Die NIS2-Richtlinie

Zusammenfassung auf einen Blick

Wer sich einen ersten Überblick über die NIS2-Richtlinie verschaffen möchte, wird mit Informationen überflutet. Für einen einfachen und kompakten Einstieg ins Thema finden Sie hier eine Zusammenstellung der wichtigsten Fakten rund um NIS2.

Was ist NIS2?

Die NIS2 löst die NIS1 ab, die bereits seit 2016 Unternehmen der kritischen Infrastruktur zur Einhaltung von Cybersicherheitsstandards verpflichtet. Im Vergleich zu ihrem Vorgänger erweitert die NIS2-Richtlinie deutlich den Kreis der betroffenen Unternehmen, verstärkt die regulatorischen Pflichten und intensiviert die behördliche Überwachung.

Was sind die Ziele der EU-Richtlinie?

Die fortschreitende Digitalisierung hat zu einer länderübergreifenden Bedrohungslage im Bereich der Cybersicherheit geführt. Mit der Einführung der NIS2-Richtlinie wurden die bisherigen Regelungen erweitert, um die Cyberresilienz sowohl im öffentlichen als auch im privaten Sektor zu stärken und die Handlungsfähigkeit der Behörden in der gesamten EU zu verbessern. Die Hauptziele dieser EU-weiten Gesetzgebung lassen sich wie folgt zusammenfassen:

  • Die Mitgliedstaaten der EU sollen besser fĂĽr den Umgang mit Cyberbedrohungen ausgestattet sein.
  • Die Zusammenarbeit und der Informationsaustausch zwischen den Mitgliedstaaten sollen intensiviert werden.
  • In allen SchlĂĽsselsektoren, die fĂĽr Wirtschaft und Gesellschaft von zentraler Bedeutung sind, soll eine durchgängige Sicherheitskultur etabliert werden.

Welche Frist gilt fĂĽr die Umsetzung der NIS2-Richtlinie?

Unternehmen unterliegen den nationalen Gesetzen. Deutschland kann die Frist leider nach aktuellem Stand nicht einhalten, um die EU-Richtlinie  rechtzeitig in nationales Recht umzusetzen.

Cybersecurity

Wer gehört zu den betroffenen Unternehmen?

NIS2 definiert 18 Sektoren, die jeweils in wesentliche und wichtige Einrichtungen eingeteilt sind.

Wesentliche Sektoren der NIS 2 Richtlinie

  • Gesundheitswesen
  • Energiesektor
  • Trinkwasserversorgung
  • Banken
  • Finanzmarktinfrastrukturwesen
  • Digitale Infrastruktur
  • Weitere Gesundheitsbereiche (Pharmaunternehmen, kritische Medizinprodukte)
  • Verkehr
  • Abwasser
  • Raumfahrt
  • IKCT-Anbieter (B2B)
  • Ă–ffentliche Verwaltung

Wichtige Sektoren als kritische Einrichtungen

  • Chemikalien
  • Lebensmittel
  • Verarbeitendes Gewerbe: Hersteller kritischer Waren (z. B. PC, Automobile, Maschinenbau)
  • Post- und Kurierdienstleister
  • Abfallentsorgung
  • Forschung

 

Das sind die NIS-2 Anforderungen auf einen Blick

Im Wesentlichen definiert die Richtlinie vier Anforderungen, die Unternehmen bis zur Fristsetzung umsetzen mĂĽssen.

  1. Registrierungspflicht bei der nationalen Behörde
    Alle betroffenen Unternehmen müssen sich beim BSI als „verpflichtende Institution“ registrieren.

  2. Einrichtung einer Risikobewertung und eines Risikomanagements
    Die NIS2-Richtlinie definiert konkret 10 Maßnahmen, mit denen sie ihre Cyberresilienz stärken sollen. Dazu gehört beispielsweise ein Konzept für die Risikoanalyse, die Einrichtung eines Business Continuity Managements und den Einsatz von Verschlüsselungstechnologien.

  3. Meldepflichten bei einem Sicherheitsvorfall
    Im Falle eines Cyberangriffs muss eine Meldung an die Behörde erfolgen. Eine Frühwarnung muss bereits innerhalb von 24 Stunden erfolgen.

  4. Überwachungspflicht der Geschäftsleitung
    NIS2 nimmt die Geschäftsführung und den Vorstand persönlich in die Pflicht. Wird die NIS2-Richtlinie nicht pünktlich oder vollständig umgesetzt, haften die Verantwortlichen persönlichen.

Besondere Anforderungen an die Lieferkette

Eine Besonderheit der NIS-2 Richtlinie besteht darin, dass sie die Anforderungen an die Cybersicherheitsstandards auch auf ihre Lieferanten und Geschäftspartner ausdehnt. Dies ist besonders wichtig, da ein Angriff auf die Lieferkette den Angreifern potenziell Zugang zu den Netzwerken von Kunden und Partnern ermöglichen kann. Je nach Art der Produkte oder Dienstleistungen, die ein Lieferant bereitstellt, können zuständige Behörden im Einzelfall auch den Nachweis einer Cybersicherheitszertifizierung verlangen.

Welche Strafen drohen bei Nichteinhaltung?

Unternehmen, die die neuen Regelungen der NIS2-Richtlinie nicht beachten oder diese nicht korrekt bzw. vollständig umsetzen, setzen sich erheblichen Risiken aus. Es sind Geldstrafen von bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes des Unternehmens vorgesehen. Bei besonders gravierenden Verstößen können die Strafen sogar auf bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes ansteigen. In beiden Fällen wird der jeweils höhere Betrag angewendet.

Umsetzung der NIS2-Richtlinie mit BREKOM

Die meisten mittelständischen Unternehmen haben weder das Know-how noch die Expertise, um die Anforderungen der NIS2-Richtlinie pünktlich und korrekt zu implementieren. BREKOM hat sich auf die IT-Security für mittelständische Produktionsunternehmen spezialisiert. Wir bieten zeit- und budgetschonende Lösungen für Ihre NIS2-Konformität.

Cybersecurity

Beitrag teilen:

Inhalt

Das könnte Sie auch interessieren:

Jetzt anmelden
und auf dem Laufenden bleiben!

FĂĽr den Versand unserer Newsletter nutzen wir rapidmail. Mit Ihrer Anmeldung stimmen Sie zu, dass die eingegebenen Daten an rapidmail ĂĽbermittelt werden. Beachten Sie bitte auch die AGB und Datenschutzbestimmungen.