NIS-2 im Bau- und Handwerksbetrieb

Was ist die NIS-2-Richtlinie?

Mit dem Inkrafttreten der NIS-2-Richtlinie rückt Cybersicherheit für viele Unternehmen stärker in den Fokus – auch jenseits klassischer Kritischer Infrastrukturen.
Bild: Clipdealer

Die NIS-2-Richtlinie (Network and Information Systems Directive 2; Zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit) ist eine EU-weite Vorgabe zur Stärkung der Cybersicherheit. Ihr Ziel ist es, ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme in Europa zu schaffen. Hintergrund ist eine deutlich verschärfte Bedrohungslage: Cyberangriffe treffen längst nicht mehr nur große Konzerne, sondern zunehmend auch mittelständische Betriebe – etwa durch Ransomware, Phishing oder Angriffe auf Lieferketten.

Im Vergleich zur ersten NIS-Richtlinie wurde der Anwendungsbereich deutlich ausgeweitet. Mehr Branchen sind einbezogen, die Anforderungen an das Risikomanagement wurden konkretisiert und die Pflichten der Unternehmensleitungen klarer gefasst. Zudem sieht das deutsche Umsetzungsgesetz spürbare Aufsichtsmaßnahmen und Sanktionen vor, wenn Pflichten nicht eingehalten werden. Für Unternehmen bedeutet das: Cybersicherheit ist kein reines IT-Thema mehr, sondern Teil der unternehmerischen Verantwortung.

Warum Baugewerbe und Handwerk eine Rolle spielen

Auf den ersten Blick zählen Bauunternehmen und Handwerksbetriebe nicht zu klassischen Hochrisikobranchen wie Energie oder Telekommunikation. Dennoch können auch Betriebe aus diesen Bereichen unter NIS-2 fallen, insbesondere dann, wenn sie als Teil des verarbeitenden Gewerbes eingeordnet werden oder eine relevante Rolle in Lieferketten spielen.

Digitale Systeme und vernetzte Anwendungen sind im Bau- und Handwerksbetrieb längst etabliert – zugleich steigen die Anforderungen an den Schutz von IT-Infrastruktur und Daten.
Bild: Pexels

Zudem steigt die Abhängigkeit von digitalen Systemen auch im Handwerk stetig. Digitale Baupläne, vernetzte Maschinen, cloudbasierte Buchhaltung oder die digitale Kommunikation mit Auftraggebern und öffentlichen Stellen gehören inzwischen zum Alltag. Ein Beispiel: Wird der zentrale Büro-PC eines Handwerksbetriebs durch Ransomware verschlüsselt, können Angebote nicht mehr geschrieben, Rechnungen nicht gestellt und Bauzeiten nicht koordiniert werden. Ein solcher Vorfall kann den Betrieb innerhalb weniger Stunden vollständig lahmlegen. NIS-2 trägt dieser Entwicklung Rechnung und setzt Mindeststandards, um solche Ausfälle zu verhindern oder zumindest ihre Auswirkungen zu begrenzen.

Bin ich betroffen? Die wichtigsten Kriterien im Überblick

Ob ein Unternehmen unter NIS-2 fällt, hängt im Wesentlichen von drei Faktoren ab: dem Tätigkeitsbereich, der Unternehmensgröße und dem Unternehmensumsatz bzw. der Bilanzsumme

1. Tätigkeitsbereich

Das Gesetz unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen. Dazu zählen u. a.:

das verarbeitende Gewerbe und die Herstellung von Waren (neu unter NIS-2),

bestimmte Dienstleistungen entlang kritischer Lieferketten und

digitale Dienste und IT-nahe Leistungen.

Für Bau- und Handwerksunternehmen kann insbesondere die Einordnung als Teil des verarbeitenden Gewerbes oder als Zulieferer relevant werden.

2. Unternehmensgröße

Grundsätzlich gelten die Pflichten für:

mittlere Unternehmen ab 50 Mitarbeitenden

große Unternehmen ab 250 Mitarbeitenden

3. Umsatz und Bilanzsumme

Hier definiert sich die Verpflichtung zur Umsetzung des Gesetzes durch folgende Zahlen:

>50 Mio. € Umsatz und 43. Mio € Bilanzsumme

>10 Mio. € Umsatz und 10 Mio. € Bilanzsumme

In bestimmten Fällen können jedoch auch kleinere Betriebe betroffen sein – etwa dann, wenn sie eine besonders kritische Rolle für andere Unternehmen übernehmen oder bereits unter frühere KRITIS-Regelungen gefallen sind.

Orientierungshilfe: Der FitNIS-2-Navigator

Da die Einordnung im Einzelfall komplex sein kann, stellt die Initiative IT-Sicherheit in der Wirtschaft des Bundesministeriums für Wirtschaft und Energie (BMWE) mit dem FitNIS-2-Navigator ein praxisnahes Orientierungstool zur Verfügung. Das kostenfreie Online-Tool hilft Unternehmen dabei, mit wenigen Fragen zu klären:

ob eine Betroffenheit nach NIS-2 wahrscheinlich ist,

wo das Unternehmen aktuell in Sachen Cybersicherheit steht und

welche nächsten Schritte sinnvoll sind.

Besonders für mittelständische Unternehmen ohne eigene Rechts- oder IT-Abteilung bietet der Navigator einen niedrigschwelligen Einstieg, um das Thema strukturiert anzugehen. Über den Link www.t1p.de/CS-1-26-FitNIS2 lässt sich die Betroffenheitsprüfung durchführen.

Was fordert NIS-2 konkret von Unternehmen?

Neu ist vor allem die klare Verantwortung der Geschäftsleitung: Cybersicherheit wird zur Chefsache. Unternehmensleitungen müssen Maßnahmen nicht nur beschließen, sondern auch deren Umsetzung überwachen und sich regelmäßig weiterbilden. Betroffene Unternehmen müssen angemessene technische und organisatorische Maßnahmen zur Cybersicherheit umsetzen. Dazu gehören insbesondere:

eine systematische Risikoanalyse,

Maßnahmen zur Absicherung von IT-Systemen und Daten,

Notfall- und Wiederanlaufpläne für den Fall eines Cyberangriffs,

Schulungen und Sensibilisierung der Mitarbeitenden und

klare Zuständigkeiten und Entscheidungswege im Ernstfall.

Unterstützungsangebote für mittelständische Betriebe

Damit insbesondere kleine und mittlere Unternehmen diese Anforderungen umsetzen können, stellt die Transferstelle Cybersicherheit im Mittelstand zahlreiche kostenfreie Angebote wie Webimpulse und Online-Veranstaltungen bereit: kompakte Informationsformate zu Themen wie NIS-2, IT-Notfallplanung oder Schutz vor Ransomware. Die Angebote sind darauf ausgerichtet, Cybersicherheit verständlich, umsetzbar und wirtschaftlich sinnvoll zu vermitteln, insbesondere für Betriebe, bei denen IT nicht zum Kerngeschäft zählt. Über den Link www.t1p.de/CS-1-26-NIS2 beleuchtet die Transferstelle Cybersicherheit weitere wichtige Informationen zu NIS-2.

Orientierung schaffen und Risiken reduzieren

Auch wenn nicht jedes Bau- oder Handwerksunternehmen unmittelbar von NIS-2 betroffen ist, lohnt es sich für Unternehmen, jetzt aktiv zu werden. Cyberangriffe machen vor Betriebsgröße und Branche keinen Halt. Die Anforderungen der NIS-2-Richtlinie geben einen klaren Rahmen vor, an dem sich Unternehmen orientieren können. Eine frühzeitige Auseinandersetzung mit der eigenen Betroffenheit, das Bewerten von Risiken und das Umsetzen grundlegender Schutzmaßnahmen erhöhen die betriebliche Resilienz. Gleichzeitig stärken sie das Vertrauen von Auftraggebern und Geschäftspartnern. Orientierung bieten dabei Informations- und Unterstützungsangebote, die speziell auf kleine und mittlere Betriebe zugeschnitten sind.