NIS2-Richtlinie: Cybersicherheit im Handwerk

NIS2 bringt für Unternehmen in 18 sogenannten kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten mit sich. Grundsätzlich betroffen sind Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz von 10 Millionen Euro. Je nach Branche und Unternehmensgröße werden sie als wesentliche Einrichtungen (Anhang I) oder wichtige Einrichtungen (Anhang II) eingestuft. Wesentliche Einrichtungen unterliegen strengeren Aufsichtsanforderungen, u. a. einer Meldepflicht gegenüber der zuständigen Behörde über getroffene Sicherheitsmaßnahmen. Wichtige Einrichtungen hingegen können bei Verdachtsfällen oder nach schwerwiegenden Vorfällen überprüft werden. 

Sowohl wesentliche als auch wichtige Einrichtungen sind verpflichtet, geeignete und verhältnismäßige technische, organisatorische und operative Maßnahmen (TOM) zu ergreifen, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder möglichst gering zu halten. Handwerksbetriebe, die die mittlere Unternehmensgröße erreicht haben und in den kritischen Sektoren der NIS2-Richtlinie tätig sind, können als wichtige Einrichtungen eingestuft werden. Auch Unternehmen, die nicht direkt unter NIS2 fallen, können betroffen sein, beispielsweise als Zulieferer oder Dienstleister von NIS2-relevanten Betrieben. Diese können die Einhaltung bestimmter Sicherheitsanforderungen entlang der Lieferkette einfordern. 

Beispiele betroffener Handwerksbetriebe 

Was ist zu tun? 

Zunächst müssen Betriebe klären, ob sie direkt unter die NIS2-Richtlinie fallen. Gegebenenfalls müssen sie sich bei der zuständigen Behörde melden. Für Handwerksbetriebe ist in der Regel das «Institut Luxembourgeois de Régulation (ILR)» zuständig. Wesentliche und wichtige Einrichtungen sind gleichermaßen zur Umsetzung der in Artikel 21 NIS2 definierten zehn Risikomanagementmaßnahmen verpflichtet. Diese lassen sich in vier Gruppen zusammenfassen: [5]

Übersicht der zehn Risikomanagementmaßnahmen im Bereich Cybersicherheit 

Je nach vorhandenen internen Kompetenzen in den Bereichen Informationssysteme, Cybersicherheit oder Risikomanagement im Zusammenhang mit der NIS2-Richtlinie kann es sinnvoll sein, Kontakt mit externen Beratern aufzunehmen, die auf diesen Gebieten spezialisiert sind. 

Unterstützung für KMU 

Das Programm SME Packages – Cybersecurity bietet kleinen und mittleren Unternehmen gezielte Unterstützung bei der Umsetzung von Cybersecurity im Unternehmen. 

Kontaktieren Sie den Service eHandwierk der Chambre des Métiers, um am Programm teilzunehmen oder sich beraten zu lassen: 

Weitere Informationen 

https://www.ilr.lu/secteurs-activites/niss/nis-2/ 

[1] NACE Rev. 2, Abschn. C, Abt. 28, Abt. 29, Abt. 30

[2] NACE Rev. 2, Abschn. C, Abt. 27

[3] Lebensmittelunternehmen die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind, z.B. Bäckereien und Metzgereien, ab mittlerer Unternehmensgröße, die Lebensmittel an Supermärkte verkaufen

[4] Gemäß Artikel 2, Buchstabe e) des geänderten Gesetzes vom 24. Juli 2014 über Rechte und Pflichten des Patienten

[5] Einteilung in vier Gruppen in Anlehnung «Fraunhofer IESE». Quelle : https://www.iese.fraunhofer.de/blog/nis-2-richtlinie-zusammenfassung-umsetzung-deutschland/

Kontakte