English Italiano

© Wittmann Law     Durasweg 21     81247 Munich

Vorbereitungen für die nationale Umsetzungsfrist der NIS2-Richtlinie

Da die Umsetzungsfrist für die überarbeitete Richtlinie über Netz- und Informationssysteme (NIS2) näher rückt, müssen Unternehmen in der gesamten EU Maßnahmen ergreifen, um die Einhaltung der Richtlinie zu gewährleisten. Die NIS2, die am 16. Januar 2023 in Kraft trat, ersetzt die ursprüngliche NIS1-Richtlinie und zielt darauf ab, die Cybersicherheit in den Mitgliedstaaten zu harmonisieren und zu verbessern. Mit ihrem breiteren Anwendungsbereich, dem risikobasierten Ansatz und dem Fokus auf die Sicherheit der Lieferkette trägt die NIS2 den wachsenden Cyber-Bedrohungen und der entscheidenden Bedeutung des Schutzes wesentlicher Dienste und digitaler Infrastrukturen Rechnung.

wittmann law data security

Unternehmen haben bis zum 17. Oktober 2024 Zeit, ihre nationalen Gesetze an die NIS2 anzupassen. Um sich effektiv vorzubereiten, müssen Unternehmen die Anwendbarkeit der Richtlinie, die spezifischen Anforderungen und die möglichen Auswirkungen verstehen, einschließlich der Frage, wie sich die Richtlinie auf die Verwendung von Open-Source- Software und -Technologie auswirkt.

Umfang von NIS2

1. Die NIS2 erweitert den Anwendungsbereich ihrer Vorgängerin, der NIS1, erheblich und deckt eine größere Anzahl von Sektoren und Dienstleistungen ab, die für die gesellschaftliche und wirtschaftliche Stabilität von entscheidender Bedeutung sind. Die Richtlinie gilt für Schlüsselsektoren wie Energie, Verkehr, Banken, Gesundheitswesen, digitale Infrastruktur und öffentliche Verwaltung sowie für wichtige Sektoren wie Postdienste, Abfallwirtschaft, Lebensmittelproduktion und Anbieter digitaler Dienste wie Cloud Computing, Online- Marktplätze und Suchmaschinen.

2. Unternehmen, die in diesen Sektoren tätig sind, müssen strenge Cybersicherheitsmaßnahmen ergreifen, regelmäßige Risikobewertungen durchführen und bedeutende Vorfälle den nationalen Behörden melden. Der erweiterte Geltungsbereich spiegelt die zunehmende Vernetzung kritischer Infrastrukturen und die Notwendigkeit robuster Cybersicherheitspraktiken in allen Bereichen der Gesellschaft wider. Unternehmen mit weniger als 50 Mitarbeitern oder einem Jahresumsatz oder einer Bilanzsumme von weniger als 10 Millionen Euro sind jedoch von dieser Verordnung ausgenommen. Es gibt Ausnahmen von dieser Ausnahme, wenn diese kleineren Unternehmen für kritische Infrastrukturen unerlässlich sind oder in bestimmten Hochrisikosektoren tätig sind.

3. Anwendung auf Nicht-EU-Unternehmen: Die NIS2 gilt unter bestimmten Bedingungen auch für Nicht-EU-Unternehmen. Wenn ein Nicht-EU-Unternehmen in einem von der NIS2 abgedeckten Sektor tätig ist und Dienstleistungen innerhalb der EU erbringt, muss es die Richtlinie einhalten. Dies gilt auch für Unternehmen, die Dienstleistungen für EU-Bürger oder innerhalb des EU-Marktes erbringen. Solche Nicht-EU-Unternehmen müssen einen Vertreter in der EU benennen, um die Einhaltung der NIS2-Verpflichtungen sicherzustellen. Dieser Vertreter fungiert als Bindeglied zu den EU-Regulierungsbehörden und ist für die Einhaltung der Richtlinie durch das Unternehmen verantwortlich.

Auswirkungen auf Open Source Software und Technologie

NIS2 legt großen Wert auf die Sicherheit der Lieferkette und schreibt strenge Cybersicherheitsstandards für Organisationen vor, die als wesentlich oder wichtig eingestuft sind. Die kommerziellen Komponenten können in der Regel leicht identifiziert werden: Anhand der Lieferantenliste lassen sich die kommerziellen Komponenten schnell ausfindig machen. Bei den Open-Source-Komponenten ist dies schwieriger. Dies hat direkte Auswirkungen auf die Verwendung von Open-Source-Software:

  • Erhöhte Sicherheitsanforderungen: Organisationen müssen sicherstellen, dass Open-Source-Technologien die NIS2-Cybersicherheitsstandards erfüllen. Dazu gehören regelmäßige Updates, Schwachstellenbewertungen und rechtzeitiges Patch- Management, um die mit Open-Source-Komponenten verbundenen Risiken zu minimieren.
  • Sicherheit der Lieferkette: Die Richtlinie verlangt von Unternehmen, die Sicherheitspraktiken ihrer Open-Source-Software-Lieferanten zu bewerten. Dazu gehört die Bewertung der Herkunft und Wartung von Open-Source-Projekten, um sicherzustellen, dass sie keine Schwachstellen in kritische Systeme einbringen. Dazu gehört auch die Bewertung aller transitiv abhängigen Open-Source-Pakete. Die Integration solcher Pakete ist oft nicht sofort ersichtlich, auch nicht für die Entwickler. Alle Softwarekomponenten, die Software Bill of Materials (SBOM), müssen dokumentiert werden. Dies wird normalerweise von spezialisierten Unternehmen durchgeführt.
  • Regelmäßige Prüfung aller verwendeten Open-Source-Pakete auf Sicherheitslücken. Jeden Tag werden neue Schwachstellen entdeckt, laut BSI etwa 70 pro Tag(https://www.bsi.bund.de/DE/Service- Navi/Publikationen/Lagebericht/lagebericht_node.html). Alle Komponenten der SBOM müssen regelmäßig auf neu entdeckte Schwachstellen überprüft werden.
  • Meldung von Vorfällen und Haftung: Die NIS2 verlangt von Unternehmen, dass sie erhebliche Vorfälle im Bereich der Cybersicherheit, einschließlich solcher, die Open- Source-Software betreffen, an die nationalen Behörden melden (Dreistufige Meldepflicht für schwere Zwischenfälle - 24 Stunden Frühwarnung, 72 Stunden Berichterstattung über den Zwischenfall, ein Monat Abschlussbericht). Das Management kann auch dafür verantwortlich gemacht werden, dass die Verwendung von Open-Source-Technologie die Cybersicherheit des Unternehmens nicht gefährdet, was die rechtlichen und operativen Risiken erhöht.

Gemäß NIS2 können Unternehmen, die die Richtlinie nicht einhalten, mit erheblichen Geldstrafen belegt werden. Die Strafen können bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist. Die Unternehmensleitung kann auch persönlich für die Nichteinhaltung der Richtlinie haftbar gemacht werden und muss mit rechtlichen Schritten, einschließlich Geldstrafen oder dem Ausschluss aus dem Unternehmen, rechnen, wenn sie es versäumt, die Einhaltung der Richtlinie zu gewährleisten. Darüber hinaus können Unternehmen Schadensersatzforderungen von betroffenen Parteien ausgesetzt sein, wenn ihre Nichteinhaltung zu einem Sicherheitsvorfall führt, der Schaden verursacht.

Angesichts dieser Anforderungen müssen Unternehmen ihre Verwendung von Open-Source- Software sorgfältig verwalten, um die NIS2-Vorschriften einzuhalten und ihre Systeme vor neuen Bedrohungen zu schützen. Manager müssen nachweisen können, dass sie ihren treuhänderischen Pflichten nachgekommen sind, um eine persönliche Haftung zu vermeiden und ihr Unternehmen vor Geldstrafen, Bußgeldern oder Klagen zu schützen.

Checkliste für Unternehmen: Wichtige vorbereitende Schritte für die Einhaltung der Vorschriften

Um sich an die NIS2 anzupassen und die damit verbundenen Risiken zu bewältigen, sollten Unternehmen:

  • Risikobewertungen durchführen: Identifizieren Sie alle verwendeten Softwarekomponenten (SBOM) und bekannten Schwachstellen, auch im Zusammenhang mit Open-Source-Software, und implementieren Sie maßgeschneiderte Risikomanagementstrategien.
  • Entwickeln Sie einen Plan zur Reaktion auf Vorfälle: Erstellen Sie einen umfassenden Plan zur Erkennung, Meldung und Behebung von Cybersicherheitsvorfällen.
  • Gewährleisten Sie die Sicherheit der Lieferkette: Bewerten und sichern Sie die Cybersicherheitspraktiken der Lieferanten, einschließlich derjenigen, die Open-Source-Software bereitstellen.
  • Testen Sie regelmäßig auf neue Schwachstellen. Angesichts der großen Anzahl von Komponenten und Schwachstellen sollte dies automatisiert werden.
  • Implementieren Sie Sicherheit durch Design: Integrieren Sie Cybersicherheitsmaßnahmen in das Design und die Entwicklung von Produkten und Dienstleistungen.
  • Schulen Sie Ihre Mitarbeiter: Informieren Sie Ihre Mitarbeiter über bewährte Verfahren der Cybersicherheit und weisen Sie sie auf die besonderen Risiken von Open-Source-Software hin.
  • Bleiben Sie auf dem Laufenden: Halten Sie sich über die Entwicklungen bei der Umsetzung von NIS2 auf dem Laufenden und nehmen Sie nach Möglichkeit an Konsultationen teil.

Durch diese Schritte können sich Unternehmen besser auf die NIS2-Verpflichtungen vorbereiten und ihre allgemeine Cybersicherheitslage verbessern.

Frequently asked questions regarding NIS2

Weitere Artikel

Aktuelle Nachrichten über Datenschutz, GDPR, KI-Gesetzgebung und mehr

european government strassbourg wittmann legal services

Das Europäische Datensgesetz („Data Act“) und seine Auswirkungen auf Ihr Unternehmen

Das Europäische Datengesetz („Data Act“) tritt im September 2025 in Kraft und wird die Nutzung und den Zugang zu nicht personenbezogenen, nutzergenerierten Daten in allen Branchen beeinflussen. Unternehmen sollten jetzt mit den Vorbereitungen beginnen, um die Einhaltung der neuen Rechtsvorschriften sicherzustellen. Hier finden Sie eine umfassende Checkliste und die wichtigsten Punkte, die Ihnen und Ihrem Unternehmen helfen, die Anforderungen an den Zugang, die gemeinsame Nutzung und den Schutz von Daten zu erfüllen.

weiterlesen
european flag wittmann legal services

Generative KI und die Datenschutz-Grundverordnung - ein umfassender Leitfaden

Ein umfassender Leitfaden für Unternehmen, die generative KI-Tools einsetzen, um Compliance und Transparenz zu gewährleisten und potenzielle Herausforderungen wie Voreingenommenheit und Sicherheitsbedenken sowie die Verarbeitung von Daten im Rahmen der Datenschutz-Grundverordnung im Zusammenhang mit generativer KI anzugehen.

weiterlesen
Contact us now