Kontakt

NIS2 Richtlinie

Was Unternehmen jetzt wissen müssen

Was ist NIS2?

Die europäische Network and Information Security Richtlinie 2.0 (NIS2) ist eine überarbeitete Version der NIS-1-Richtlinie mit strengen Cybersicherheitsstandards, an die sich eine Vielzahl von Unternehmen richten muss. Sie wurde entwickelt, um die Sicherheit und Widerstandsfähigkeit von Netzwerken und Informationssystemen in der EU zu verbessern.

Warum ist NIS2 wichtig?

  • Erhöhte Cyber-Bedrohungen: NIS2 adressiert das steigende und vielfältige Risiko von Cyber-Bedrohungen.
  • Abhängigkeit von digitalen Technologien: NIS2 wurde als Antwort auf die während der Pandemie erhöhte Abhängigkeit von digitalen Technologien und die damit verbundenen neuen Sicherheitsrisiken entwickelt.
  • Verbesserte Sicherheit gegen Cyberangriffe: Die Richtlinie zielt darauf ab, eine verbesserte Resilienz gegen Cyberangriffe in Europa zu gewährleisten.

Key Points

Haftung & Bußgelder

  • Persönliche Haftbarkeit des Geschäftsführers bei Verstoß gegen Cybersecurity-Pflichten
  • Bußgelder je nach Kategorie von mindestens 7 Mio. €

Notwendige Maßnahmen

  • Risikomanagement im Bereich der Cybersicherheit
  • Registrierungspflicht bei der zuständigen Behörde
  • Meldepflichten nach einem Cybervorfall (Erstmeldung innerhalb von 24 Stunden)

Zeitrahmen

Umsetzungsfrist der geforderten Maßnahmen bis voraussichtlich Frühjahr 2025 in Deutschland.

Wer ist betroffen?

Betroffen sind Unternehmen mit mehr als 10 Mio. € Jahresumsatz oder mehr als 50 Mitarbeitenden aus bestimmten Sektoren. NIS2 Einrichtungen sind in kritische Infrastrukturen, wesentliche und wichtige Unternehmen unterteilt. Anbieter öffentlicher Kommunikationsnetze und -dienste sowie Vertrauensdiensteanbieter und Namensregister der obersten Domäne (inkl. DNS-Diensteanbieter) sind immer verpflichtet.

Bei folgenden 18 Sektoren muss die NIS2 Richtlinie umgesetzt werden:

SEKTOREN MIT HOHER KRITIKALITÄT

(ANHANG I):

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten (B2B)
  • Öffentliche Verwaltung
  • Weltraum

SONSTIGE KRITISCHE SEKTOREN

(ANHANG II):

 

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschung

Jetzt kostenfreie Erstberatung zur NIS2 Richtlinie sichern!

TERMIN VEREINBAREN

Risikomanagementmaßnahmen

Konkrete technische Maßnahmen gibt die Richtlinie nicht vor. Hierfür wird auf Branchenstandards verwiesen.

Grundlegende Anforderungen:
  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Risikomanage-mentmaßnahmen

Konkrete technische Maßnahmen gibt die Richtlinie nicht vor. Hierfür wird auf Branchenstandards verwiesen.

Grundlegende Anforderungen:
  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Meldepflicht

  • Innerhalb von 24 Stunden nach einem Vorfall Erstmeldung an das Computer Security Incident Response Team (CSIRT) 
  • Innerhalb von 72 Stunden Übermittlung der ersten Bewertung an das CSIRT (inkl. Aussagen zu Schweregrad, Auswirkungen, Quelle)
  • Auf Anfrage des CSIRT Bereitstellung des aktualisierten Status zum Vorfall
  • Innerhalb 1 Monats Übermittlung des detaillierten Berichts an das CSIRT (inkl. Informationen zu Schweregrad, interne und grenzüberschreitende Auswirkungen, Ursache, Abhilfemaßnahmen)

Registrierungspflicht

Registrierung bei der zuständigen Behörde im eigenen Mitgliedstaat mit Offenlegung von Kontaktdaten

Meldepflicht

  • Innerhalb von 24 Stunden nach einem Vorfall Erstmeldung an das Computer Security Incident Response Team (CSIRT) 
  • Innerhalb von 72 Stunden Übermittlung der ersten Bewertung an das CSIRT (inkl. Aussagen zu Schweregrad, Auswirkungen, Quelle)
  • Auf Anfrage des CSIRT Bereitstellung des aktualisierten Status zum Vorfall
  • Innerhalb 1 Monats Übermittlung des detaillierten Berichts an das CSIRT (inkl. Informationen zu Schweregrad, interne und grenzüberschreitende Auswirkungen, Ursache, Abhilfemaßnahmen)

Registrierungs-pflicht

Registrierung bei der zuständigen Behörde im eigenen Mitgliedstaat mit Offenlegung von Kontaktdaten

Jetzt kostenfreie Erstberatung zur NIS2 Richtlinie sichern!

TERMIN VEREINBAREN

Nehmen Sie mit uns Kontakt auf!

Datenschutzerklärung