NIS 2 - Eine Richtlinie, die alles verändert
Bereiten Sie Ihr Unternehmen vor und vermeiden so hohe Geldstrafen!
Die europäische NIS2-Richtlinie bringt neue und strengere Regelungen zur Cybersicherheit für zahlreiche Sektoren, darunter auch solche, die bisher nicht von entsprechenden Vorschriften betroffen waren. Ist Ihr Unternehmen darauf vorbereitet?
Diese neue Veränderung wartet auf niemanden
Weitere Fragen zu NIS 2? Wissen Sie nicht, wie Sie anfangen sollen? Dann sprechen Sie uns an, bevor Ihnen die Zeit ausgeht
Übersicht
Aufgrund der wachsenden Bedrohung durch Cyberangriffe besteht immer mehr die Notwendigkeit, neue Sicherheitskonzepte zu entwickeln. Deswegen haben der Rat der Europäischen Union und das Europäische Parlament die Netz- und Informationssicherheitsrichtlinie 2.0 (NIS 2.0) verabschiedet.
Im Dezember 2022 sieht diese Richtlinie überarbeitete und erweiterte IT-Sicherheitsanforderungen in allen EU-Mitgliedstaaten vor. EU-Unternehmen sind jedoch verpflichtet, sich bis zum 18. Oktober 2024 an die neuen Bestimmungen zu halten.
EU NIS2
Was ist die NIS 2 - Richtlinie?
Die NIS2-Richtlinie ist eine Fortsetzung und Erweiterung der vorherigen EU-Cybersicherheitsvorschriften. Sie zielt darauf ab, die Sicherheit von Netzwerk- und Informationssystemen in der EU zu stärken, indem Betreiber kritischer Infrastrukturen und wesentlicher Dienste dazu verpflichtet werden, geeignete Sicherheitsmaßnahmen zu ergreifen und etwaige Vorfälle umgehend den zuständigen Behörden zu melden.
Ist mein Unternehmen von NIS 2 betroffen?
NIS2 - Wer ist betroffen?
Grundsätzlich ist ein Unternehmen betroffen, wenn sie folgende Anforderungen erfüllt:
- Sie hat eine bestimmte Unternehmensgröße (ermittelt anhand der Anzahl der Mitarbeiter oder des Jahresumsatzes).
- Sie ist in einem der unten aufgeführten Sektoren/Arten von Dienstleistungen tätig.
1. Unternehmensgröße
NIS2 definiert zwei Kategorien von Unternehmen:
2. Sektoren
NIS2 definiert 15 Sektoren:
Wichtige Einrichtung
50 bis 249 Mitarbeitende und weniger als 50 Millionen Euro Umsatz und/oder weniger als 43 Millionen Euro Bilanz
Wesentliche Einrichtung
Mindestens 250 Mitarbeitende, mindestens 50 Millionen Euro Umsatz und/oder mindestens 43 Millionen Euro Bilanz.
Healthcare
Water Supplies
Manufacturing of certain products
Food
Transport
Digital Service Provider
Space
Postal Services
Provider of electronic networks
Bank
Energy
Digital Service
Digital Infrastructure
Public administration
Waste Management
Ist mein Unternehmen von NIS 2 betroffen?
NIS2 - Wer ist betroffen?
Grundsätzlich ist ein Unternehmen betroffen, wenn sie folgende Anforderungen erfüllt:
- Sie hat eine bestimmte Unternehmensgröße (ermittelt anhand der Anzahl der Mitarbeiter oder des Jahresumsatzes).
- Sie ist in einem der unten aufgeführten Sektoren/Arten von Dienstleistungen tätig.
1. Unternehmensgröße
NIS2 definiert zwei Kategorien von Unternehmen:
Wichtige Einrichtung
50 bis 249 Mitarbeitende und weniger als 50 Millionen Euro Umsatz und/oder weniger als 43 Millionen Euro Bilanz
Wesentliche Einrichtung
Mindestens 250 Mitarbeitende, mindestens 50 Millionen Euro Umsatz und/oder mindestens 43 Millionen Euro Bilanz.
2. Sektoren
NIS2 definiert 15 Sektoren:
Water Supplies
Healthcare
Manufacturing of certain products
Food
Transport
Digital Service Provider
Space
Postal Services
Energy
Digital Service
Digital Infrastructure
Public administration
Provider of electronic networks
Bank
Waste Management
Allerdings sind kleine Unternehmen nicht zwangsläufig ausgeschlossen; dies hängt vom Land und dem Unternehmenssektor ab.
Wenn Ihr Unternehmen zu einem der genannten Sektoren gehört und die Kriterien einer wesentlichen oder wichtigen Einrichtung erfüllt, muss es die neuen Änderungen und Maßnahmen gemäß NIS 2.0 beachten. Haben Sie noch Fragen?
Was sind die Anforderungen der NIS 2?
Anforderungen
Im Vergleich zu NIS1 erhöht NIS2 die Anforderungen zur Durchsetzung der Cybersicherheit drastisch:
a. Neue Anforderungen
Die NIS2-Richtlinie führt neue Anforderungen und Verpflichtungen für Organisationen in vier übergreifenden Bereichen ein:
Risikomanagement
Um der neuen Richtlinie zu entsprechen, müssen Organisationen Maßnahmen ergreifen, um Cybersecurity-Risiken zu minimieren. Dazu gehören Incident Management, gestärkte Lieferkettensicherheit, verbesserte Netzwerksicherheit, erweiterte Zugangskontrolle und Verschlüsselung.
Unternehmerische Verantwortlichkeit
NIS2 verlangt von der Unternehmensleitung die Überwachung, Genehmigung und Bewältigung von Cybersicherheitsmaßnahmen sowie die Teilnahme an Schulungen. Verstöße können zu Sanktionen wie Haftung und vorübergehendem Ausschluss von Führungspositionen führen.
Meldepflichten
Wesentliche und wichtige Einrichtungen müssen Verfahren zur zeitnahen Meldung von Sicherheitsvorfällen mit erheblichen Auswirkungen auf ihre Dienstleistungen oder Empfänger implementieren. NIS2 legt spezifische Benachrichtigungsfristen fest, wie zum Beispiel eine 24-stündige „Frühwarnung“.
Betriebskontinuität
Organisationen müssen planen, wie sie die Geschäftskontinuität bei schwerwiegenden Cyber-Vorfällen sicherstellen wollen. Dieser Plan sollte Überlegungen zur Systemwiederherstellung, Notfallverfahren und Einrichtung eines Krisenreaktionsteams einschließen.
b. Mindestanforderungen
Zusammen mit den neu definierten vier Hauptanforderungsbereichen verlangt NIS2 von wesentlichen und wichtigen Einrichtungen, grundlegende Sicherheitsmaßnahmen:
- Risikoanalyse und Richtlinien zur Informationssystemsicherheit;
- Umgang mit Vorfällen;
- Geschäftskontinuität, wie Backup-Management, Katastrophenwiederherstellung und Krisenmanagement;
- Supply chain security, einschließlich sicherheitsrelevanter Aspekte in Bezug auf die Beziehungen zwischen jeder Einrichtung und deren direkten Lieferanten oder Dienstleistern in Bezug auf Erwerb, Entwicklung und Wartung von Netzwerk- und Informationssystemen, einschließlich Umgang mit Schwachstellen und Offenlegung;
- Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen des Risikomanagements im Bereich Cybersicherheit;
- Grundlegende Cybersicherheitspraktiken und Schulungen;
- Richtlinien und Verfahren zur Nutzung von Kryptografie und, wo angebracht, Verschlüsselung;
- Sicherheit des Personalwesens, Richtlinien zur Zugangskontrolle und Vermögensverwaltung;
- Einsatz von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung, wenn angebracht.
- Schulungen im Bereich Cybersicherheit und regelmäßige Bereitstellung ähnlicher Schulungen für ihre Mitarbeiter. Führungskräfte müssen ausreichende Kenntnisse und Fähigkeiten erwerben, um Risiken für ihre Organisation zu identifizieren und Cybersicherheitsmaßnahmen sowie deren Auswirkungen auf ihre Organisation zu bewerten.
Was sind die Strafen nach NIS 2?
Konsequenzen
Verstöße gegen Risikomanagementmaßnahmen oder die Meldung von Vorfällen können zu Verwaltungsgeldern führen, abhängig von der Bedeutung der Einrichtung:
- Wesentliche Einrichtungen: Verwaltungsgelder von bis zu 10.000.000 € oder mindestens 2 % des weltweiten Gesamtjahresumsatzes im vorangegangenen Geschäftsjahr des Unternehmens, zu dem die wesentliche Einrichtung gehört, je nachdem, welcher Betrag höher ist
- Wichtige Einrichtungen: Verwaltungsgelder von bis zu 7.000.000 € oder mindestens 1,4 % des weltweiten Gesamtjahresumsatzes im vorangegangenen Geschäftsjahr des Unternehmens, zu dem die wichtige Einrichtung gehört, je nachdem, welcher Betrag höher ist.
EU-Mitgliedstaaten können auch periodische Vertragsstrafen verhängen, um die Einhaltung durchzusetzen, oder Einzelpersonen, die wesentliche Einrichtungen vertreten, für Nichtbeachtung zur Rechenschaft ziehen. Detaillierte Informationen zu Sanktionen sind in den Artikeln 31-37 der Richtlinie verfügbar.
UNSER PARTNER in Netzwerksicherheit
In besten Händen
Wir haben die Unterstützung der besten IT-Experten, um Ihr Unternehmen zu schützen.
