Zum Inhalt springen
Nis2 Content Hub

Warum?

Warum gibt es NIS2 und wie ist es dazu gekommen?

Quelle EU

Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.

logik-recht

Die ursprünglich 2016 eingeführten Cybersicherheitsvorschriften der EU wurden durch die 2023 in Kraft getretene NIS2-Richtlinie aktualisiert.

NIS2 modernisiert den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich entwickelnden Bedrohungslandschaft Schritt zu halten. Sie verbessert die Resilienz- und Reaktionsfähigkeiten durch Ausweitung des Anwendungsbereichs der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen.

Die Richtlinie sieht folgende rechtlichen Maßnahmen vor:

  • Anforderung an die Mitgliedstaaten, sich angemessen behördlich auszurichten. Zum Beispiel mit einem Computer Security Incident Response Team (CSIRT) und einer zuständigen nationalen Behörde.

  • Zusammenarbeit zwischen allen Mitgliedstaaten durch Einsetzung einer Kooperationsgruppe zur Unterstützung und Erleichterung der strategischen Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten.

  • Förderung einer Sicherheitskultur in allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind und stark auf IKT angewiesen sind, wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitsversorgung und digitale Infrastruktur.

  • Unternehmen, die von den Mitgliedstaaten als Betreiber wesentlicher Dienste in den oben genannten Sektoren eingestuft wurden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren.

NIS2 ist eine wesentliche Gesetzgebung der Cybersicherheitspolitik der EU und ist im Rahmen des Cyber Security Strategie Frameworks auch Kernaspekt der Shaping Europe´s Digital Future, dem Recovery Plan for Europe und der Security Union Strategy 2020-2023.

Warum sollte ich als Unternehmen jetzt den Fokus auf professionelle NIS2 Erfüllung und Cybersicherheit legen - abgesehen von der Compliance-Diskussion?

1. Schutz vor Cyberangriffen und deren Kosten

In einer digitalen Welt sind Unternehmen ständig Cyberangriffen ausgesetzt. 58% der deutschen Unternehmen erlebten im letzten Jahr mindestens einen Cyberangriff, wobei die Angriffe zunehmen, insbesondere Ransomware-Angriffe (Comparitech) (Allianz Commercial). Der durchschnittliche Schaden eines solchen Angriffs beläuft sich auf etwa 1,82 Millionen US-Dollar (ca. 1,7 Millionen Euro) pro Vorfall, einschließlich Kosten für Reaktion, Wiederherstellung und Verlust von Geschäftsmöglichkeiten (Parachute) (IBM - United States).

2. Vermeidung von Kunden- und Vertrauensverlust

Ein Datenverstoß kann verheerende Auswirkungen auf die Kundenbindung haben. 36% der Unternehmen verlieren im Durchschnitt ihre Kunden nach einem Datenverstoß. Vertrauen und Ruf sind schwer wiederherzustellen und haben langfristige Auswirkungen auf den Geschäftserfolg (Inside Privacy).

3. Wettbewerbsvorteil und Marktposition

Durch die Investition in Cybersicherheit und die Erfüllung der NIS2-Richtlinie können Unternehmen: Vertrauen der Kunden stärken: Ein starkes Sicherheitsprofil signalisiert Kunden, dass ihre Daten sicher sind, was zu erhöhter Kundenbindung und positiver Mundpropaganda führt. Risiken minimieren: Proaktive Maßnahmen zur Bedrohungserkennung und -abwehr stärken die Resilienz und verhindern erhebliche Schäden und Betriebsunterbrechungen.

4. Vermeidung rechtlicher Risiken und Bußgelder

Die NIS2-Richtlinie sieht bei Nichteinhaltung Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes vor. Einhaltung schützt vor diesen erheblichen finanziellen Strafen und minimiert rechtliche Risiken.

5. Langfristige strategische Vorteile

Die Investition in Cybersicherheit und Compliance ist nicht nur eine gesetzliche Pflicht, sondern eine strategische Entscheidung: Langfristige Kostenersparnis: Investitionen in Sicherheitstechnologien und Maßnahmen können langfristig erhebliche Kosten durch Vorfälle vermeiden. Marktfähigkeit: Unternehmen, die robuste Sicherheitsmaßnahmen nachweisen können, haben einen Wettbewerbsvorteil und sind besser aufgestellt, um Marktanteile zu gewinnen. Spieltheoretische Überlegung: Ihre Dominante Strategie

B investiertB investiert nicht
A investiertA: Sicherheit, B: Sicherheit
Beide Unternehmen investieren in Cybersicherheit und erfüllen NIS2. Sie sind geschützt und stärken das Vertrauen ihrer Kunden.		A: Sicherheit, B: hohes Risiko
A ist sicher, B spart kurzfristig Geld, aber setzt sich hohen Risiken aus, was zu finanziellen Verlusten führen kann.
A investiert nichtA: hohes Risiko, B: Sicherheit
A spart anfänglich Kosten, riskiert jedoch hohe Verluste durch Cyberangriffe und Strafen. B ist sicher.		A: hohes Risiko, B: hohes Risiko
Beide sparen kurzfristig Geld, sind jedoch erheblichen Cyberrisiken und hohen Kosten ausgesetzt.

Analyse der Strategien:

  1. Beide Unternehmen investieren (A: Sicherheit, B: Sicherheit):
  • Vorteile: Beide Unternehmen schützen sich effektiv vor Cyberangriffen und Compliance-Strafen. Dies stärkt das Vertrauen bei Kunden und Partnern und trägt langfristig zum Geschäftserfolg bei.
  • Nachteil: Beide Unternehmen tragen die sofortigen Kosten der Investition, was kurzfristig die Profitabilität beeinträchtigen kann.
  1. Nur A investiert (A: Sicherheit, B: hohes Risiko):
  • Vorteil für A: A schützt sich vor den direkten Kosten von Cyberangriffen und potenziellen Strafen für Nichteinhaltung und könnte einen Wettbewerbsvorteil gegenüber B erlangen.
  • Nachteil für B: B spart zwar kurzfristig Geld, ist aber höheren Risiken ausgesetzt, was langfristig zu erheblichen finanziellen Verlusten führen kann.
  1. Nur B investiert (A: hohes Risiko, B: Sicherheit):
  • Vorteil für B: B schützt sich vor den direkten Kosten von Cyberangriffen und potenziellen Strafen, was langfristig Vorteile bringt.
  • Nachteil für A: A spart anfänglich Kosten, riskiert jedoch langfristige negative Folgen durch höhere Verwundbarkeit.
  1. Kein Unternehmen investiert (A: hohes Risiko, B: hohes Risiko):
  • Nachteil: Beide Unternehmen sparen kurzfristig Geld, setzen sich jedoch erheblichen Risiken aus. Das Ergebnis könnten verheerende Kosten durch Datenverstöße und Verlust von Kundenvertrauen sein, was die schlechteste aller Optionen darstellt.

Warum NIS2 aus Sicht des europäischen Gesetzgebers

Ziel ist es, die digitale Sicherheit in der EU angesichts steigender Bedrohungen und fortschreitender Digitalisierung zu stärken.

Wesentliche Aspekte:

  • Reaktion auf fortschreitende Digitalisierung: Mit der zunehmenden Abhängigkeit von digitalen Technologien wächst auch das Risiko der Verwundbarkeit durch Cyberangriffe. NIS2 aktualisiert die Regelungen, um diese neuen Entwicklungen gerecht zu werden und Europas digitale Infrastrukturen besser und einheitlich zu schützen.

  • Erweiterung der Zahl der betroffenen Unternehmen: Durch die Erweiterung der Regelungen auf zusätzliche Wirtschaftssektoren wird sichergestellt, dass mehr Bereiche der Wirtschaft einen Mindeststandard an Sicherheitsmaßnahmen implementieren. Stärkung der Sicherheitsmaßnahmen bei den Unternehmen: NIS2 legt fest, dass Unternehmen, die unter NIS2 fallen angemessene Sicherheitsmaßnahmen ergreifen und im Falle eines schwerwiegenden Sicherheitsvorfalls berichten müssen, was zu einer umfassenderen und durchgängigen Sicherheitskultur führt.

  • Etablierung starker Behördenstrukturen: Die Richtlinie fordert von den Mitgliedstaaten, verantwortliche Behörden zu etablieren, um auf Cybervorfälle schnell und effektiv reagieren zu können. In Deutschland wird das BSI (Bundesamt für Sicherheit in der Informationstechnologie) eine tragende Rolle in der NIS2 Behördenstruktur spielen.

  • Förderung der EU-weiten Zusammenarbeit: Durch die Schaffung einer EU-weiten Kooperationsgruppe wird die strategische Zusammenarbeit und der Informationsaustausch zwischen den Mitgliedstaaten zur Cyber Sicherheit gefördert.

  • Teil europäischer Strategien: NIS2 ist keine isolierte Gesetzgebung, sondern spielt eine Schlüsselrolle in der umfassenden Strategie der EU zur Cybersicherheit, einschließlich des Recovery Plan for Europe und der Security Union Strategy.