Ist Ihr Unternehmen von NIS2 betroffen?
Erfahren Sie alles, was Sie über die europaweiter NIS2-Richtlinie wissen müssen und wie Sie sich rechtzeitig vorbereiten und absichern können.
NIS2 regelt die Cyber- und Informationssicherheit von Einrichtungen in Europa.
Die EU-Mitgliedsstaaten müssen die Richtlinie bis Oktober 2024 umsetzen.
Bisher galt die KRITIS-Gesetzgebung in Deutschland vor allem für größere Institutionen. Mit NIS2 rückt nun die Cybersicherheit und -resilienz auch für eine Vielzahl von KMU in den Fokus.
In unserem Webinar erfahren Sie die wichtigsten Grundlagen zu NIS2, erhalten einen 15-Schritte-Maßnahmenplan sowie Empfehlungen für organisatprische und technische Hilfsmittel.
Nach welchen Kriterien fallen Unternehmen unter NIS2?
Bisher galt die KRITIS-Gesetzgebung in Deutschland vor allem für größere Institutionen. Mit NIS2 rückt nun die Cybersicherheit und -resilienz auch für eine Vielzahl von KMU in den Fokus
Unternehmen mit
- mindestens 50 Mitarbeitenden und
- mindestens 10 Mio. Euro Jahresumsatz
können unter den Anwendungsbereich der NIS2-Richtlinie fallen, wenn auch das zweite Kriterium erfüllt ist.
NIS2 erweitert den Anwendungsbereich auf 18 Sektoren und geht damit über die bisher bekannten kritischen Infrastrukturen hinaus. Wenn ein Unternehmen in den NIS2-Sektoren operiert und die Schwelle für Mitarbeiterzahlen oder Umsatz und Bilanz überschreitet, wird es als regulierte Einrichtung eingestuft, entweder als besonders wichtig oder wichtig.
11 besonders wichtige Einrichtungen
- Energie
- Luft-, Schienen-, Straßen- und Schiffsverkehr
- Bankwesen/Finanzwesen
- Raumfahrt
- Gesundheit
- Wasser
- Digitale Infrastruktur und IT-Dienste
- Öffentliche Verwaltung
7 wichtige Einrichtungen
- Anbieter von Post- und Kurierdiensten
- Abfallwirtschaft
- Chemische Erzeugnisse
- Lebensmittel
- Hersteller
- Digitale Anbieter
- Forschungseinrichtungen
Die bestehenden Betreiber kritischer Infrastrukturen (KRITIS) werden unter NIS2 als "Betreiber kritischer Anlagen" bezeichnet. Die Konzepte der KRITIS-Sektoren, kritischen Dienstleistungen und KRITIS-Anlagen mit Schwellenwerten (≥ 500.000 versorgte Personen) bleiben dabei bestehen. Gleichzeitig werden diese Betreiber zu besonders wichtigen Einrichtungen.
Ausnahmen
- Auch kleine Unternehmen (weniger als 50 Mitarbeitende/Jahresumsatz unter 10 Mio. Euro) können unter NIS2 fallen. Das ist der Fall, wenn ein Unternehmen kritische Funktionen ausführt, Auswirkungen auf die öffentliche Ordnung hat oder Systemrisiken sowie grenzüberschreitende Auswirkungen verursacht, wenn es ausfällt.
- Die NIS2-Richtlinie ist nicht auf Organisationen anwendbar, die in den Bereichen Verteidigung oder nationale Sicherheit, öffentliche Ordnung und Strafverfolgung tätig sind. Ebenso sind Justiz, Parlamente und Zentralbanken von dieser Richtlinie ausgenommen. Allerdings wird NIS2 für öffentliche Verwaltungen auf zentraler und regionaler Ebene gelten.
- Größenunabhängige Sonderfälle, damit sind Einrichtungen gemeint, die vom Staat als wichtig eingestuft werden, da sie z. B. alleinige Anbieter in ihrem Bereich sind.
"NIS2 ist kein Grund zur Sorge. Viele Maßnahmen lassen sich direkt und ohne größeren Aufwand umsetzen. NIS2 sichert die Zukunft von Unternehmen und sollte als unumgängliche Investition gesehen werden."
Alles, was Sie über NIS2 wissen müssen
Überblick zu NIS2
NIS2 (Network and Information Security) regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Die Richtlinie ist eine Verschärfung und Erweiterung der bisherigen Richtlinie NIS von 2016.
Aus diesem Grund enthält NIS2 strengere Sicherheitsanforderungen, Meldepflichten und Durchsetzungsvorschriften für einen breiteren Kreis von Organisationen.
NIS2-Anforderungen
- Erstellung von Konzepten in Bezug auf die Risikoanalyse und für die Sicherheit der Informationssysteme
- Incident-Response-Maßnahmen (Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle)
- Sichere Sprach-, Video- und Text-Kommunikation sowie gesicherte Notfallkommunikation
- Aufrechterhaltung des Betriebes (inkl. Backup-Management und Wiederherstellung nach einem Vorfall)
- Grundlegende Schulungen (Awareness) in der Cybersicherheit sowie Cyberhygiene
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und IT-Systemen
- Konzepte und Bewertung der Wirksamkeit von Risikomanagementmaßnahmen (Krisensimulation)
- Konzepte und Verfahren für den Einsatz von Kryptografie (ggf. Verschlüsselung)
- Sicherheit des Personals, Zugriffskontrolle und Assetmanagement
- Sicherheit in der Lieferkette
Verschärfung der Haftung
Neu bei NIS2 sind auch die erheblich verschärften Bußgelder. Die Aufsichtsbehörden werden wohl erstmals im April 2025 und dann alle zwei Jahre die regulierten Unternehmen melden müssen. Das Bußgeld wird abhängig vom weltweiten Jahresumsatz festgelegt werden.
Der Geschäftsführung wird die Verantwortung für die Umsetzung der Richtlinien übertragen. Sie muss die Umsetzung der Maßnahmen überwachen und haftet bei Nichteinhaltung persönlich.
Die Meldepflicht wird ebenfalls verschärft. Binnen 24 Stunden muss eine vorläufige Meldung erfolgen; spätestens nach 72 Stunden muss eine qualifizierte Meldung über einen Vorfall vorliegen. Einen Monat nach dem Vorfall muss ein Fortschritts-/Abschlussbericht vorliegen.
Wir unterstützen Sie gerne mit unseren Services.
