NIS2 im Überblick
Neue EU-Vorgaben für mehr Cybersicherheit
Die NIS2-Richtlinie verschärft die Cybersicherheitsanforderungen und Sanktionen, um das Sicherheitsniveau
in den Mitgliedstaaten der EU zu harmonisieren und zu verbessern.
Die NIS2-Richtlinie zielt darauf ab, das Cybersicherheitsniveau in der EU zu harmonisieren und zu verbessern.
Sie verschärft die Anforderungen an Sicherheit und erhöht mögliche Sanktionen bei Verstößen.
Unternehmen müssen Maßnahmen in Bereichen wie Risikomanagement, Überwachung und Notfallmanagement umsetzen.
Der Geltungsbereich wird auf deutlich mehr Organisationen und Sektoren ausgeweitet.
Für die Geschäftsleitung gelten künftig strengere Pflichten und Haftungsregeln.
Ein persönlicher Ansprechpartner begleitet Sie von der ersten Analyse bis zur erfolgreichen Umsetzung – und bleibt auch danach für Optimierungen und Fragen an Ihrer Seite.
Lassen Sie uns sprechen!
Für wen ist NIS2 relevant?
In der NIS2-Richtlinie wird zwischen „Besonders wichtigen Einrichtungen“ und „Wichtigen Einrichtungen“ differenziert. Der wesentliche Unterschied besteht darin,dass „Wichtige Einrichtungen“ mit geringeren Geldstrafen rechnen müssen und einer reaktiven Aufsicht durch die Behörden unterliegen, während „Besonders wichtige Einrichtungen“ einer proaktiven Aufsicht vorbehalten sind
1. Kriterium für NIS2
Für Unternehmen mit
• mindestens 50 Mitarbeitenden UND
• einem Jahresumsatz/Bilanz von über 10 Mio. Euro
kann NIS2 gelten, wenn auch das 2. Kriterium erfüllt ist
2. Kriterium für NIS2
Ob eine Einrichtung unter die NIS2 fällt, hängt zudem davon ab, ob sie zu einem der unten genannten 18 Unternehmenssektoren gehört. Der Unternehmenssektor ist das zweite ausschlaggebende Kriterium, zusätzlich zu der Unternehmensgröße. Sind beide Kriterien erfüllt, fällt eine Einrichtung unter die NIS2-Richtlinie. Es gilt entsprechend zu prüfen, ob diese erfüllt sind.
Besonders wichtige
betroffene Einrichtungen:
Energie
Verkehr
Bank- & Finanzwesen
Gesundheitswesen
Trinkwasser & Abwasser
Digitale Infrastruktur
öffentliche Verwaltung
Weltraum
Verwaltung von IKT-Diensten (B2B)
Wichtige
betroffene Einrichtungen:
Post- und Kurierdienst
Abfallwirtschaft
Produktion, Herstellung, Handel mit chemischen Stoffen
Produktion, Verarbeitung, Vertrieb von Lebensmitteln
Verarbeitendes Gewerbe/ Herstellung von Waren
Anbieter digitaler Dienste
Forschung
Ausnahmeregelungen
Unabhängig von der Größe und dem Umsatz eines Unternehmens gibt es bestimmte Ausnahmen. Zum Beispiel könnten Unternehmen, die kritische Tätigkeiten ausüben, Auswirkungen auf die öffentliche Ordnung haben oder mit Systemrisiken und grenzüberschreitenden Auswirkungen verbunden sind, unter den Anwendungsbereich der NIS2-Richtlinie fallen, selbst wenn sie weniger als 50 Mitarbeiter haben oder ihr Jahresumsatz unter 10 Millionen Euro liegt. Ebenso können bestimmte Unternehmen vollständig von der NIS2 ausgenommen sein. Die Richtlinie gilt nicht für Einrichtungen, die in Bereichen wie Verteidigung, nationale Sicherheit, öffentliche Sicherheit und Strafverfolgung tätig sind. Auch Justiz, Parlamente und Zentralbanken sind vom Anwendungsbereich ausgenommen. Die NIS2-Richtlinie wird jedoch für öffentliche Verwaltungen auf zentraler und regionaler Ebene gelten.
Maßnahmen zur Umsetzung
Die erforderlichen Schritte beziehen sich vor allem auf das Risiko- und Informationssicherheitsmanagement innerhalb des Unternehmens sowie auf die Implementierung technischer Sicherheitsmaßnahmen gemäß dem aktuellen Stand der Technik. Dabei ist die Integration eines ganzheitlichen Ansatzes zur Gefahrenerfassung von entscheidender Bedeutung.
Im Einzelnen fordert der Gesetzgeber die Umsetzung und Einhaltung von folgenden Cybersicherheits-Richtlinien mit folgenden Maßnahmen:
Sicherheits- und Risikokonzepte
Incidentmanagement
Notfall- und Krisenmanagement
Sicherheit der Lieferkette
Einkaufsmanagement
Effektivitätsmessung
Schulungen
Verschlüsselung
Personalwesen
Zugangskontrolle
Asset- und Schwachstellenmanagement
Authentifizierung
Sichere und Notfallkommunikation
Sichern Sie Ihr Unternehmen jetzt ab!
Verantwortlichkeiten
und Meldepflichten
Der Geschäftsführer muss die Umsetzung der Maßnahmen überwachen und haftet für Verstöße. Erhebliche Sicherheitsvorfälle sind binnen 24h ab Kenntnisnahme an die Behörde zu melden. Innerhalb von drei Tagen ist ein ausführlicher Bericht zu senden. Nach einem Monat ein Fortschritts-/Abschlussbericht einreichen.
Mögliche Strafen
Für die wichtigen-Sektoren können Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Für die besonders wichtigen-Sektoren liegt die Höchststrafe bei 7 Millionen Euro oder 1,4 % des Umsatzes. Die Höhe der drohenden Bußgelder ist somit vergleichbar mit den Strafen der DSGVO.
Zur Realisierung von NIS2 empfiehlt es sich die folgenden vier Bausteine zu betrachten:
Bedarfsanalyse
Ist - Stand Assessment
Soll - Analyse
Umsetzungsplan
Kontakt
Sed ut perspiciatis unde omnis iste natus voluptatem.
Kurfürstendamm 11,
10719 Berlin
+49 30 300 149 3170