NIS2 Richtlinie

Break_TitleToBody_Header

Wir beraten und unterstützen Sie bei der rechtssicheren und rechtzeitigen Umsetzung der kommenden Cyber Security Richtlinie der EU.

Die NIS2-Richtlinie im Überblick

Zielsetzung der NIS2 (Netz- und Informationssysteme)-Richtlinie ist, das Cybersicherheitsniveau von Netz- und Informationssystemen innerhalb der Europäischen Union (EU) zu erhöhen.

Dabei baut die NIS2-Richtlinie auf der ursprünglichen NIS-Richtlinie von 2016 auf und ist Teil eines umfangreichen Maßnahmenpakets, um die Cybersicherheit in der EU zu verbessern.

 

Die NIS2 ist am 16. Januar 2023 in Kraft getreten. Seitdem haben die EU-Mitgliedsstaaten nun 21 Monate – bis zum 17. Oktober 2024 – Zeit, die Richtlinie in nationales Recht zu überführen. In Deutschland gibt es zur Umsetzung der NIS2-Richtlinie bereits einen Referentenentwurf des Bundesinnenministeriums.

 

Neben der Erhöhung des Cybersicherheitsniveaus, soll die NIS2-Richtlinie dabei helfen, die Cybersicherheit in der EU zu vereinheitlichen. Hierzu erhöht sie die Sicherheitsanforderungen an Unternehmen, adressiert die Absicherung von Lieferketten (Supply Chain Security), erweitert Berichtspflichten und den zuständigen nationalen Behörden umfassende Aufsichts- und Durchsetzungsmöglichkeiten an die Hand. EU-weit sollen zudem die gleichen Sanktionsmöglichkeiten eingeführt werden. Ebenfalls wird der Anwendungsbereich der NIS2-Richtlinie auf deutlich mehr Organisationen und Sektoren erweitert. NIS2 legt zusätzlich großen Fokus auf das Risikomanagement in Unternehmen und verpflichtet diese, potentielle Cyber-Risiken zu identifizieren und zu bewerten.

 

Weitere wesentliche Änderungen der NIS2-Richtlinie beziehen sich auf mögliche Sanktionsmaßnahmen. Handelt sich um ein Unternehmen oder eine Organisation, die einem wesentlichen Sektor zuzuordnen ist, dann ist mit Strafen von bis 10 Millionen Euro oder zwei Prozent des Jahresumsatzes zu rechnen – je nach dem, welcher Betrag höher ist. Für Wirtschaftsteilnehmer aus wichtigen Sektoren liegen die Strafen bei bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes. Neu ist zudem, dass im Rahmen der NIS2-Richtlinie vorgesehen ist, die Leitungsorgane von Unternehmen für die Einhaltung der Richtlinie mit ihrem Privatvermögen haften. Die Obergrenze für diese Haftung liegt bei 2% des globalen Jahresumsatzes des Unternehmens.

NIS2 Guide

Der komplette Überblick zur NIS2-Richtlinine: Unser kostenloser Guide!

Welche Unternehmen und Organisationen sind von der NIS2-Richtlinie betroffen und wer muss jetzt reagieren?

Die NIS2-Richtlinie bezieht eine Vielzahl von Unternehmen und Organisationen ein, deutlich mehr als in der ursprünglichen NIS-Richtlinie. Konkret werden 11 wesentliche und 7 wichtige Sektoren erfasst, deren Wirtschaftsteilnehmer im Rahmen der Richtlinie zu Maßnahmen verpflichtet werden, Ihre Systeme vor Cyberattacken zu schützen. Der Hauptunterschied zwischen den wesentlichen und wichtigen Sektoren besteht im Wesentlichen darin, dass für „wichtige“ Unternehmen geringere Geldstrafen vorgesehen sind und diese nur einer reaktiven Aufsicht der Behörden unterliegen. Unterschiede hinsichtlich der zu ergreifenden Maßnahmen macht die NIS2-Richtlinie zwischen den Sektoren nicht. Auch möchte die EU keine unterschiedlichen Mindestschwellwerte definieren. Unter die NIS2-Regulierung fallen mittlere und große Unternehmen sowie Organisationen bei folgenden Kriterien:

  • Mittel
    • 50 – 250 Beschäftigte
    • 10 – 50 Mio. Euro Umsatz
    • < 43 Mio. Euro Bilanzsumme
  • Groß:
    • > 250 Beschäftigte
    • > 50 Mio. Euro Umsatz
    • > 43 Mio. Euro Bilanzsumme

Mit diesen Schwellwerten und der Sektoren-Erweiterung wird der Anwendungsbereich der NIS2-Richtlinie enorm ausgeweitet. Konkret sind nun folgende Sektoren und Branchen erfasst, wobei jeweils sowohl produzierende wie auch handelnde Unternehmen je Sektor adressiert werden.

NIS2 wesentliche Sektoren

Bankwesen/
Finanzwesen
Energie
Digitale Infrastruktur und IT-Dienstleister
Transport
Gesundheit
Raumfahrt
Wasser
Öffentliche Verwaltung

NIS2 wichtige Sektoren

Herstellung von Waren
Post- und Kurierdienste
Abfallwirtschaft
Ernährung
Chemische Erzeugnisse
Forschungseinrichtungen
Digitale Anbieter

Die wesentlichen Anforderungen der NIS2-Richtlinie

Die NIS2 orientiert sich am all-hazard approach. Dabei verfolgt die Richtlinie das Ziel, sämtliche Netzwerke, Informationssysteme und die physischen Umgebungen dieser Systeme vor Sicherheitsvorfällen und gezielten Attacken zu schützen. Die – noch nicht final verabschiedeten (Stand Q4/2023) – Anforderungen an betroffene Unternehmen und Organisationen umfassen unter anderem:

  • Einführung von Richtlinien mit Bezug auf Informationssicherheit
  • Etablierung von Maßnahmen zur Prävention, Detektion und Bewältigung von Sicherheitsvorfällen
  • Etablierung eines Meldeverfahrens bei Sicherheitsvorfällen an entsprechende Behörden
  • Einführung eines Business Continuity Management mit Backup-Management, Disaster Recovery und Krisenmanagement
  • Sicherstellung der Informationssicherheit in den Lieferketten
  • Etablierung von Verfahren zur Beschaffung sicherer IT- und Netzwerk-Systeme
  • Durchführung regelmäßiger Risiko-Analysen und -Bewertungen
  • Durchführung regelmäßiger Trainingsmaßnahmen für Mitarbeitenden zur Security Awareness und Cyber-Sicherheit
  • Einführung von Verfahren zur Kryptographie und Verschlüsselung von Informationen
  • Einrichtung von Zugangskontrollen und weiteren physischen Sicherheitsmaßnahmen
  • Einführung und Etablierung eines Asset Managements
  • Einsatz sicherer Kommunikationssysteme (Sprach-, Video- und Text-Kommunikation) sowie Einsatz gesicherter Notfall-Kommunikationssysteme
  • Regelmäßige Identifikation von Schwachstellen in IT-Systemen und Penetrationtests

Wir helfen Ihnen bei der Umsetzung der NIS2-Richtlinie

Der 17. Oktober 2024 ist der Stichtag zur Umsetzung der NIS2-Richtlinie für alle betroffenen Unternehmen. Ab diesem Tag müssen betroffene Einrichtungen NIS2-compliant sein. Unternehmen sind also gut beraten, bereits jetzt aktiv zu werden und sich mit der NIS2-Richtlinie aktiv auseinanderzusetzen. Unsere Unterstützungsleistungen verfolgen den Ansatz, angemessene und verhältnismäßige Maßnahmen zu ergreifen, die die korrekte Umsetzung der NIS2 gewährleistet, aber auch individuelle Gegebenheiten ihres Unternehmens berücksichtigt. Ziel aller Maßnahmen, die wir empfehlen ist, Sicherheitsvorfälle zu vermeiden oder deren Auswirkung zu minimieren.

Die NIS2-Richtlinie in Zahlen

160K

Anzahl an betroffenen Unternehmen

18

Anzahl an betroffenen
Sektoren

€10M

Max. Strafe für nicht konforme wesentliche Einrichtungen

€7M

Max. Strafe für nicht konforme wichtige Unternehmen

Die nächsten Schritte & Deadlines


17/10/2024

 

Mitgliedstaaten müssen die erforderlichen Maßnahmen ergreifen, um die NIS2 bis zum 17. Oktober 2024 zu erfüllen.


17/04/2025

 

Mitgliedstaaten erstellen bis zum 17. April 2025 eine Liste der wesentlichen und wichtigen Einrichtungen.


17/10/2025

 

Die Europäische Kommission überprüft  das Wirken der NIS-2-Richtlinie bis zum 17. Oktober 2025.

IT Sicherheit. Individuell. Für Sie.

Alter Solutions Deutschland versteht sich als IT-Sicherheitsberatung für den Mittelstand. Unsere Certified Security Analysts verfügen über langjährige Erfahrung in der Sicherheitsanalyse von IT-Systemen bei unterschiedlichsten Kunden in den verschiedensten Branchen.
Alter Solutions Deutschland bildet seine Mitarbeitenden kontinuierlich weiter. Unsere Certified Security Analysts und weitere Experten und Expertinnen unseres Cyber Security Teams werden fortlaufend zu den aktuellen Entwicklungen der IT-Sicherheit trainiert und verfügen über Branchen-anerkannte Zertifizierungen.
Alter Solutions Deutschland ist aktiver Gestalter der Cyber-Sicherheit in Deutschland. Als Mitglied in der Allianz für Cyber-Sicherheit und dem Bundesverband für IT-Sicherheit pflegen wir den vertrauensvollen Austausch mit anderen Unternehmen und Institutionen zu Themen wie geeignete Schutzmaßnahmen.
logo_acs
IT-Security-made-in-Germany_TeleTrusT-Seal
GMIT1059-Logo-2
iso-9001
cta_contactos4_1_
Lassen Sie uns sprechen
Kontaktieren Sie uns
Wir stellen ein
Werde Teil des Teams