NIS-2-Richtlinie: Was steckt dahinter?

Frau Oberrieder, was verbirgt sich hinter der mysteriösen Abkürzung NIS-2?

NIS steht für „Network and Information Security (NIS) Directive – Richtlinien zur Netzwerk- und Informationssicherheit“.

Diese Richtlinien wurden 2022 veröffentlicht und müssen von allen EU-Ländern bis September 2024 umgesetzt werden. Das Ziel ist es, die IT-Sicherheit in sogenannten „KRITIS“-Unternehmen anzugleichen und zu verbessern. Deutschland hat bisher einen Referentenentwurf (Stand Juli 2023) verfasst und arbeitet weiter an der Umsetzung. Die NIS-2-Richtlinien sind eine Klarstellung der NIS-Richtlinien, mit dem Ziel genauer zu definieren, welche Unternehmen zu den KRITIS-Unternehmen gehören und welche Anforderungen für diese gelten.

Welche Unternehmen sind von NIS-2 betroffen?

Von NIS-2 sind sogenannte KRITIS-Unternehmen (kritische Infrastrukturen) betroffen. Dazu gehören einerseits Unternehmen, Einrichtungen und Organisationen, die für die Versorgung und die öffentliche Sicherheit von zentraler Bedeutung sind. Andererseits zählen dazu Unternehmen, ohne deren Funktionsfähigkeit erhebliche Störungen und dramatische Folgen zu erwarten wären.

Dazu gehören beispielsweise Unternehmen der Energie-, Transport-, Gesundheits- und Wasserversorgung sowie Betriebe aus den Bereichen Ernährung, Finanzen, Versicherungen und digitale Infrastrukturen. Konkret können dies Unternehmen ab 10 Mio. € Umsatz oder ab 50 Mitarbeitern sein. Ob NIS-2 für das eigene Unternehmen relevant ist, muss das Unternehmen selbst ermitteln.

Aber auch Unternehmen die nicht direkt unter die Richtlinien von NIS-2 fallen, werden künftig Belege über Ihre IT-Sicherheit erbringen müssen, sofern sie innerhalb der Lieferkette eines betroffenen Unternehmens sind und somit in dessen Risikobetrachtung fallen.

Frau Oberrieder, welche Maßnahmen müssen betroffene Unternehmen konkret umsetzen?

Zu den Maßnahmen werden unter anderem gehören:

• Cyber Risikomanagement
• Sicherheit in der Lieferkette
• Business Continuity Management
• Penetrationtests
• Reaktionen auf Vorfälle
• Berichterstattung an die Behörden

Das ist einiges. Bis wann müssen die Unternehmen die Maßnahmen umsetzen?

Nach derzeitigem Stand soll die deutsche Richtlinie im März 2024 veröffentlicht werden. Die Unternehmen haben dann sechs Monate Zeit, diese umzusetzen.

Ich empfehle jedoch jedem Unternehmen sich bereits jetzt zu informieren und gegebenenfalls bereits jetzt mit der Umsetzung der Maßnahmen zu beginnen.

Sechs Monate können schnell vorbeigehen. Womit müssen Unternehmen rechnen, die die Maßnahmen nicht umsetzen?

Netzwerk- und Informationssicherheit lag aus meiner Sicht schon immer in der Verantwortung der Managementebene. Die NIS-2 unterstützt dies. Laut Entwurf des Bundesministeriums werden Leitungsorgane mit ihrem Privatvermögen haften, wobei die Obergrenze der Haftung bei 2 % des weltweiten Jahresumsatzes eines Unternehmens liegen wird.

Danke für die Erläuterung und wie kann die Cyber-Versicherung der Württembergischen betroffene Unternehmen bezüglich NIS-2 unterstützen?

Als Versicherer dürfen wir hier nicht beratend tätig werden. Wie bereits bei der Datenschutzgrundverordnung, muss jedes Unternehmen selbst für die Einhaltung der Richtlinien sorgen und sich bei Bedarf juristische Unterstützung holen. Eine Cyber-Versicherung hilft aber im Fall eines Cyberschadens und deckt z. B. Betriebsunterbrechungen ab, die durch den Ausfall der IT aufgrund eines Hackerangriffes entstehen.

Wieso kann in diesem Zusammenhang auch eine D&O-Versicherung sinnvoll sein?

Sollten Vermögensschäden offenbleiben, z. B. aufgrund von Selbstbehalten oder weil die Versicherungssumme der Cyber-Deckung nicht ausreicht, stellt sich regelmäßig die Frage nach der persönlichen Haftung des verantwortlichen Managements. Nach NIS-2 wird die Unternehmensleitung in Bezug auf die IT-Sicherheit deutlich stärker in die Pflicht genommen als bisher. Kommt es hier zu Pflichtverletzungen, die kausal für den von der Cyber-Versicherung nicht gedeckten Vermögensschaden sind, ist dies ein Fall für die D&O-Versicherung des Unternehmens.

Frau Oberrieder, eine letzte Frage: Wie kann die Cyber-Versicherung auch Unternehmen unterstützen, die nicht von NIS-2 betroffen sind?

Ein Hackerangriff kann nicht nur KRITIS-Unternehmen treffen, sondern, wie wir seit Jahren den Medien entnehmen können, jeden. Die Frage ist nicht, ob, sondern wann! Genau dann hilft eine Cyber-Versicherung z. B. mit einem Forensik-Team, um den Angreifer zu finden und die Systeme wieder zum Laufen zu bringen. Auch bei einem Datenschutzvorfall kann die Cyber-Versicherung helfen, zum Beispiel beim Anschreiben der Betroffenen.

Vielen Dank für das Interview!

Die Autorin: Katharina Schmidl

Katharina Schmidl arbeitet seit 2021 bei der Württembergischen Versicherung als Content Marketing Managerin. Ihre Leidenschaft für Content hat sie während ihres Studiums der Kommunikationswissenschaften entdeckt und seitdem in verschiedenen Positionen in Marketing und Kommunikation eingesetzt.

Cyber-Gefahren bestehen für alle Unternehmen - ob KRITIS oder nicht.