ISGroup Cybersicherheitsberatung

Wie wirkt sich die NIS2-Richtlinie auf internationale Unternehmen aus, die in der EU tätig sind?

Die NIS2-Richtlinie hat erhebliche Auswirkungen auf internationale Unternehmen, die innerhalb der EU tätig sind, da sie denjenigen, die in ihren Anwendungsbereich fallen, Verpflichtungen und Verantwortlichkeiten im Bereich der Cybersicherheit auferlegt.

[Callforaction-NIS2]

Hier ist ein Überblick:

1. Anwendungsbereich und erweiterte Einschlusskriterien

  • Die NIS2 erweitert den Kreis der Sektoren und Unternehmen, die ihren Bestimmungen unterliegen, erheblich und geht über den Fokus der ursprünglichen NIS-Richtlinie hinaus, um Sektoren einzubeziehen, die aufgrund ihres Digitalisierungsgrades und ihrer Vernetzung mit der Wirtschaft und Gesellschaft der EU als kritisch gelten.
  • Internationale Unternehmen, die in Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastruktur und anderen in den Anhängen I und II der Richtlinie aufgeführten Bereichen tätig sind, müssen prüfen, ob sie aufgrund ihrer Aktivitäten und Größe in den Anwendungsbereich fallen.
  • Eine grundlegende Änderung ist die Einführung einer Größenschwelle. Alle mittleren und großen Unternehmen in den genannten Sektoren fallen unter die NIS2. Das bedeutet, dass internationale Unternehmen unabhängig von ihrem Hauptsitz die Anforderungen erfüllen müssen, wenn sie die Größenkriterien für ihren Sektor innerhalb der EU erfüllen.
  • Die Richtlinie ermöglicht es den Mitgliedstaaten zudem, kleinere Unternehmen mit hohem Risikoprofil zu identifizieren, die ihre Verpflichtungen erfüllen müssen. Diese Bestimmung bietet den nationalen Behörden Flexibilität bei der Bewältigung spezifischer Cybersicherheitsrisiken.

2. Zuständigkeit und das Prinzip der “Hauptniederlassung”

  • Für die meisten Unternehmen liegt die Zuständigkeit der NIS2 bei dem Mitgliedstaat, in dem sie niedergelassen sind. Wenn sie in mehreren Mitgliedstaaten niedergelassen sind, hat jedes dieser Länder die Zuständigkeit, was eine Zusammenarbeit und potenzielle gemeinsame Aufsichtsmaßnahmen der jeweiligen Behörden erfordert.
  • Einige internationale Unternehmen, die grenzüberschreitende digitale Dienste erbringen, fallen jedoch unter die Zuständigkeit des Mitgliedstaats, in dem sich ihre “Hauptniederlassung” in der EU befindet. Dazu gehören Anbieter von Domain-Name-Systemen, Cloud-Computing-Diensten, Rechenzentren, Content Delivery Networks (CDNs), Online-Marktplätzen, Suchmaschinen und sozialen Netzwerken.
  • Um Klarheit zu gewährleisten, müssen diese Unternehmen den zuständigen Behörden ihre Hauptniederlassung und ihre weiteren rechtlichen Standorte innerhalb der EU mitteilen. Wenn sie keine Niederlassung in der EU haben, müssen sie einen Vertreter innerhalb der EU benennen, dessen Daten den Behörden mitzuteilen sind. Diese Bestimmung zielt darauf ab, die Compliance für diese Unternehmen zu vereinfachen, damit sie nicht mit einer komplexen Ansammlung unterschiedlicher nationaler Vorschriften konfrontiert werden.

3. Cybersicherheits-Risikomanagement und Meldung von Vorfällen

  • Die NIS2 verpflichtet Unternehmen in ihrem Anwendungsbereich zur Umsetzung angemessener technischer, operativer und organisatorischer Maßnahmen, um Cybersicherheitsrisiken für ihre Netz- und Informationssysteme zu bewältigen. Dieser risikobasierte Ansatz erfordert eine umfassende Cybersicherheitsstrategie, die auf die spezifischen Risiken des Unternehmens zugeschnitten ist.
  • Die Richtlinie enthält eine Liste von zehn wesentlichen Sicherheitselementen, die Unternehmen berücksichtigen müssen, darunter Vorfallmanagement, Sicherheit der Lieferkette, Schwachstellenmanagement und -offenlegung sowie die Verwendung von Verschlüsselung. Diese Elemente bilden eine Grundlage für Cybersicherheitspraktiken, die alle betroffenen Unternehmen einhalten müssen.
  • Internationale Unternehmen müssen robuste Mechanismen zur Meldung von Vorfällen einrichten. Sie müssen ihrem nationalen CSIRT oder der zuständigen Behörde jeden erheblichen Cybersicherheitsvorfall, der ihre Betriebsabläufe in der EU beeinträchtigt, unverzüglich melden. Dazu gehören Vorfälle, die die Erbringung von Diensten erheblich stören oder Auswirkungen auf andere Unternehmen haben und zu erheblichen materiellen oder immateriellen Schäden führen können.
  • Die Richtlinie sieht einen zweistufigen Meldeprozess vor: eine “Frühwarnung”, gefolgt von einem detaillierteren Bericht innerhalb von 72 Stunden, der Informationen über die Auswirkungen des Vorfalls, Minderungsmaßnahmen und Strategien zur zukünftigen Prävention enthält. Dieser standardisierte Melderahmen erleichtert eine zeitnahe Reaktion und die grenzüberschreitende Zusammenarbeit bei Cybersicherheitsvorfällen.

4. Fokus auf die Sicherheit der Lieferkette

  • Die NIS2 legt den Schwerpunkt auf die Sicherheit von Lieferketten und Lieferantenbeziehungen und verlangt von Unternehmen, Cybersicherheitsrisiken innerhalb dieser Ökosysteme anzugehen. Dies beinhaltet die Bewertung der Sicherheitslage kritischer Lieferanten und die Implementierung geeigneter Kontrollen zur Risikominderung.
  • Diese Anforderung unterstreicht die vernetzte Natur der Cybersicherheit und die geteilte Verantwortung bei der Risikominderung. Internationale Unternehmen müssen ihre Lieferketten innerhalb der EU sorgfältig bewerten und die Übereinstimmung mit den NIS2-Anforderungen sicherstellen.

5. Strenge Durchsetzung und harmonisierte Sanktionen

  • Die Richtlinie verleiht den nationalen Behörden gestärkte Aufsichts- und Durchsetzungsbefugnisse. Dazu gehören die Durchführung regelmäßiger Audits und Inspektionen, die Erteilung verbindlicher Anweisungen, die Verhängung von Bußgeldern und die Einleitung von Korrekturmaßnahmen.
  • Die NIS2 führt einen harmonisierten Sanktionsrahmen zwischen den Mitgliedstaaten ein, um eine konsistente und wirksame Durchsetzung zu gewährleisten. Dies umfasst erhebliche finanzielle Sanktionen, insbesondere für wesentliche Einrichtungen, denen Bußgelder von bis zu 10.000.000 € oder 2 % des weltweiten Jahresumsatzes drohen können.
  • Diese strengen Durchsetzungsmechanismen unterstreichen den Ernst, mit dem die EU Cybersicherheit betrachtet, und die Notwendigkeit einer strikten Einhaltung durch internationale Unternehmen, die innerhalb ihrer Grenzen tätig sind. In Italien hat die ACN die Fristen und Modalitäten für die Eintragung in das NIS2-Verzeichnis für die verpflichteten Stellen festgelegt.

6. Auswirkungen über die direkte Anwendbarkeit hinaus

  • Obwohl sich die NIS2 primär an mittlere und große Unternehmen richtet, erstrecken sich ihre Auswirkungen indirekt auf KMU. Größere Unternehmen, die der Richtlinie unterliegen, sind motiviert sicherzustellen, dass ihre Lieferketten die geforderten Cybersicherheitsstandards erfüllen, was KMU dazu drängt, ihre Cybersicherheitslage zu verbessern, um Geschäftsbeziehungen aufrechtzuerhalten.
  • Darüber hinaus bieten Ressourcen wie die von der ENISA eingerichtete und gepflegte europäische Schwachstellendatenbank Vorteile für alle Beteiligten, einschließlich KMU, indem sie wertvolle Informationen über Bedrohungen bereitstellen und bewährte Verfahren für das Schwachstellenmanagement fördern.

Was ist zu tun, wenn Ihr Unternehmen unter die NIS2 fällt?

Internationale Unternehmen, die in der EU tätig sind, müssen ihre Verpflichtungen aus der Richtlinie sorgfältig analysieren und einen strukturierten Anpassungsprozess einleiten. Das Verständnis, was das Hauptziel der NIS2-Richtlinie ist, ist der Ausgangspunkt, um Prioritäten korrekt zu setzen. Wer seinen Anwendungsbereich bereits identifiziert hat, kann einen Weg zur NIS2-Konformität bewerten, der Risikoanalysen, technische und organisatorische Maßnahmen sowie das Vorfallmanagement abdeckt.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *