NIS2 im Überblick
Die NIS2-Richtlinie verschärft die Cybersicherheitsanforderungen und Sanktionen, um das Sicherheitsniveau in den Mitgliedstaaten der EU zu harmonisieren und zu verbessern…
Neue EU-Vorgaben für mehr Cybersicherheit
Die NIS2-Richtlinie verschärft die Cybersicherheitsanforderungen und Sanktionen, um das Sicherheitsniveau in den Mitgliedstaaten der EU zu harmonisieren und zu verbessern. Sie stellt strengere Anforderungen für verschiedene Sektoren auf und zwingt Unternehmen und Organisationen, sich mit Themen wie Cyber-Risikomanagement, Kontrolle, Überwachung, Zwischenfallmanagement und Geschäftskontinuität auseinanderzusetzen. Zusätzlich erweitert die Richtlinie den Anwendungsbereich auf eine größere Anzahl von Organisationen, wobei für die Geschäftsleitung verschärfte Haftungsregeln gelten.
Kriterium für NIS2
Für wen ist NIS2 relevant?
In der NIS2-Richtlinie wird zwischen „Besonders wichtigen Einrichtungen“ und „Wichtigen Einrichtungen“ differenziert. Der wesentliche Unterschied besteht darin,dass „Wichtige Einrichtungen“ mit geringeren Geldstrafen rechnen müssen und einer reaktiven Aufsicht durch die Behörden unterliegen, während „Besonders wichtige Einrichtungen“ einer proaktiven Aufsicht vorbehalten sind
1. Kriterium für NIS2
Für Unternehmen mit
• mindestens 50 Mitarbeitenden UND
• einem Jahresumsatz/Bilanz von über 10 Mio. Euro
kann NIS2 gelten, wenn auch das 2. Kriterium erfüllt ist
2. Kriterium für NIS2
Ob eine Einrichtung unter die NIS2 fällt, hängt zudem davon ab, ob sie zu einem der unten genannten 18 Unternehmenssektoren gehört. Der Unternehmenssektor ist das zweite ausschlaggebende Kriterium, zusätzlich zu der Unternehmensgröße. Sind beide Kriterien erfüllt, fällt eine Einrichtung unter die NIS2-Richtlinie. Es gilt entsprechend zu prüfen, ob diese erfüllt sind.
Besonders wichtige
betroffene Einrichtungen:
Wichtige
betroffene Einrichtungen:
Energie
Verkehr
Bank- & Finanzwesen
Gesundheitswesen
Trinkwasser & Abwasser
Digitale Infrastruktur
öffentliche Verwaltung
Weltraum
Verwaltung von IKT-Diensten (B2B)
Post- und Kurierdienst
Abfallwirtschaft
Produktion, Herstellung, Handel mit chemischen Stoffen
Produktion, Verarbeitung, Vertrieb von Lebensmitteln
Verarbeitendes Gewerbe/ Herstellung von Waren
Anbieter digitaler Dienste
Forschung
Ausnahmeregelungen
Unabhängig von der Größe und dem Umsatz eines Unternehmens gibt es bestimmte Ausnahmen. Zum Beispiel könnten Unternehmen, die kritische Tätigkeiten ausüben, Auswirkungen auf die öffentliche Ordnung haben oder mit Systemrisiken und grenzüberschreitenden Auswirkungen verbunden sind, unter den Anwendungsbereich der NIS2-Richtlinie fallen, selbst wenn sie weniger als 50 Mitarbeiter haben oder ihr Jahresumsatz unter 10 Millionen Euro liegt. Ebenso können bestimmte Unternehmen vollständig von der NIS2 ausgenommen sein. Die Richtlinie gilt nicht für Einrichtungen, die in Bereichen wie Verteidigung, nationale Sicherheit, öffentliche Sicherheit und Strafverfolgung tätig sind. Auch Justiz, Parlamente und Zentralbanken sind vom Anwendungsbereich ausgenommen. Die NIS2-Richtlinie wird jedoch für öffentliche Verwaltungen auf zentraler und regionaler Ebene gelten
Maßnahmen zur Umsetzung
Die erforderlichen Schritte beziehen sich vor allem auf das Risiko- und Informationssicherheitsmanagement innerhalb des Unternehmens sowie auf die Implementierung technischer Sicherheitsmaßnahmen gemäß dem aktuellen Stand der Technik. Dabei ist die Integration eines ganzheitlichen Ansatzes zur Gefahrenerfassung von entscheidender Bedeutung.
Im Einzelnen fordert der Gesetzgeber die Umsetzung und Einhaltung von folgenden Cybersicherheits-Richtlinien mit folgenden Maßnahmen:
• Sicherheits- und Risikokonzepte
• Incidentmanagement
• Notfall- und Krisenmanagement
• Sicherheit der Lieferkette
• Einkaufsmanagement
• Effektivitätsmessung
• Schulungen
• Verschlüsselung
• Personalwesen
• Zugangskontrolle
• Asset- und Schwachstellenmanagement
• Authentifizierung
• Sichere und Notfallkommunikation
Verantwortlichkeiten und Meldepflichten
Der Geschäftsführer muss die Umsetzung der Maßnahmen überwachen und haftet für Verstöße. Erhebliche Sicherheitsvorfälle sind binnen 24h ab Kenntnisnahme an die Behörde zu melden. Innerhalb von drei Tagen ist ein ausführlicher Bericht zu senden. Nach einem Monat ein Fortschritts-/Abschlussbericht einreichen.
Mögliche Strafen
Für die wichtigen-Sektoren können Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Für die besonders wichtigen-Sektoren liegt die Höchststrafe bei 7 Millionen Euro oder 1,4 % des Umsatzes. Die Höhe der drohenden Bußgelder ist somit vergleichbar mit den Strafen der DSGVO.
Konkrete, operative Umsetzung
von NIS2 in Ihrem Betrieb:
Zur Realisierung von NIS2 empfiehlt es sich die folgenden
vier Bausteine zu betrachten:
Bedarfsanalyse
Ist - Stand Assessment
Soll - Analyse
Umsetzungsplan
Jetzt anfragen