NIS2 Richtlinie

Break_TitleToBody_Header

Wir beraten und unterstützen Sie bei der rechtssicheren und rechtzeitigen Umsetzung der kommenden Cyber Security Richtlinie der EU.

Die NIS2-Richtlinie im Überblick

Zielsetzung der NIS2 (Netz- und Informationssysteme)-Richtlinie ist, das Cybersicherheitsniveau von Netz- und Informationssystemen innerhalb der Europäischen Union (EU) zu erhöhen.

Dabei baut die NIS2-Richtlinie auf der ursprünglichen NIS-Richtlinie von 2016 auf und ist Teil eines umfangreichen Maßnahmenpakets, um die Cybersicherheit in der EU zu verbessern.

Die NIS2 ist am 16. Januar 2023 in Kraft getreten. Seitdem haben die EU-Mitgliedsstaaten nun 21 Monate – bis zum 17. Oktober 2024 – Zeit, die Richtlinie in nationales Recht zu überführen. In Deutschland gibt es zur Umsetzung der NIS2-Richtlinie bereits einen Referentenentwurf des Bundesinnenministeriums.

 

Neben der Erhöhung des Cybersicherheitsniveaus, soll die NIS2-Richtlinie dabei helfen, die Cybersicherheit in der EU zu vereinheitlichen. Hierzu erhöht sie die Sicherheitsanforderungen an Unternehmen, adressiert die Absicherung von Lieferketten (Supply Chain Security), erweitert Berichtspflichten und den zuständigen nationalen Behörden umfassende Aufsichts- und Durchsetzungsmöglichkeiten an die Hand. EU-weit sollen zudem die gleichen Sanktionsmöglichkeiten eingeführt werden. Ebenfalls wird der Anwendungsbereich der NIS2-Richtlinie auf deutlich mehr Organisationen und Sektoren erweitert. NIS2 legt zusätzlich großen Fokus auf das Risikomanagement in Unternehmen und verpflichtet diese, potentielle Cyber-Risiken zu identifizieren und zu bewerten.

 

Weitere wesentliche Änderungen der NIS2-Richtlinie beziehen sich auf mögliche Sanktionsmaßnahmen. Handelt sich um ein Unternehmen oder eine Organisation, die einem wesentlichen Sektor zuzuordnen ist, dann ist mit Strafen von bis 10 Millionen Euro oder zwei Prozent des Jahresumsatzes zu rechnen – je nach dem, welcher Betrag höher ist. Für Wirtschaftsteilnehmer aus wichtigen Sektoren liegen die Strafen bei bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes. Neu ist zudem, dass im Rahmen der NIS2-Richtlinie vorgesehen ist, die Leitungsorgane von Unternehmen für die Einhaltung der Richtlinie mit ihrem Privatvermögen haften. Die Obergrenze für diese Haftung liegt bei 2% des globalen Jahresumsatzes des Unternehmens.

1058x1322_ITOutsourcingPL_LP
NIS2 Guide

Der komplette Überblick zur NIS2-Richtlinine: Unser kostenloser Guide!

Welche Unternehmen und Organisationen sind von der NIS2-Richtlinie betroffen und wer muss jetzt reagieren?

Die NIS2-Richtlinie bezieht eine Vielzahl von Unternehmen und Organisationen ein, deutlich mehr als in der ursprünglichen NIS-Richtlinie. Konkret werden 11 wesentliche und 7 wichtige Sektoren erfasst, deren Wirtschaftsteilnehmer im Rahmen der Richtlinie zu Maßnahmen verpflichtet werden, Ihre Systeme vor Cyberattacken zu schützen. Der Hauptunterschied zwischen den wesentlichen und wichtigen Sektoren besteht im Wesentlichen darin, dass für „wichtige“ Unternehmen geringere Geldstrafen vorgesehen sind und diese nur einer reaktiven Aufsicht der Behörden unterliegen. Unterschiede hinsichtlich der zu ergreifenden Maßnahmen macht die NIS2-Richtlinie zwischen den Sektoren nicht. Auch möchte die EU keine unterschiedlichen Mindestschwellwerte definieren. Unter die NIS2-Regulierung fallen mittlere und große Unternehmen sowie Organisationen bei folgenden Kriterien:

  • Mittel
    • 50 – 250 Beschäftigte
    • 10 – 50 Mio. Euro Umsatz
    • < 43 Mio. Euro Bilanzsumme
  • Groß:
    • > 250 Beschäftigte
    • > 50 Mio. Euro Umsatz
    • > 43 Mio. Euro Bilanzsumme

Mit diesen Schwellwerten und der Sektoren-Erweiterung wird der Anwendungsbereich der NIS2-Richtlinie enorm ausgeweitet. Konkret sind nun folgende Sektoren und Branchen erfasst, wobei jeweils sowohl produzierende wie auch handelnde Unternehmen je Sektor adressiert werden.

Warum Sie jetzt handeln sollten

Group 606-1 Group 606
Vermeiden Sie schwere Strafen und Bußgelder

Bei Nichteinhaltung der NIS2-Richtlinie drohen wesentlichen Unternehmen Geldbußen von bis zu 10 Mio. EUR oder mindestens 2 % ihres weltweiten Gesamtjahresumsatzes. Bei wichtigen Unternehmen können die Geldbußen bis zu 7 Mio. EUR oder mindestens 1,4 % ihres weltweiten Gesamtjahresumsatzes betragen.

Group 609-1 Group 609
Stärken Sie die eigenen Sicherheitsmaßnahmen

Cyberangriffe werden immer zahlreicher und raffinierter. Daher ist eine solide Cybersicherheitsstrategie für jedes Unternehmen, das sein Netzwerk, seine Infrastruktur und seine Daten schützen will, von entscheidender Bedeutung.

 
Group 615-1 Group 615
Schützen Sie Ihren Betrieb

Indem Sie sich im Voraus auf Cyber-Bedrohungen vorbereiten, die verheerende Auswirkungen auf die Geschäftstätigkeit und die Infrastruktur Ihres Unternehmens haben könnten, können Sie diese Auswirkungen minimieren und sicherstellen, dass Ihr Tagesgeschäft nicht beeinträchtigt wird.

Group 130-2 Group 130
Beachten Sie, dass...

Organisationen, die bereits nach ISO 27001 zertifiziert sind, der Einhaltung der NIS2-Richtlinien näher sein können - ebenso wie Unternehmen, die bereits die NIS 1-Maßnahmen erfüllen -, sollten aber weiterhin die sich entwickelnden nationalen Anforderungen im Auge behalten, um eine vollständige Anpassung zu gewährleisten.

NIS2 wesentliche Sektoren

Bankwesen/
Finanzwesen
Energie
Digitale Infrastruktur und IT-Dienstleister
Transport
Gesundheit
Raumfahrt
Wasser
Öffentliche Verwaltung

NIS2 wichtige Sektoren

Herstellung von Waren
Post- und Kurierdienste
Abfallwirtschaft
Ernährung
Chemische Erzeugnisse
Forschungseinrichtungen
Digitale Anbieter

Die wesentlichen Anforderungen der NIS2-Richtlinie

Die NIS2 orientiert sich am all-hazard approach. Dabei verfolgt die Richtlinie das Ziel, sämtliche Netzwerke, Informationssysteme und die physischen Umgebungen dieser Systeme vor Sicherheitsvorfällen und gezielten Attacken zu schützen. Die – noch nicht final verabschiedeten (Stand Q4/2023) – Anforderungen an betroffene Unternehmen und Organisationen umfassen unter anderem:

  • Einführung von Richtlinien mit Bezug auf Informationssicherheit
  • Etablierung von Maßnahmen zur Prävention, Detektion und Bewältigung von Sicherheitsvorfällen
  • Etablierung eines Meldeverfahrens bei Sicherheitsvorfällen an entsprechende Behörden
  • Einführung eines Business Continuity Management mit Backup-Management, Disaster Recovery und Krisenmanagement
  • Sicherstellung der Informationssicherheit in den Lieferketten
  • Etablierung von Verfahren zur Beschaffung sicherer IT- und Netzwerk-Systeme
  • Durchführung regelmäßiger Risiko-Analysen und -Bewertungen
  • Durchführung regelmäßiger Trainingsmaßnahmen für Mitarbeitenden zur Security Awareness und Cyber-Sicherheit
  • Einführung von Verfahren zur Kryptographie und Verschlüsselung von Informationen
  • Einrichtung von Zugangskontrollen und weiteren physischen Sicherheitsmaßnahmen
  • Einführung und Etablierung eines Asset Managements
  • Einsatz sicherer Kommunikationssysteme (Sprach-, Video- und Text-Kommunikation) sowie Einsatz gesicherter Notfall-Kommunikationssysteme
  • Regelmäßige Identifikation von Schwachstellen in IT-Systemen und Penetrationtests

Wir helfen Ihnen bei der Umsetzung der NIS2-Richtlinie

Der 17. Oktober 2024 ist der Stichtag zur Umsetzung der NIS2-Richtlinie für alle betroffenen Unternehmen. Ab diesem Tag müssen betroffene Einrichtungen NIS2-compliant sein. Unternehmen sind also gut beraten, bereits jetzt aktiv zu werden und sich mit der NIS2-Richtlinie aktiv auseinanderzusetzen. Unsere Unterstützungsleistungen verfolgen den Ansatz, angemessene und verhältnismäßige Maßnahmen zu ergreifen, die die korrekte Umsetzung der NIS2 gewährleistet, aber auch individuelle Gegebenheiten ihres Unternehmens berücksichtigt. Ziel aller Maßnahmen, die wir empfehlen ist, Sicherheitsvorfälle zu vermeiden oder deren Auswirkung zu minimieren.
Group 611-3 Group 611-2
Analysephase - Assessment

Unser Ansatz ist modular aufgebaut und beginnt immer mit einer Analysephase, in der wir die Betroffenheit ihres Unternehmens in Bezug auf die NIS2-Richtlinie feststellen. Ist diese Betroffenheit gegeben, untersuchen wir die Auswirkungen der Richtlinie auf Ihr Unternehmen. Wir schließen die Analysephase mit einem Assessment ab, in dem wir die erforderlichen Maßnahmen definieren, um NIS2 erfolgreich zu erfüllen. Dabei berücksichtigen wir ihr individuelles Sicherheitsniveau und betrachten auch bereits ergriffene Maßnahmen.

iconmonstr-note-13-96 iconmonstr-note-13-96-2
Analysephase - Ergebnisreport

Als Ergebnis der Analysephase erhalten Sie von uns einen detaillierten Report, der eine Auflistung aller noch zu etablierenden oder zu ergänzenden Maßnahmen zur Umsetzung der NIS2-Richtlinie enthält. Dabei sprechen wir je Maßnahme konkrete Umsetzungsempfehlungen aus und definieren den jeweiligen Aufwand.

 
Group 612 Group 612-1
Umsetzungsphase

Unser individuelles Einzelmaßnahmenpaket – als Ergebnis der Analysephase – umfasst sämtliche NIS2-relevanten Bereiche wie u.a. die Einrichtung notwendiger Melde- und Berichtswesen, die Durchführung von Risikoanalyse oder auch die Umsetzung technischer Maßnahmen. Dabei bieten wir Ihnen selbstverständlich zunächst die Möglichkeit zu entscheiden, welche Einzelmaßnahmen sie selbst umsetzen möchten bzw. wo sie unsere Unterstützung hinzuziehen möchten. Basierend auf dieser Entscheidung, entwickeln wir einen individuellen Umsetzungsplan und starten mit Ihnen entsprechend die Umsetzungsphase.

Group 609-1 Group 609
Überwachungsphase

Nach Abschluss der Umsetzungsphase wird Ihr Unternehmen alle notwendigen Anforderungen der NIS2-Richtlinie erfüllen. Ab diesem Punkt ist es wichtig, die Wirksamkeit der umgesetzten Maßnahmen regelmäßig zu überprüfen und ggf. anzupassen. Ebenfalls sieht NIS2 Anforderungen vor, die regelmäßig umgesetzt werden müssen, bspw. die Durchführung von Trainingsmaßnahmen oder die Identifikation von technischen Schwachstellen in Systemen und Netzwerken. In dieser fortlaufenden Überwachungsphase stehen wir ihnen ebenfalls bei Bedarf unterstützend zur Seite.

Die NIS2-Richtlinie in Zahlen

160K

Anzahl an betroffenen Unternehmen

18

Anzahl an betroffenen
Sektoren

€10M

Max. Strafe für nicht konforme wesentliche Einrichtungen

€7M

Max. Strafe für nicht konforme wichtige Unternehmen

Die nächsten Schritte & Deadlines


17/10/2024

 

Mitgliedstaaten müssen die erforderlichen Maßnahmen ergreifen, um die NIS2 bis zum 17. Oktober 2024 zu erfüllen.


17/04/2025

 

Mitgliedstaaten erstellen bis zum 17. April 2025 eine Liste der wesentlichen und wichtigen Einrichtungen.


17/10/2025

 

Die Europäische Kommission überprüft  das Wirken der NIS-2-Richtlinie bis zum 17. Oktober 2025.

IT Sicherheit. Individuell. Für Sie.

Alter Solutions Deutschland versteht sich als IT-Sicherheitsberatung für den Mittelstand. Unsere Certified Security Analysts verfügen über langjährige Erfahrung in der Sicherheitsanalyse von IT-Systemen bei unterschiedlichsten Kunden in den verschiedensten Branchen.
Alter Solutions Deutschland bildet seine Mitarbeitenden kontinuierlich weiter. Unsere Certified Security Analysts und weitere Experten und Expertinnen unseres Cyber Security Teams werden fortlaufend zu den aktuellen Entwicklungen der IT-Sicherheit trainiert und verfügen über Branchen-anerkannte Zertifizierungen.
Alter Solutions Deutschland ist aktiver Gestalter der Cyber-Sicherheit in Deutschland. Als Mitglied in der Allianz für Cyber-Sicherheit und dem Bundesverband für IT-Sicherheit pflegen wir den vertrauensvollen Austausch mit anderen Unternehmen und Institutionen zu Themen wie geeignete Schutzmaßnahmen.
logo_acs
IT-Security-made-in-Germany_TeleTrusT-Seal
GMIT1059-Logo-2
iso-9001

Kontakt