Hamburg, Mai 2024. Die Cyberkriminalität ist international wie national anhaltend hoch und gilt als eines der größten Geschäftsrisiken. Das bestätigt die exorbitante Anzahl  betroffener Unternehmen: 9 von 10! Aus diesem Grund hat die EU mit der Richtlinie NIS 2 sowohl die Anforderungen an die IT-Sicherheit als auch die persönliche Haftung des Managements verschärft. Wir erklären, wer betroffen ist und welche Maßnahmen zu ergreifen sind. Achtung: Für die Umsetzung bleibt nicht mehr viel Zeit!

INHALT DER NIS-RICHTLINIE

Die ursprüngliche NIS-Richtlinie mit dem Hauptziel, Europas Widerstandsfähigkeit gegen Cyberkriminalität zu stärken und die Reaktionsfähigkeit zu verbessern, wurde bereits 2016 verabschiedet und musste bis Mai 2018 von allen EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Die NIS 2-Richtlinie wurde erstmals Ende 2022 veröffentlicht und ist im Januar 2023 in Kraft getreten. Sie ist noch nicht in deutsches Recht umgesetzt, denn bei diversen Punkten gibt es Diskussionsbedarf. Bis zum 17. Oktober 2024 muss die Richtlinie allerdings ratifiziert sein. Als betroffenes Unternehmen werden Sie also ab 18. Oktober zur Anwendung verpflichtet sein!

FÜR WEN BESTEHT HANDLUNGSBEDARF?

 Genau in dieser Frage liegt eines der Hauptprobleme der Verschärfung der Richtlinie. Denn die Bandbreite und Anzahl der betroffenen Unternehmen hat sich immens erhöht. NIS 1 wandte sich zunächst an Betreiber kritischer Infrastrukturen (KRITIS), z. B. Unternehmen der Energieversorgung, Gesundheit und Transport. Schätzungen zufolge müssen durch die aktuelle Ausweitung rund 30.000 zusätzliche Betriebe in Deutschland den Anforderungen entsprechen, für die ursprünglich kein Handlungsbedarf bestand. Dazu zählen beispielsweise Zulieferer in diversen Branchen. Hinzu kommt eine deutliche Herabsetzung der Mitarbeiterzahl und des Jahresumsatzes der betroffenen Unternehmen.

In vielen Fällen bedarf es einer fachgerechten Prüfung, um festzustellen, ob der eigene Betrieb dazuzählt. So können beispielsweise Hersteller von Nischenprodukten in einem der nun relevanten Sektoren inbegriffen sein, wenn der Umsatz die neue Grenze von 10 Millionen Euro übersteigt.

Wir raten schleunigst zu prüfen oder prüfen zu lassen, ob Ihr Unternehmen betroffen ist! Nur so können Sie im Bedarfsfall rechtzeitig die geforderten Maßnahmen bis zum Oktober dieses Jahres in Gang zu setzen.

WELCHE MASSNAHMEN MÜSSEN ERGRIFFEN WERDEN?

Unternehmen, die von NIS 2 betroffen sind, müssen umfangreiche Schutzvorgaben erfüllen. Dazu zählen in erster Linie folgende Maßnahmen:

• Konzepte der Risikobewertung, Risikoanalyse und Informationssicherheit
• Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
• Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
• Backup-Management und Wiederherstellung, Krisenmanagement
• Sicherheit in der Lieferkette
• Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme
• Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
• Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
• Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
• Personalsicherheit, Zugriffskontrolle und Asset Management
• Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
• Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall

Gerade für kleinere und mittlere Betriebsgrößen kann dieses Maßnahmenpaket problematisch sein. Wer inhouse nicht über die entsprechende IT-Expertise verfügt, muss personell gezielt aufstocken beziehungsweise externe Dienstleister in Anspruch nehmen, um die geforderten Maßnahmen in der vorgegebenen Zeit erfüllen zu können.

Wichtig: Künftig muss ein Cyber-Schaden der betroffenen Unternehmen direkt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden – innerhalb von 24 Stunden mit einem vorläufigen Bericht, innerhalb von 72 Stunden mit einem vollständigen Bericht samt einer Bewertung; und spätestens nach einem Monat mit einem ausführlichen Abschlussbericht. So der aktuelle Stand.

CYBERSICHERHEIT WIRD KÜNFTIG ZUR CHEFSACHE

Geschäftsführer, Vorstände und Aufsichtsräte haften im Falle von vorsätzlichen oder fahrlässigen Pflichtverletzungen schon jetzt mit Ihrem Privatvermögen. Diese Haftung wird im aktuellen Gesetzesentwurf nun deutlich präzisiert: Die Geschäftsleiter sind verpflichtet, die geforderten Maßnahmen zu billigen und zu überwachen. Außerdem müssen sie regelmäßig persönlich an Schulungen teilnehmen und eine Teilnahme auch weiteren Mitarbeitern anbieten. Die Haftung nach NIS 2 bezieht sich auf alle „Leitungsorgane“, wobei noch unklar ist, wer hierunter zu subsumieren ist

Neu: Ein Verzicht der Einrichtung auf Ersatzansprüche aufgrund einer Verletzung der Pflichten oder ein Vergleich zwischen Unternehmen und Leistungsorgan über diese Ansprüche ist unwirksam.

Bei Verstößen drohen hohe Geldbußen! Bis zu 2 Prozent des weltweiten Umsatzes bzw. bis zu einer Höhe von 7 Millionen Euro für „wesentliche Einrichtungen“ und bis 1,4 Prozent des weltweiten Umsatzes bzw. bis zu einer Höhe von 10 Millionen Euro für „wichtige Einrichtungen“ können zu Buche schlagen.

Auch wenn es einen hohen Aufwand bedeutet, sollte die Umsetzung der Richtlinie im Interesse aller beteiligten Seiten liegen. Nur eine stark ausgeprägte und solide Cyberabwehr sowie effiziente Handlungsvorgaben können langfristig und dauerhaft vor großen wirtschaftlichen Schäden schützen.

DARUM WIRD DIE CYBERVERSICHERUNG NUN UMSO WICHTIGER

Natürlich geht es bei der Absicherung durch eine Cyberversicherung um die Deckung des verursachten Schadens, der oft erst später in seiner vollen Größe sichtbar wird. Dennoch bietet die Cyberversicherung – gerade in Hinsicht auf die verschärften NIS 2-Anforderungen – noch deutlich mehr Unterstützung und Sicherheit. Denn: die IT-Forensik ist inbegriffen!

So stehen Ihnen bei einem entsprechenden Abschluss ab dem Moment des Schadeneintritts umfassende Assistance-Dienstleistungen für die Handlungsfähigkeit im Notfall zur Verfügung. Über eine 24/7-Hotline erhalten Sie Zugriff auf ein Netzwerk von IT-Experten, die Ihnen auch bei der Umsetzung genau dieser nun so elementaren Anforderungen zur Seite stehen. Bereits der Fragebogen, der im Rahmen des Abschlusses einer Cyberversicherung auszufüllen ist, kann unter Umständen verdeutlichen, wie viele Punkte Sie bereits erfüllen oder wo Sie im Rahmen der künftigen Anforderungen möglicherweise noch aktiv werden sollten.

DIE WICHTIGSTEN NEUEN PUNKTE IN DER ÜBERSICHT

• Umsetzung bis zum 17.10.2024
• betrifft: Unternehmen ab 50 Mitarbeitern oder 10 Millionen EUR Jahresumsatz und bestimmter Sektortätigkeit (insgesamt nun 18 Sektoren, davon 11 „wesentliche“ und 7 „wichtige“)

Als „wesentliche Unternehmen“ gelten:

• Energie (auch Lieferkette betroffen wie Verkauf, Betreiber, Verteiler, Zulieferer)
• Luft-, Schienen, Straßen- und Schiffsverkehr
• Bankenwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• Verwaltung von IKT-Diensten (B2B)
• Öffentliche Verwaltung
• Weltraum

Als „wichtige Unternehmen gelten:

• Verarbeitendes Gewerbe/Hersteller aus den Bereichen Medizin, Computer, Elektronik, Maschinen, Transportmittel etc.)
• Abfallwirtschaft/Chemische Erzeugnisse/Lebensmittel etc.
• Post- und Kurierdienste
• Produktion, Herstellung und Handel mit chemischen Stoffen
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Anbieter digitaler Dienste
• Forschung

Verpflichtend sind folgende Maßnahmen im Bereich des Risikomanagements:

• Ergreifung von technischen und organisatorischen Maßnahmen (TOM) auf dem aktuellen Stand der Technik zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme etc.
• Grundlegende und ausreichende Schulungen im Bereich der Cybersicherheit für verantwortliche Geschäftsleiter sowie die Mitarbeiter
• Konzepte in Hinsicht auf Risikoanalyse und Sicherheit für Informationssysteme
• Bewältigung von Sicherheitsvorfällen
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung

Weitere Pflichten für betroffene Unternehmen und Einrichtungen:

• Meldepflicht ans BSI
• Registrierungspflicht (muss spätestens bis 18.10. erfolgt sein)
• Mögliche zusätzliche Nachweispflicht für besonders wichtige Einrichtungen wie ein regelmäßiger Nachweis bzgl. der Einhaltung bestehender IT-Standards

Pflichten für die verantwortlichen Geschäftsleiter:

• Billigung bzw. Überwachung der zur Einhaltung der Richtlinie ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit
• Teilnahme an regelmäßigen Schulungen zum Erwerb ausreichender Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die Dienste des jeweiligen Unternehmens

SO STEHT IHNEN GBH NUN ZUR SEITE

Prüfen Sie zunächst, ob Sie zu den Unternehmen gehören, die zur Umsetzung der NIS 2-Richtlinie verpflichtet sind. Gerne unterstützen wir Sie in folgenden Bereichen:

Sie wollen eine Cyber-Versicherung abschließen oder wissen, inwieweit Ihre bestehende Versicherung im Hinblick auf die NIS 2 Anforderungen unterstützt?

Wir helfen, passende Dienstleister für Mitarbeiterschulungen und Präventionsmaßnahmen zu finden.

Für die Managerhaftung schließen Unternehmen regelmäßig eine D&O Versicherung ab. Diese kann durch eine persönliche D&O Versicherung ergänzt werden, die der Manager selbst vereinbart.

Gern beraten wir Sie individuell und persönlich – nehmen Sie gleich Kontakt zu unserem Experten auf!