Die EU-Richtlinie 2022/2555 (NIS2) legt europaweite Mindeststandards für Cybersicherheit fest. Während Belgien die Richtlinie bereits in nationales Recht umgesetzt hat, liegt in Luxemburg ein Gesetzesentwurf vor, der voraussichtlich noch bis Ende 2025 verabschiedet wird.
NIS2 bringt für Unternehmen in 18 sogenannten kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten mit sich. Grundsätzlich betroffen sind Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz von 10 Millionen Euro. Je nach Branche und Unternehmensgröße werden sie als wesentliche Einrichtungen (Anhang I) oder wichtige Einrichtungen (Anhang II) eingestuft. Wesentliche Einrichtungen unterliegen strengeren Aufsichtsanforderungen, u. a. einer Meldepflicht gegenüber der zuständigen Behörde über getroffene Sicherheitsmaßnahmen. Wichtige Einrichtungen hingegen können bei Verdachtsfällen oder nach schwerwiegenden Vorfällen überprüft werden.
Sowohl wesentliche als auch wichtige Einrichtungen sind verpflichtet, geeignete und verhältnismäßige technische, organisatorische und operative Maßnahmen (TOM) zu ergreifen, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder möglichst gering zu halten. Handwerksbetriebe, die die mittlere Unternehmensgröße erreicht haben und in den kritischen Sektoren der NIS2-Richtlinie tätig sind, können als wichtige Einrichtungen eingestuft werden. Auch Unternehmen, die nicht direkt unter NIS2 fallen, können betroffen sein, beispielsweise als Zulieferer oder Dienstleister von NIS2-relevanten Betrieben. Diese können die Einhaltung bestimmter Sicherheitsanforderungen entlang der Lieferkette einfordern.
Beispiele betroffener Handwerksbetriebe
Sektor |
Betriebe |
Wesentlich |
Wichtig |
Maschinenbau, Fahrzeugbau1 |
Karosseriebauer, Metallbau |
Ab mittlerer Unternehmensgröße |
|
Herstellung von elektrischen Ausrüstungen2 |
Elektriker (sofern Herstellungstätigkeit) |
Ab mittlerer Unternehmensgröße |
|
Verwaltung von IKT-Diensten (Business to Business) Cloud-Computing |
Elektriker Elektroinstallateur |
Große Unternehmen |
Ab mittlerer Unternehmensgröße |
Abfallwirtschaft (sofern Hauptwirtschaftstätigkeit) |
Recycler von Elektrogeräten |
Ab mittlerer Unternehmensgröße |
|
Herstellung und Handel mit chemischen Stoffen (REACH) |
Malerbetriebe, Baumärkte |
Ab mittlerer Unternehmensgröße |
|
Lebensmittelverarbeitung, -herstellung und -vertrieb3 |
Großbäckereien, Metzgereien |
Ab mittlerer Unternehmensgröße |
|
Gesundheitsdienstleister4 |
Optiker, Orthopädietechnik |
Große Unternehmen |
Ab mittlerer Unternehmensgröße |
Herstellung von Medizinprodukten |
Zahntechnik, Chirurgiemechaniker (sofern Herstellungstätigkeit) |
Ab mittlerer Unternehmensgröße |
Was ist zu tun?
Zunächst müssen Betriebe klären, ob sie direkt unter die NIS2-Richtlinie fallen. Gegebenenfalls müssen sie sich bei der zuständigen Behörde melden. Für Handwerksbetriebe ist in der Regel das «Institut Luxembourgeois de Régulation (ILR)» zuständig. Wesentliche und wichtige Einrichtungen sind gleichermaßen zur Umsetzung der in Artikel 21 NIS2 definierten zehn Risikomanagementmaßnahmen verpflichtet. Diese lassen sich in vier Gruppen zusammenfassen: 5
Übersicht der zehn Risikomanagementmaßnahmen im Bereich Cybersicherheit
Je nach vorhandenen internen Kompetenzen in den Bereichen Informationssysteme, Cybersicherheit oder Risikomanagement im Zusammenhang mit der NIS2-Richtlinie kann es sinnvoll sein, Kontakt mit externen Beratern aufzunehmen, die auf diesen Gebieten spezialisiert sind.
Unterstützung für KMU
Das Programm SME Packages – Cybersecurity bietet kleinen und mittleren Unternehmen gezielte Unterstützung bei der Umsetzung von Cybersecurity im Unternehmen.
Kontaktieren Sie den Service eHandwierk der Chambre des Métiers, um am Programm teilzunehmen oder sich beraten zu lassen:
Weitere Informationen
https://services.cdm.lu/gestion-entreprise/nis2
https://www.ilr.lu/secteurs-activites/niss/nis-2/