{{toplineText}}
{{headlineText}}
{{ratingValue}}{{ratingValueMax}}
{{ratingLabel}}
{{kmText}}
NIS-2-Richtlinie: Was steckt dahinter?
07.12.2023 - Was ist NIS-2? Welche Unternehmen sind betroffen und bis wann muss die Richtlinie umgesetzt werden? Carolin Oberrieder, Leiterin Cyber-Versicherung bei der Württembergischen Versicherung, steht im Interview Rede und Antwort.
Lesedauer: 3 Minuten
NIS steht für „Network and Information Security (NIS) Directive – Richtlinien zur Netzwerk- und Informationssicherheit“.
Diese Richtlinien wurden 2022 veröffentlicht und müssen von allen EU-Ländern bis September 2024 umgesetzt werden. Das Ziel ist es, die IT-Sicherheit in sogenannten „KRITIS“-Unternehmen anzugleichen und zu verbessern. Deutschland hat bisher einen Referentenentwurf (Stand Juli 2023) verfasst und arbeitet weiter an der Umsetzung. Die NIS-2-Richtlinien sind eine Klarstellung der NIS-Richtlinien, mit dem Ziel genauer zu definieren, welche Unternehmen zu den KRITIS-Unternehmen gehören und welche Anforderungen für diese gelten.
Von NIS-2 sind sogenannte KRITIS-Unternehmen (kritische Infrastrukturen) betroffen. Dazu gehören einerseits Unternehmen, Einrichtungen und Organisationen, die für die Versorgung und die öffentliche Sicherheit von zentraler Bedeutung sind. Andererseits zählen dazu Unternehmen, ohne deren Funktionsfähigkeit erhebliche Störungen und dramatische Folgen zu erwarten wären.
Dazu gehören beispielsweise Unternehmen der Energie-, Transport-, Gesundheits- und Wasserversorgung sowie Betriebe aus den Bereichen Ernährung, Finanzen, Versicherungen und digitale Infrastrukturen. Konkret können dies Unternehmen ab 10 Mio. € Umsatz oder ab 50 Mitarbeitern sein. Ob NIS-2 für das eigene Unternehmen relevant ist, muss das Unternehmen selbst ermitteln.
Aber auch Unternehmen die nicht direkt unter die Richtlinien von NIS-2 fallen, werden künftig Belege über Ihre IT-Sicherheit erbringen müssen, sofern sie innerhalb der Lieferkette eines betroffenen Unternehmens sind und somit in dessen Risikobetrachtung fallen.
Zu den Maßnahmen werden unter anderem gehören:
Nach derzeitigem Stand soll die deutsche Richtlinie im März 2024 veröffentlicht werden. Die Unternehmen haben dann sechs Monate Zeit, diese umzusetzen.
Netzwerk- und Informationssicherheit lag aus meiner Sicht schon immer in der Verantwortung der Managementebene. Die NIS-2 unterstützt dies. Laut Entwurf des Bundesministeriums werden Leitungsorgane mit ihrem Privatvermögen haften, wobei die Obergrenze der Haftung bei 2 % des weltweiten Jahresumsatzes eines Unternehmens liegen wird.
Als Versicherer dürfen wir hier nicht beratend tätig werden. Wie bereits bei der Datenschutzgrundverordnung, muss jedes Unternehmen selbst für die Einhaltung der Richtlinien sorgen und sich bei Bedarf juristische Unterstützung holen. Eine Cyber-Versicherung hilft aber im Fall eines Cyberschadens und deckt z. B. Betriebsunterbrechungen ab, die durch den Ausfall der IT aufgrund eines Hackerangriffes entstehen.
Sollten Vermögensschäden offenbleiben, z. B. aufgrund von Selbstbehalten oder weil die Versicherungssumme der Cyber-Deckung nicht ausreicht, stellt sich regelmäßig die Frage nach der persönlichen Haftung des verantwortlichen Managements. Nach NIS-2 wird die Unternehmensleitung in Bezug auf die IT-Sicherheit deutlich stärker in die Pflicht genommen als bisher. Kommt es hier zu Pflichtverletzungen, die kausal für den von der Cyber-Versicherung nicht gedeckten Vermögensschaden sind, ist dies ein Fall für die D&O-Versicherung des Unternehmens.
Ein Hackerangriff kann nicht nur KRITIS-Unternehmen treffen, sondern, wie wir seit Jahren den Medien entnehmen können, jeden. Die Frage ist nicht, ob, sondern wann! Genau dann hilft eine Cyber-Versicherung z. B. mit einem Forensik-Team, um den Angreifer zu finden und die Systeme wieder zum Laufen zu bringen. Auch bei einem Datenschutzvorfall kann die Cyber-Versicherung helfen, zum Beispiel beim Anschreiben der Betroffenen.
Vielen Dank für das Interview!
Katharina Schmidl arbeitet seit 2021 bei der Württembergischen Versicherung als Content Marketing Managerin. Ihre Leidenschaft für Content hat sie während ihres Studiums der Kommunikationswissenschaften entdeckt und seitdem in verschiedenen Positionen in Marketing und Kommunikation eingesetzt.
Das haben andere gelesen
Betriebe & Gründer
13.09.2024 - Online-Rezensionen können den Erfolg eines Unternehmens maßgeblich beeinflussen. Vor allem für kleine und mittlere Unternehmen (KMU) sind Bewertungen mitunter (über-)lebenswichtig.
Betriebe & Gründer
01.07.2024 - „Willkommen in der Firma, ich bin Ihr persönlicher Stylist!“ – das ist weder ein Scherz noch die Spitze des Eisbergs aus betrieblichen Benefits, die Großunternehmen anbieten. Wie können kleine und mittelständische Betriebe da mithalten?
Betriebe & Gründer
10.01.2024 - Was bedeutet ein Datenverlust und was versteht man unter einem "Headcrash"? Unsere Elektronikversicherung kennt die Antwort und sichert Betriebe ab.
Betriebe & Gründer
12.12.2022 - Wie steht es um die Digitalisierung und die Gesetzeslage?
Betriebe & Gründer
30.06.2022 - „Wir haben eine soziale und gesellschaftliche Verpflichtung, der wir nachkommen wollen.“ Die pema elektrotechnik GmbH bietet Mitarbeitern seit 2019 eine betriebliche Krankenversicherung der Württembergischen.