NIS-2 im Überblick

Neue EU-Vorgaben für mehr Cybersicherheit

Die NIS-2-Richtlinie verschärft die Cybersicherheitsanforderungen und Sanktionen, um das Sicherheitsniveau
in den Mitgliedstaaten der EU zu harmonisieren und zu verbessern.

s

Die NIS-2 Richtlinie zielt darauf ab, das Cybersicherheitsniveau in der EU zu harmonisieren und zu verbessern.

s

Sie verschärft die Anforderungen an Sicherheit und erhöht mögliche Sanktionen bei Verstößen.

s

Unternehmen müssen Maßnahmen in Bereichen wie Risikomanagement, Überwachung und Notfallmanagement umsetzen.

s

Der Geltungsbereich wird auf deutlich mehr Organisationen und Sektoren ausgeweitet.

s

Für die Geschäftsleitung gelten künftig strengere Pflichten und Haftungsregeln.

Erstgespräch jetzt buchen

Ein persönlicher Ansprechpartner begleitet Sie von der ersten Analyse bis zur erfolgreichen Umsetzung – und bleibt auch danach für Optimierungen und Fragen an Ihrer Seite.

Lassen Sie uns sprechen!

Kontakt aufnehmen

Für wen ist NIS-2 relevant?

In der NIS-2 Richtlinie wird zwischen „Besonders wichtigen Einrichtungen“ und „Wichtigen Einrichtungen“ differenziert. Der wesentliche Unterschied besteht darin,dass „Wichtige Einrichtungen“ mit geringeren Geldstrafen rechnen müssen und einer reaktiven Aufsicht durch die Behörden unterliegen, während „Besonders wichtige Einrichtungen“ einer proaktiven Aufsicht vorbehalten sind

N

1. Kriterium für NIS-2

Für Unternehmen mit
• mindestens 50 Mitarbeitenden UND
• einem Jahresumsatz/Bilanz von über 10 Mio. Euro
kann NIS-2 gelten, wenn auch das 2. Kriterium erfüllt ist

N

2. Kriterium für NIS-2

Ob eine Einrichtung unter die NIS-2 fällt, hängt zudem davon ab, ob sie zu einem der unten genannten 18 Unternehmenssektoren gehört. Der Unternehmenssektor ist das zweite ausschlaggebende Kriterium, zusätzlich zu der Unternehmensgröße. Sind beide Kriterien erfüllt, fällt eine Einrichtung unter die NIS-2-Richtlinie. Es gilt entsprechend zu prüfen, ob diese erfüllt sind.

Jetzt beraten lassen

Besonders wichtige betroffene Einrichtungen:

Energie

Verkehr

Bank- & Finanzwesen

Gesundheitswesen

Trinkwasser & Abwasser

Digitale Infrastruktur

Öffentliche Verwaltung

Weltraum

Verwaltung von IKT-Diensten (B2B)

Wichtige betroffene Einrichtungen:

Post- und Kurierdienst

Abfallwirtschaft

Verarbeitendes Gewerbe / Herstellung von Waren

Anbieter digitaler Dienste

Forschung

Produktion, Verarbeitung, Vertrieb von Lebensmitteln

Produktion, Herstellung, Handel mit chemischen Stoffen

Ausnahmeregelungen

Nicht nur große Unternehmen fallen unter die NIS-2 Richtlinie. Auch kleinere Betriebe mit weniger als 50 Mitarbeitenden oder einem Jahresumsatz unter 10 Mio. Euro können betroffen sein – etwa wenn sie kritische Tätigkeiten ausüben oder potenzielle Auswirkungen auf die öffentliche Ordnung haben.

  • Betroffen trotz kleiner Größe: bei Systemrisiken oder grenzüberschreitenden Auswirkungen

  • Vollständig ausgenommen: z. B. Einrichtungen in Verteidigung, nationaler Sicherheit, Justiz oder Strafverfolgung

  • Einbezogen: zentrale und regionale öffentliche Verwaltungen

Diese Ausnahmen zeigen, dass der Anwendungsbereich der NIS-2 nicht allein von Zahlen abhängt, sondern stark von der Art der Tätigkeit.

Maßnahmen zur Umsetzung

Im Fokus stehen vor allem Maßnahmen im Bereich des Risiko- und Informationssicherheitsmanagements. Unternehmen müssen technische Sicherheitsvorkehrungen umsetzen, die dem aktuellen Stand der Technik entsprechen – und das im Rahmen eines ganzheitlichen Ansatzes zur Erkennung und Bewertung von Gefahren.

  • Risikomanagement: Aufbau strukturierter Prozesse zur Identifikation und Bewertung von Sicherheitsrisiken

  • Technische Maßnahmen: Umsetzung moderner Schutzmechanismen gemäß dem Stand der Technik

  • Ganzheitlicher Ansatz: Integration aller relevanten Sicherheitsaspekte im Unternehmen

Im Einzelnen fordert der Gesetzgeber die Umsetzung und Einhaltung von folgenden Cybersicherheits-Richtlinien mit folgenden Maßnahmen:

Sicherheits- und Risikokonzepte

Incidentmanagement

Notfall- und Krisenmanagement

Sicherheit der Lieferkette

Einkaufsmanagement

Effektivitätsmessung

Schulungen

Verschlüsselung

Personalwesen

Zugangskontrolle

Asset- und Schwachstellenmanagement

Authentifizierung

Sichere und Notfallkommunikation

Sichern Sie Ihr Unternehmen jetzt ab!

Jetzt beraten lassen

Meldepflichten und
Verantwortlichkeiten

Der Geschäftsführer muss die Umsetzung der Maßnahmen überwachen und haftet für Verstöße. Erhebliche Sicherheitsvorfälle sind binnen 24h ab Kenntnisnahme an die Behörde zu melden. Innerhalb von drei Tagen ist ein ausführlicher Bericht zu senden. Nach einem Monat ein Fortschritts-/Abschlussbericht einreichen.

Mögliche Strafen

Für die wichtigen-Sektoren können Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Für die besonders wichtigen-Sektoren liegt die Höchststrafe bei 7 Millionen Euro oder 1,4 % des Umsatzes. Die Höhe der drohenden Bußgelder ist somit vergleichbar mit den Strafen der DSGVO.

Zur Realisierung von NIS-2 empfiehlt es sich die folgenden vier Bausteine zu betrachten:

U

Betroffenheitsanalyse

Ist-Stand Assessment

R

Soll-Analyse

i

Umsetzungsplan