-Sicherheit durch, leiten daraus Maßnahmen ab und setzen diese für Sie um.
Bytora bietet eine Vielzahl von Zusatzleistungen, wie z.B. die Managed Services, bei denen wir Sie in Sachen Administration, Monitoring und Security unterstützen – damit Sie sich entspannt auf Ihr Kerngeschäft konzentrieren können.