NIS2 & DORA – Was gilt jetzt für Unternehmen?

16. Oktober 2024

Die NIS2-Richtlinie und die DORA-Verordnung sollen die Informationssicherheit stärken und vor Cyberbedrohungen schützen. Was bedeutet das für Unternehmen?

Die NIS2-Richtlinie (Network and Information Security Directive) und die DORA-Verordnung (Digital Operational Resilience Act) sind zwei zentrale EU-Regulierungen zur Stärkung der Cybersicherheit und operativen Resilienz in Europa. Unternehmen sind gefordert, ihre Sicherheitsstrategien zu überdenken, Mitarbeitende umfassend zu schulen und geeignete Maßnahmen zu ergreifen, um die neuen Anforderungen zu erfüllen.

Was sind NIS2 und DORA?

Die NIS-Richtlinie von 2016 markierte den ersten europaweiten gesetzlichen Rahmen, der die Sicherheit von Netz- und Informationssystemen in den Fokus rückte. Die NIS2-Richtlinie erweitert den Anwendungsbereich auf eine Vielzahl von Unternehmen und erhöht die Sicherheitsanforderungen für kritische Infrastrukturen wie Energie, Verkehr und Gesundheit, indem sie strengere Sicherheitsvorgaben und Meldepflichten für Cybervorfälle einführt. DORA – ab dem 17. Januar 2025 in allen EU-Mitgliedstaaten verbindlich – fokussiert sich auf den Finanzsektor und zielt darauf ab, die Widerstandsfähigkeit gegenüber Risiken für die Informations- und Kommunikationstechnologie (IKT) zu erhöhen.

Welche Unternehmen sind betroffen?

Die NIS2-Richtlinie richtet sich an Unternehmen in kritischen Sektoren wie Energie, Verkehr, Wasserwirtschaft, Gesundheitswesen und digitale Infrastruktur, einschließlich kleiner und mittlerer Unternehmen (KMU), die wesentliche oder wichtige Dienste erbringen. Dazu gehören Unternehmen der Informationstechnik und Telekommunikation wie beispielsweise Anbieter von Cloud-Computing-Diensten und Rechenzentrumsdiensten. Auch Anbieter digitaler Dienste wie Online-Marktplätze, Online-Suchmaschinen und soziale Netzwerke werden nach der NIS2-Richtlinie als kritische bzw. wichtige Infrastrukturen eingestuft und fallen daher unmittelbar in den Anwendungsbereich. DORA betrifft primär den Finanzsektor einschließlich Banken, Versicherungen, Zahlungsdienstleister und FinTechs sowie deren IKT-Dienstleister.

Was sind wesentliche Verpflichtungen?

NIS2 erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie auf mehr Sektoren und Unternehmen und verschärft die Anforderungen an Cybersicherheitsmaßnahmen, Risikomanagement und Meldepflichten. Unternehmen müssen strengere Sicherheitsvorkehrungen treffen und sind verpflichtet, schwerwiegende Cybervorfälle innerhalb kürzester Zeit an die zuständigen Behörden zu melden. Die Meldepflichten und Sanktionen wurden im Vergleich zur bisherigen NIS-Richtlinie erheblich verschärft, was Unternehmen zu einer proaktiveren Sicherheitsstrategie zwingt.

DORA legt besonderen Wert auf das Management von IKT-Risiken und die Resilienz von IKT-Systemen. Finanzinstitute müssen sicherstellen, dass ihre Systeme auch unter extremen Bedingungen funktionsfähig bleiben und die Wiederherstellung nach einem Ausfall schnell und effizient erfolgen kann. Dies umfasst regelmäßige Stresstests, umfassende Risikobewertungen und die Implementierung von Notfallplänen. (..)