Was ändert sich mit der NIS2-Richtlinie und wen betrifft sie überhaupt?
Die NIS2-Richtlinie gilt EU-weit und hat das Ziel, das Gesamtniveau der Cybersicherheit in der EU zu steigern. Betroffene Unternehmen in den einzelnen Mitgliedstaaten müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Bei Verstößen drohen hohe Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes, im schlimmsten Fall sogar der Entzug der Betriebserlaubnis.
Jetzt könnte man denken, kennen wir das nicht alles schon? Betreiber kritischer Infrastrukturen (KRITIS) sind doch schon länger verpflichtet, spezielle Sicherheitsmaßnahmen zu ergreifen und nachzuweisen. Ja, korrekt. Die NIS2-Richtlinie soll nun aber einiges konkretisieren und erweitern. Insbesondere erweitert sich der Geltungsbereich entscheidend. Denn ab Inkrafttreten der Richtlinie (voraussichtlich im Oktober 24), sind nicht nur Betreiber kritischer Infrastrukturen (KRITIS) von den geforderten Maßnahmen betroffen, sondern auch - neu - "besonders wichtige Einrichtungen" und "wichtige Einrichtungen". Man kann davon ausgehen, dass allein in Deutschland ca. 30.000 Unternehmen neu in die Pflicht genommen werden. Also schauen wir uns die Richtlinie besser mal etwas genauer an.