IGOS

NIS 2 - Eine Richtlinie, die alles verändert

Bereiten Sie Ihr Unternehmen vor und vermeiden so hohe Geldstrafen!

Die europäische NIS2-Richtlinie bringt neue und strengere Regelungen zur Cybersicherheit für zahlreiche Sektoren, darunter auch solche, die bisher nicht von entsprechenden Vorschriften betroffen waren. Ist Ihr Unternehmen darauf vorbereitet?

Übersicht

Aufgrund der wachsenden Bedrohung durch Cyberangriffe besteht immer mehr die Notwendigkeit, neue Sicherheitskonzepte zu entwickeln. Deswegen haben der Rat der Europäischen Union und das Europäische Parlament die Netz- und Informationssicherheitsrichtlinie 2.0 (NIS 2.0) verabschiedet.

Im Dezember 2022 sieht diese Richtlinie überarbeitete und erweiterte IT-Sicherheitsanforderungen in allen EU-Mitgliedstaaten vor. EU-Unternehmen sind jedoch verpflichtet, sich bis zum 18. Oktober 2024 an die neuen Bestimmungen zu halten.

EU NIS2

Was ist die NIS 2 - Richtlinie?

Die NIS2-Richtlinie ist eine Fortsetzung und Erweiterung der vorherigen EU-Cybersicherheitsvorschriften. Sie zielt darauf ab, die Sicherheit von Netzwerk- und Informationssystemen in der EU zu stärken, indem Betreiber kritischer Infrastrukturen und wesentlicher Dienste dazu verpflichtet werden, geeignete Sicherheitsmaßnahmen zu ergreifen und etwaige Vorfälle umgehend den zuständigen Behörden zu melden.

Ist mein Unternehmen von NIS 2 betroffen?

NIS2 - Wer ist betroffen?

Grundsätzlich ist ein Unternehmen betroffen, wenn sie folgende Anforderungen erfüllt:

  1. Sie hat eine bestimmte Unternehmensgröße (ermittelt anhand der Anzahl der Mitarbeiter oder des Jahresumsatzes).
  2. Sie ist in einem der unten aufgeführten Sektoren/Arten von Dienstleistungen tätig.

1. Unternehmensgröße

NIS2 definiert zwei Kategorien von Unternehmen:

2. Sektoren

NIS2 definiert 15 Sektoren:

Wichtige Einrichtung

50 bis 249 Mitarbeitende und weniger als 50 Millionen Euro Umsatz und/oder weniger als 43 Millionen Euro Bilanz

Wesentliche Einrichtung

Mindestens 250 Mitarbeitende, mindestens 50 Millionen Euro Umsatz und/oder mindestens 43 Millionen Euro Bilanz.

Healthcare

Water Supplies

Manufacturing of certain products

Food

Transport

Digital Service Provider

Space

Postal Services

Provider of electronic networks

Bank

Energy

Digital Service

Digital Infrastructure

Public administration

Waste Management

Ist mein Unternehmen von NIS 2 betroffen?

NIS2 - Wer ist betroffen?

Grundsätzlich ist ein Unternehmen betroffen, wenn sie folgende Anforderungen erfüllt:

  1. Sie hat eine bestimmte Unternehmensgröße (ermittelt anhand der Anzahl der Mitarbeiter oder des Jahresumsatzes).
  2. Sie ist in einem der unten aufgeführten Sektoren/Arten von Dienstleistungen tätig.

1. Unternehmensgröße

NIS2 definiert zwei Kategorien von Unternehmen:

Wichtige Einrichtung

50 bis 249 Mitarbeitende und weniger als 50 Millionen Euro Umsatz und/oder weniger als 43 Millionen Euro Bilanz

Wesentliche Einrichtung

Mindestens 250 Mitarbeitende, mindestens 50 Millionen Euro Umsatz und/oder mindestens 43 Millionen Euro Bilanz.

2. Sektoren

NIS2 definiert 15 Sektoren:

Water Supplies

Healthcare

Manufacturing of certain products

Food

Transport

Digital Service Provider

Space

Postal Services

Energy

Digital Service

Digital Infrastructure

Public administration

Provider of electronic networks

Bank

Waste Management

Allerdings sind kleine Unternehmen nicht zwangsläufig
ausgeschlossen; dies hängt vom Land und dem
Unternehmenssektor ab.

Wenn Ihr Unternehmen zu einem der genannten Sektoren gehört und die Kriterien einer wesentlichen oder wichtigen Einrichtung erfüllt, muss es die neuen Änderungen und Maßnahmen gemäß NIS 2.0 beachten. Haben Sie noch Fragen?

UNSER PARTNER in Netzwerksicherheit

In besten Händen

Wir haben die Unterstützung der besten IT-Experten, um Ihr Unternehmen zu schützen.

Was sind die Anforderungen der NIS 2?

Anforderungen

Im Vergleich zu NIS1 erhöht NIS2 die Anforderungen zur Durchsetzung der Cybersicherheit drastisch:

Neue Anforderungen

Die NIS2-Richtlinie führt neue Anforderungen und Verpflichtungen für Organisationen in vier übergreifenden Bereichen ein:

Risikomanagement

Um der neuen Richtlinie zu entsprechen, müssen Organisationen Maßnahmen ergreifen, um Cybersecurity-Risiken zu minimieren. Dazu gehören Incident Management, gestärkte Lieferkettensicherheit, verbesserte Netzwerksicherheit, erweiterte Zugangskontrolle und Verschlüsselung.

Unternehmerische Verantwortlichkeit

NIS2 verlangt von der Unternehmensleitung die Überwachung, Genehmigung und Bewältigung von Cybersicherheitsmaßnahmen sowie die Teilnahme an Schulungen. Verstöße können zu Sanktionen wie Haftung und vorübergehendem Ausschluss von Führungspositionen führen.

Meldepflichten

Wesentliche und wichtige Einrichtungen müssen Verfahren zur zeitnahen Meldung von Sicherheitsvorfällen mit erheblichen Auswirkungen auf ihre Dienstleistungen oder Empfänger implementieren. NIS2 legt spezifische Benachrichtigungsfristen fest, wie zum Beispiel eine 24-stündige „Frühwarnung“.

Betriebskontinuität

Organisationen müssen planen, wie sie die Geschäftskontinuität bei schwerwiegenden Cyber-Vorfällen sicherstellen wollen. Dieser Plan sollte Überlegungen zur Systemwiederherstellung, Notfallverfahren und Einrichtung eines Krisenreaktionsteams einschließen.

Mindestanforderungen

Zusammen mit den neu definierten vier Hauptanforderungsbereichen verlangt NIS2 von wesentlichen und wichtigen Einrichtungen, grundlegende Sicherheitsmaßnahmen:

  • Risikoanalyse und Richtlinien zur Informationssystemsicherheit;
  • Umgang mit Vorfällen;
  • Geschäftskontinuität, wie Backup-Management, Katastrophenwiederherstellung und Krisenmanagement;
  • Supply chain security, einschließlich sicherheitsrelevanter Aspekte in Bezug auf die Beziehungen zwischen jeder Einrichtung und deren direkten Lieferanten oder Dienstleistern in Bezug auf Erwerb, Entwicklung und Wartung von Netzwerk- und Informationssystemen, einschließlich Umgang mit Schwachstellen und Offenlegung;
  • Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen des Risikomanagements im Bereich Cybersicherheit;
  • Grundlegende Cybersicherheitspraktiken und Schulungen;
  • Richtlinien und Verfahren zur Nutzung von Kryptografie und, wo angebracht, Verschlüsselung;
  • Sicherheit des Personalwesens, Richtlinien zur Zugangskontrolle und Vermögensverwaltung;
  • Einsatz von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung, wenn angebracht.
  • Schulungen im Bereich Cybersicherheit und regelmäßige Bereitstellung ähnlicher Schulungen für ihre Mitarbeiter. Führungskräfte müssen ausreichende Kenntnisse und Fähigkeiten erwerben, um Risiken für ihre Organisation zu identifizieren und Cybersicherheitsmaßnahmen sowie deren Auswirkungen auf ihre Organisation zu bewerten.

Diese neue Veränderung wartet auf niemanden

Weitere Fragen zu NIS 2? Wissen Sie nicht, wie Sie anfangen sollen? Dann sprechen Sie uns an, bevor Ihnen die Zeit ausgeht

Tage
Stunden
Minuten

Was sind die Strafen nach NIS 2?

Strafen

Verstöße gegen Risikomanagementmaßnahmen oder die Meldung von Vorfällen können zu Verwaltungsgeldern führen, abhängig von der Bedeutung der Einrichtung:

  • Wesentliche Einrichtungen: Verwaltungsgelder von bis zu 10.000.000 € oder mindestens 2 % des weltweiten Gesamtjahresumsatzes im vorangegangenen Geschäftsjahr des Unternehmens, zu dem die wesentliche Einrichtung gehört, je nachdem, welcher Betrag höher ist.
  • Wichtige Einrichtungen: Verwaltungsgelder von bis zu 7.000.000 € oder mindestens 1,4 % des weltweiten Gesamtjahresumsatzes im vorangegangenen Geschäftsjahr des Unternehmens, zu dem die wichtige Einrichtung gehört, je nachdem, welcher Betrag höher ist.

 

EU-Mitgliedstaaten können auch periodische Vertragsstrafen verhängen, um die Einhaltung durchzusetzen, oder Einzelpersonen, die wesentliche Einrichtungen vertreten, für Nichtbeachtung zur Rechenschaft ziehen. Detaillierte Informationen zu Sanktionen sind in den Artikeln 31-37 der Richtlinie verfügbar.