NIS2

Wir helfen Unternehmen dabei, die EU-Richtlinie umzusetzen

Verbesserte Cybersicherheit & Resilienz

Klare Verantwortlichkeiten

Strafen bei Nichteinhaltung

Was ist NIS2?

Was steckt hinter der NIS2-Richtlinie?

Die Network and Information Security Richtlinie 2 (kurz NIS2) der Europäischen Union verpflichtet ihre Mitgliedsstaaten zur Umsetzung verbindlicher Sicherheitsmaßnahmen und Meldepflichten für Unternehmen in 18 kritischen Sektoren. Die Richtlinie ersetzt die NIS Richtlinie von 2016 und verfolgt das Ziel, das allgemeine Niveau der Cybersicherheit innerhalb der Europäischen Union zu verbessern. 

Im Vergleich zur Vorgängerrichtlinie erweitert NIS2 den Kreis der betroffenen Unternehmen und verschärft die Pflichten sowie die behördliche Aufsicht. Unternehmen sind fortan dazu verpflichtet, einen umfassenden Ansatz zur Sicherheit ihrer Netz- und Informationssysteme zu verfolgen. Nichteinhaltung der NIS2-Richtlinie kann zu erheblichen Geldstrafen führen. Dabei können Mitglieder der Geschäftsführung persönlich haften. 

Wann tritt NIS2 in Kraft?

Die NIS2-Richtlinie (EU) 2022/2555 wurde bereits 2023 durch die Europäische Union verabschiedet und legt einen Mindeststandard fest, den alle EU-Staaten einhalten müssen. Bis zum 17. Oktober 2024 soll sie in nationales Recht – in Deutschland ins NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – übersetzt werden. 

Im Laufe des Jahres 2023 wurden bereits zwei Referentenentwürfe und ein Diskussionspapier zum NIS2UmsuCG veröffentlicht. 

Diese Sektoren sind von NIS2 betroffen

Der Geltungsbereich der NIS2-Richtlinie umfasst öffentliche und private Organisationen in 18 spezifischen Branchen, die entweder ihre Dienste innerhalb der Europäischen Union anbieten oder dort aktiv sind, und gewisse Schwellwerte überschreiten. Hinzu kommen einige Sonderfälle, die trotz der genannten Kriterien gelten können.  

Die relevanten Schwellwerte für Unternehmen in “Sektoren mit hoher Kritikalität” sind 250 Mitarbeitende oder mehr als 50 Millionen Euro Jahresumsatz oder 43 Millionen Euro Jahresbilanzsumme oder Betreiber kritischer Infrastrukturen (KRITIS). Die Schwellwerte für Unternehmen in sonstigen kritischen Sektoren liegen bei 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz oder 10 Millionen Euro Jahresbilanzsumme.

Sektoren mit hoher Kritikalität

Energie

Elektrizität, Fernwärme und Kälte, Erdöl, Erdgas, Wasserstoff

Verkehr

Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr 

Bankwesen

Banken, Kreditinstitute  

Finanzmarktinfrastrukturen

Betreiber von Handelsplätzen, zentrale Gegenparteien 

Gesundheitswesen

Gesundheitsdienstleister, EU-Referenzlaboratorien, Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben, Einrichtungen, die bestimmte pharmazeutische Erzeugnisse herstellen, Einrichtungen, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen 

Trinkwasser

Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“, außer Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist. 

Abwasser

Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln, außer Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist.

Digitale Infrastruktur

Betreiber von Internet-Knoten, DNS-Dienstanbieter, ausgenommen Betreiber von Root-Namenservern, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze, Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste. 

Verwaltung von IKT-Diensten (B2B)

Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste. 

Öffentliche Verwaltung

Einrichtungen der öffentlichen Verwaltung von Zentralregierungen entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht, Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht. 

Weltraum

Betreiber von Bodeninfrastrukturen, die sich im Eigentum von EU-Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen, außer Anbieter öffentlicher elektronischer Kommunikationsnetze.

Sonstige kritische Sektoren

Post- und Kurierdienste

Anbieter von Postdiensten, einschließlich Anbieter von Kurierdiensten. 

Abfallwirtschaftung

Unternehmen der Abfallbewirtschaftung, ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist.

Produktion, Herstellung und Handel mit chemischen Stoffen

Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln, Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren. 

Produktion, Verarbeitung und Vertrieb von Lebensmitteln

Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind.

Verarbeitendes Gewerbe/Herstellung von Waren

Herstellung von Medizinprodukten und In-vitro-Diagnostika, Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Herstellung von elektrischen Ausrüstungen, Maschinenbau, Herstellung von Kraftwagen und Kraftwagenteilen, sonstiger Fahrzeugbau. 

Anbieter digitaler Dienste

Anbieter von Online-Marktplätzen, Anbieter von Online-Suchmaschinen, Anbieter von Plattformen für Dienste sozialer Netzwerke.

Forschung

Forschungseinrichtungen

Welche Maßnahmen müssen Unternehmen umsetzen?

Um den Anforderungen der NIS2-Richtlinie gerecht zu werden und die Sicherheit Ihrer Netz- und Informationssysteme zu gewährleisten, sind verschiedene Cybersecurity-Maßnahmen notwendig. Dazu gehören die Implementierung von Konzepten für Risikoanalysen und Sicherheit, die Gewährleistung der Betriebskontinuität und die Wiederherstellung nach einem Notfall sowie die Entwicklung eines Incident-Response-Plans zur raschen Bewältigung von Sicherheitsvorfällen. 

Des Weiteren sind Schulungen zur Cyberhygiene, die Einführung von Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung und Sicherheitsmaßnahmen für die Lieferkette von großer Bedeutung. Die genauen Schritte sollten nach einem risikobasierten Ansatz festgelegt werden, um angemessene Sicherheitsstandards zu erreichen. 

Die wichtigsten Maßnahmen auf einen Blick

Konzepte für die Risikoanalyse und Sicherheit für Informationssysteme

Aufrechterhaltung des Betriebs und Wiederherstellung nach einem Notfall

Incident-Response-Plan zur schnellen Bewältigung von Sicherheitsvorfällen

Cyberhygiene und Schulungen zur Cybersicherheit

Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung

Sicherheit der Lieferkette: Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz-Informationssystemen

Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung

Personalsicherheit, Zugriffskontrolle und Anlagenmanagement

Jetzt kostenlos von unseren Experts beraten lassen

Rolle der Geschäftsführung

Mitglieder der Geschäftsführung können persönlich haften

Gemäß Artikel 20 der NIS2-Richtlinie liegt es in der Verantwortung der Geschäftsführung, die Umsetzung von Cybersicherheitsmaßnahmen im eigenen Unternehmen zu überwachen. 

Ihre Mitglieder können persönlich für Verstöße gegen die NIS2-Richtlinie haften und sind dazu verpflichtet, an Schulungen teilzunehmen und diese auch den Mitarbeitenden anzubieten. Die aktive Beteiligung der Geschäftsführung ist entscheidend, um die Umsetzung zu gewährleisten und das Bewusstsein für Sicherheitspraktiken im gesamten Unternehmen zu fördern.

Umgang mit Sicherheitsvorfällen

NIS2-konformer Umgang mit Sicherheitsvorfällen

Gemäß Artikel 23 der NIS2-Richtlinie sind Unternehmen dazu verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich zu melden. Die Richtlinie legt dabei klare Fristen fest, um  den Vorfall den zuständigen Behörden weiterzuleiten. Innerhalb von 24 Stunden nach Kenntnisnahme muss eine Frühwarnung erfolgen, die den Verdacht auf rechtswidrige oder böswillige Handlungen sowie grenzüberschreitende Auswirkungen umfasst.

Darüber hinaus muss ein ausführlicher Bericht innerhalb von 72 Stunden vorliegen, der eine erste Bewertung des Vorfalls mit Schweregrad, Auswirkungen und Kompromittierungsindikatoren enthält. Ein abschließender Bericht mit detaillierter Beschreibung, Ursachen, Abhilfemaßnahmen und eventuellen grenzüberschreitenden Auswirkungen muss einen Monat nach der Meldung erfolgen.  
Ein schneller und präziser Umgang mit Sicherheitsvorfällen ist entscheidend, um die Auswirkungen zu minimieren und die Cybersicherheit zu stärken. 

 

 

Folgen bei Missachtung

Folgen bei Verstößen

Bei Nichteinhaltung der NIS2-Richtlinie drohen Unternehmen erhebliche finanzielle Konsequenzen. Gemäß den Bestimmungen können Geldstrafen verhängt werden, die entweder einem Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr entsprechen – je nachdem, welcher Betrag höher ist. Für Unternehmen, die von den Behörden als weniger wesentlich eingestuft werden, beträgt der Höchstbetrag mindestens 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes im vorigen Jahr.

Den EU-Mitgliedsstaaten steht es frei, in ihrer nationalen Gesetzgebung strenger zu sein als in der NIS2-Richtlinie vorgesehen. Es ist daher für alle Unternehmen unerlässlich, die Vorgaben des NIS2UmsuCG genau zu befolgen, um potenzielle finanzielle Schäden zu vermeiden. 

Jetzt kostenlos beraten lassen

Lösungen

Unsere Lösungen zur Umsetzung der NIS2-Richtlinie

ISMS Consulting (ISO/IEC 27001:2022)

Mit unserer Unterstützung können Sie Ihr ISMS definieren, steuern und kontinuierlich verbessern, um die Sicherheit Ihrer sensiblen Informationen und Daten zu gewährleisten.
Mehr zu ISMS

Business Continuity Management

Entwickeln Sie mit uns gemeinsam individuelle und ganzheitliche Strategien zur Betriebskontinuität in unvorhersehbaren Szenarien. 
Mehr erfahren zu BCM

Notfall- und Krisenmanagement

Wir bereiten Sie und Ihr Unternehmen oder Ihre Organisation gezielt und effektiv auf den Ernstfall vor, um Schäden zu minimieren und schnellstmöglich zur Normalität zurückzukehren.

Mehr zum Krisenmanagement

Incident Response

Eine schnelle und gute Reaktion auf Incidents ist für jede Organisation unerlässlich – durch die neuen Richtlinien zu Meldepflicht und Haftung wird sie nun noch wichtiger.

Mehr zu Incident Response

Endpoint Detection and Response (EDR) und Extended Detection & Response (XDR)

Steigern Sie Ihre Sicherheit mit Echtzeit-Anomalie-Erkennung, forensischer Analyse und erweiterter Bedrohungsübersicht durch die Kombination von Datensammlung und Sicherheitsdaten.

Mehr zu EDR und XDR

Backup-Management und Wiederherstellung

Gewährleisten Sie die Sicherheit Ihrer Daten durch effektive Sicherheitsmaßnahmen, um im Notfall einen nahtlosen Betriebsablauf zu gewährleisten und potenzielle Ausfallzeiten zu minimieren.

Mehr zu Backup & Availability

Pentesting

Identifizieren und beheben Sie Sicherheitslücken in ihrem Unternehmen durch gezielte Penetrationstests, um Ihr System zu stärken.

Mehr zu Pentesting

Red Teaming

Durch unsere tiefgehenden Analysen und maßgeschneiderten Angriffsszenarien identifizieren wir Schwachstellen in Ihren Systemen, bewerten das Risikopotenzial und bieten umfassende Lösungsansätze.

Mehr zu Red Teaming

Identity and Access Management (IAM)

Schützen Sie Ihre Infrastrukturen und Systeme durch modernstes Identity and Access Management.

Mehr zu IAM

Next Generation Firewalls

Moderne Infrastrukturen benötigen modernen Schutz. Mit unserem Angebot an Next Generation Firewalls schützen Sie sich effektiv vor Cyberkriminalität.

Mehr zu Next Gen Firewalls

Security Awareness

Halten Sie Ihr Team auf dem neuesten Stand in Sachen Cyber Security und reduzieren Sie so die Wahrscheinlichkeit menschlicher Fehler.

Mehr zu Security Awareness

SIEM

Implementieren Sie ein leistungsstarkes SIEM (Security Information and Event Management) zur Echtzeitüberwachung und Analyse von Sicherheitsereignissen.

Mehr zu SIEM

SOAR

Nutzen Sie eine SOAR-Plattform (Security Orchestration, Automation and Response) zur Automatisierung von Sicherheitsvorfällen, um bessere Workflows zu ermöglichen.

Mehr zu SOAR

Cloud Security

Security-Standards in der Cloud gewährleisten eine konsistente und robuste Sicherheitsinfrastruktur für Ihre Daten und Anwendungen in der Cloud-Umgebung.

Mehr zu Cloud Security

OT Security

Neben der IT müssen auch vernetzte Fabriken berücksichtigt werden. Erkennen Sie Bedrohungen Ihrer OT-Umgebung frühzeitig, um diese zu unterbinden und Ihr Unternehmen zu schützen.

Mehr zu OT Security

Governance & Compliance

Stellen Sie die vollständige Einhaltung der NIS2-Richtlinie durch ein effektives Governance- und Compliance-Framework in Ihrem Unternehmen sicher.

Mehr zu Governance & Compliance

Managed SOC

Bedrohungen zu erkennen ist erst der Anfang. Mit unserem Managed SOC Service steht Ihnen 24/7 ein hochspezialisiertes Team zur Seite, das Ihre IT-Infrastruktur überwacht und Sicherheitsbedrohungen abwehrt.

Mehr zu Managed SOC

Die wichtigsten Fragen auf einen Blick

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist eine EU-weite Vorschrift zur Erhöhung der Cybersicherheit. Sie legt verbindliche Sicherheitsmaßnahmen und Meldepflichten für Unternehmen in verschiedenen Sektoren fest. 

Wer ist von der NIS2-Richtlinie betroffen?

Welche Maßnahmen müssen Unternehmen umsetzen?

Was passiert bei Verstößen gegen die NIS2-Richtlinie?

Wann tritt die NIS2-Richtlinie in Kraft?

Wo finde ich weitere Informationen zur NIS2-Richtlinie?

Welche Sektoren sind in der NIS2-Richtlinie als kritisch definiert?

Was sind die Hauptziele der NIS2-Richtlinie?

Gibt es Ausnahmen oder Sonderregelungen für bestimmte Unternehmen?

Wie können Unternehmen sicherstellen, dass sie die Anforderungen der NIS2-Richtlinie erfüllen?

Welche Rolle spielen Schulungen in Bezug auf die NIS2-Richtlinie?

Was sind die wichtigsten Unterschiede zur Vorgängerversion?

Wir konnten Ihre Frage nicht beantworten?

Dann füllen Sie einfach unser Kontakformular aus. Einer unserer Experts wird sich zeitnah bei Ihnen melden. Alternativ erreichen Sie uns jederzeit telefonisch unter der +49 2203 922631.

Wir navigieren Sie sicher durch NIS2

Sprechen Sie mit unseren Experts

Sie benötigen Unterstützung bei der Umsetzung der NIS2-Richtlinie? Von der Geschäftsführung bis zur operativen Umsetzung in IT, OT und IoT müssen alle wissen, was zu tun ist. Wir zeigen Ihnen, wie NIS2 Ihren Sektor betrifft und was das für Sie bedeutet. 

Gemeinsam decken wir potenzielle Schwachstellen auf und bewerten die möglichen Konsequenzen, um darauf basierend gezielte Maßnahmen zu ergreifen. Sind potenzielle Schwachstellen entdeckt, können sie beseitigt werden. Wir kümmern uns um den notwendigen Schutz und entwickeln individuelle Lösungen. Vereinbaren Sie noch heute Ihr kostenloses Erstgespräch, um die NIS2-Richtlinie bereits zeitnah in Ihrem Unternehmen umzusetzen. 

Cybersecurity ist nicht Ihr Kerngeschäft? Unseres schon. 

Die Anforderungen und Strafen sind hoch, die Meldefristen kurz. Deswegen ist es umso wichtiger für Sie, einen effektiven und effizienten Partner an Ihrer Seite zu haben. Von der Erstberatung über Technologieimplementierung bis hin zum Management Ihrer Sicherheitslösungen: Wir sind für Sie da. Seit 32 Jahren. 

Home | Branchen & Themen | NIS2