Klare Verantwortlichkeiten
Strafen bei Nichteinhaltung
Was ist NIS2?
Was steckt hinter der NIS2-Richtlinie?
Die Network and Information Security Richtlinie 2 (kurz NIS2) der Europäischen Union verpflichtet ihre Mitgliedsstaaten zur Umsetzung verbindlicher Sicherheitsmaßnahmen und Meldepflichten für Unternehmen in 18 kritischen Sektoren. Die Richtlinie ersetzt die NIS Richtlinie von 2016 und verfolgt das Ziel, das allgemeine Niveau der Cybersicherheit innerhalb der Europäischen Union zu verbessern.
Im Vergleich zur Vorgängerrichtlinie erweitert NIS2 den Kreis der betroffenen Unternehmen und verschärft die Pflichten sowie die behördliche Aufsicht. Unternehmen sind fortan dazu verpflichtet, einen umfassenden Ansatz zur Sicherheit ihrer Netz- und Informationssysteme zu verfolgen. Nichteinhaltung der NIS2-Richtlinie kann zu erheblichen Geldstrafen führen. Dabei können Mitglieder der Geschäftsführung persönlich haften.
Wann tritt NIS2 in Kraft?
Die NIS2-Richtlinie (EU) 2022/2555 wurde bereits 2023 durch die Europäische Union verabschiedet und legt einen Mindeststandard fest, den alle EU-Staaten einhalten müssen. Bis zum 17. Oktober 2024 soll sie in nationales Recht – in Deutschland ins NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – übersetzt werden.
Im Laufe des Jahres 2023 wurden bereits zwei Referentenentwürfe und ein Diskussionspapier zum NIS2UmsuCG veröffentlicht.
Diese Sektoren sind von NIS2 betroffen
Der Geltungsbereich der NIS2-Richtlinie umfasst öffentliche und private Organisationen in 18 spezifischen Branchen, die entweder ihre Dienste innerhalb der Europäischen Union anbieten oder dort aktiv sind, und gewisse Schwellwerte überschreiten. Hinzu kommen einige Sonderfälle, die trotz der genannten Kriterien gelten können.
Die relevanten Schwellwerte für Unternehmen in “Sektoren mit hoher Kritikalität” sind 250 Mitarbeitende oder mehr als 50 Millionen Euro Jahresumsatz oder 43 Millionen Euro Jahresbilanzsumme oder Betreiber kritischer Infrastrukturen (KRITIS). Die Schwellwerte für Unternehmen in sonstigen kritischen Sektoren liegen bei 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz oder 10 Millionen Euro Jahresbilanzsumme.
Sektoren mit hoher Kritikalität
Energie
Elektrizität, Fernwärme und Kälte, Erdöl, Erdgas, Wasserstoff
Verkehr
Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
Bankwesen
Banken, Kreditinstitute
Finanzmarktinfrastrukturen
Betreiber von Handelsplätzen, zentrale Gegenparteien
Gesundheitswesen
Gesundheitsdienstleister, EU-Referenzlaboratorien, Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben, Einrichtungen, die bestimmte pharmazeutische Erzeugnisse herstellen, Einrichtungen, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen
Trinkwasser
Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“, außer Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist.
Abwasser
Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln, außer Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist.
Digitale Infrastruktur
Betreiber von Internet-Knoten, DNS-Dienstanbieter, ausgenommen Betreiber von Root-Namenservern, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze, Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste.
Verwaltung von IKT-Diensten (B2B)
Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste.
Öffentliche Verwaltung
Einrichtungen der öffentlichen Verwaltung von Zentralregierungen entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht, Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht.
Weltraum
Betreiber von Bodeninfrastrukturen, die sich im Eigentum von EU-Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen, außer Anbieter öffentlicher elektronischer Kommunikationsnetze.
Sonstige kritische Sektoren
Post- und Kurierdienste
Anbieter von Postdiensten, einschließlich Anbieter von Kurierdiensten.
Abfallwirtschaftung
Unternehmen der Abfallbewirtschaftung, ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist.
Produktion, Herstellung und Handel mit chemischen Stoffen
Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln, Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren.
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind.
Verarbeitendes Gewerbe/Herstellung von Waren
Herstellung von Medizinprodukten und In-vitro-Diagnostika, Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Herstellung von elektrischen Ausrüstungen, Maschinenbau, Herstellung von Kraftwagen und Kraftwagenteilen, sonstiger Fahrzeugbau.
Anbieter digitaler Dienste
Anbieter von Online-Marktplätzen, Anbieter von Online-Suchmaschinen, Anbieter von Plattformen für Dienste sozialer Netzwerke.
Forschung
Forschungseinrichtungen
Welche Maßnahmen müssen Unternehmen umsetzen?
Um den Anforderungen der NIS2-Richtlinie gerecht zu werden und die Sicherheit Ihrer Netz- und Informationssysteme zu gewährleisten, sind verschiedene Cybersecurity-Maßnahmen notwendig. Dazu gehören die Implementierung von Konzepten für Risikoanalysen und Sicherheit, die Gewährleistung der Betriebskontinuität und die Wiederherstellung nach einem Notfall sowie die Entwicklung eines Incident-Response-Plans zur raschen Bewältigung von Sicherheitsvorfällen.
Des Weiteren sind Schulungen zur Cyberhygiene, die Einführung von Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung und Sicherheitsmaßnahmen für die Lieferkette von großer Bedeutung. Die genauen Schritte sollten nach einem risikobasierten Ansatz festgelegt werden, um angemessene Sicherheitsstandards zu erreichen.
Die wichtigsten Maßnahmen auf einen Blick
Konzepte für die Risikoanalyse und Sicherheit für Informationssysteme
Aufrechterhaltung des Betriebs und Wiederherstellung nach einem Notfall
Incident-Response-Plan zur schnellen Bewältigung von Sicherheitsvorfällen
Cyberhygiene und Schulungen zur Cybersicherheit
Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
Sicherheit der Lieferkette: Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz-Informationssystemen
Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
Personalsicherheit, Zugriffskontrolle und Anlagenmanagement
Rolle der Geschäftsführung
Mitglieder der Geschäftsführung können persönlich haften
Gemäß Artikel 20 der NIS2-Richtlinie liegt es in der Verantwortung der Geschäftsführung, die Umsetzung von Cybersicherheitsmaßnahmen im eigenen Unternehmen zu überwachen.
Ihre Mitglieder können persönlich für Verstöße gegen die NIS2-Richtlinie haften und sind dazu verpflichtet, an Schulungen teilzunehmen und diese auch den Mitarbeitenden anzubieten. Die aktive Beteiligung der Geschäftsführung ist entscheidend, um die Umsetzung zu gewährleisten und das Bewusstsein für Sicherheitspraktiken im gesamten Unternehmen zu fördern.
Umgang mit Sicherheitsvorfällen
NIS2-konformer Umgang mit Sicherheitsvorfällen
Gemäß Artikel 23 der NIS2-Richtlinie sind Unternehmen dazu verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich zu melden. Die Richtlinie legt dabei klare Fristen fest, um den Vorfall den zuständigen Behörden weiterzuleiten. Innerhalb von 24 Stunden nach Kenntnisnahme muss eine Frühwarnung erfolgen, die den Verdacht auf rechtswidrige oder böswillige Handlungen sowie grenzüberschreitende Auswirkungen umfasst.
Darüber hinaus muss ein ausführlicher Bericht innerhalb von 72 Stunden vorliegen, der eine erste Bewertung des Vorfalls mit Schweregrad, Auswirkungen und Kompromittierungsindikatoren enthält. Ein abschließender Bericht mit detaillierter Beschreibung, Ursachen, Abhilfemaßnahmen und eventuellen grenzüberschreitenden Auswirkungen muss einen Monat nach der Meldung erfolgen.
Ein schneller und präziser Umgang mit Sicherheitsvorfällen ist entscheidend, um die Auswirkungen zu minimieren und die Cybersicherheit zu stärken.
Folgen bei Missachtung
Folgen bei Verstößen
Bei Nichteinhaltung der NIS2-Richtlinie drohen Unternehmen erhebliche finanzielle Konsequenzen. Gemäß den Bestimmungen können Geldstrafen verhängt werden, die entweder einem Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr entsprechen – je nachdem, welcher Betrag höher ist. Für Unternehmen, die von den Behörden als weniger wesentlich eingestuft werden, beträgt der Höchstbetrag mindestens 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes im vorigen Jahr.
Den EU-Mitgliedsstaaten steht es frei, in ihrer nationalen Gesetzgebung strenger zu sein als in der NIS2-Richtlinie vorgesehen. Es ist daher für alle Unternehmen unerlässlich, die Vorgaben des NIS2UmsuCG genau zu befolgen, um potenzielle finanzielle Schäden zu vermeiden.
Lösungen
Unsere Lösungen zur Umsetzung der NIS2-Richtlinie
ISMS Consulting (ISO/IEC 27001:2022)
Mit unserer Unterstützung können Sie Ihr ISMS definieren, steuern und kontinuierlich verbessern, um die Sicherheit Ihrer sensiblen Informationen und Daten zu gewährleisten.
Mehr zu ISMS
Business Continuity Management
Entwickeln Sie mit uns gemeinsam individuelle und ganzheitliche Strategien zur Betriebskontinuität in unvorhersehbaren Szenarien.
Mehr erfahren zu BCM
Notfall- und Krisenmanagement
Wir bereiten Sie und Ihr Unternehmen oder Ihre Organisation gezielt und effektiv auf den Ernstfall vor, um Schäden zu minimieren und schnellstmöglich zur Normalität zurückzukehren.
Incident Response
Eine schnelle und gute Reaktion auf Incidents ist für jede Organisation unerlässlich – durch die neuen Richtlinien zu Meldepflicht und Haftung wird sie nun noch wichtiger.
Endpoint Detection and Response (EDR) und Extended Detection & Response (XDR)
Steigern Sie Ihre Sicherheit mit Echtzeit-Anomalie-Erkennung, forensischer Analyse und erweiterter Bedrohungsübersicht durch die Kombination von Datensammlung und Sicherheitsdaten.
Backup-Management und Wiederherstellung
Gewährleisten Sie die Sicherheit Ihrer Daten durch effektive Sicherheitsmaßnahmen, um im Notfall einen nahtlosen Betriebsablauf zu gewährleisten und potenzielle Ausfallzeiten zu minimieren.
Pentesting
Identifizieren und beheben Sie Sicherheitslücken in ihrem Unternehmen durch gezielte Penetrationstests, um Ihr System zu stärken.
Red Teaming
Durch unsere tiefgehenden Analysen und maßgeschneiderten Angriffsszenarien identifizieren wir Schwachstellen in Ihren Systemen, bewerten das Risikopotenzial und bieten umfassende Lösungsansätze.
Identity and Access Management (IAM)
Schützen Sie Ihre Infrastrukturen und Systeme durch modernstes Identity and Access Management.
Next Generation Firewalls
Moderne Infrastrukturen benötigen modernen Schutz. Mit unserem Angebot an Next Generation Firewalls schützen Sie sich effektiv vor Cyberkriminalität.
Security Awareness
Halten Sie Ihr Team auf dem neuesten Stand in Sachen Cyber Security und reduzieren Sie so die Wahrscheinlichkeit menschlicher Fehler.
SIEM
Implementieren Sie ein leistungsstarkes SIEM (Security Information and Event Management) zur Echtzeitüberwachung und Analyse von Sicherheitsereignissen.
SOAR
Nutzen Sie eine SOAR-Plattform (Security Orchestration, Automation and Response) zur Automatisierung von Sicherheitsvorfällen, um bessere Workflows zu ermöglichen.
Cloud Security
Security-Standards in der Cloud gewährleisten eine konsistente und robuste Sicherheitsinfrastruktur für Ihre Daten und Anwendungen in der Cloud-Umgebung.
OT Security
Neben der IT müssen auch vernetzte Fabriken berücksichtigt werden. Erkennen Sie Bedrohungen Ihrer OT-Umgebung frühzeitig, um diese zu unterbinden und Ihr Unternehmen zu schützen.
Governance & Compliance
Stellen Sie die vollständige Einhaltung der NIS2-Richtlinie durch ein effektives Governance- und Compliance-Framework in Ihrem Unternehmen sicher.
Managed SOC
Bedrohungen zu erkennen ist erst der Anfang. Mit unserem Managed SOC Service steht Ihnen 24/7 ein hochspezialisiertes Team zur Seite, das Ihre IT-Infrastruktur überwacht und Sicherheitsbedrohungen abwehrt.
Die wichtigsten Fragen auf einen Blick
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie ist eine EU-weite Vorschrift zur Erhöhung der Cybersicherheit. Sie legt verbindliche Sicherheitsmaßnahmen und Meldepflichten für Unternehmen in verschiedenen Sektoren fest.
Wer ist von der NIS2-Richtlinie betroffen?
Welche Maßnahmen müssen Unternehmen umsetzen?
Was passiert bei Verstößen gegen die NIS2-Richtlinie?
Wann tritt die NIS2-Richtlinie in Kraft?
Wo finde ich weitere Informationen zur NIS2-Richtlinie?
Welche Sektoren sind in der NIS2-Richtlinie als kritisch definiert?
Was sind die Hauptziele der NIS2-Richtlinie?
Gibt es Ausnahmen oder Sonderregelungen für bestimmte Unternehmen?
Wie können Unternehmen sicherstellen, dass sie die Anforderungen der NIS2-Richtlinie erfüllen?
Welche Rolle spielen Schulungen in Bezug auf die NIS2-Richtlinie?
Was sind die wichtigsten Unterschiede zur Vorgängerversion?
NIS2-Richtlinie: Alle Blog-Artikel im Überblick
Unsere aktuellen Beiträge zu NIS2, deren Umsetzung und ihre Auswirkungen
Wir navigieren Sie sicher durch NIS2
Sprechen Sie mit unseren Experts
Sie benötigen Unterstützung bei der Umsetzung der NIS2-Richtlinie? Von der Geschäftsführung bis zur operativen Umsetzung in IT, OT und IoT müssen alle wissen, was zu tun ist. Wir zeigen Ihnen, wie NIS2 Ihren Sektor betrifft und was das für Sie bedeutet.
Gemeinsam decken wir potenzielle Schwachstellen auf und bewerten die möglichen Konsequenzen, um darauf basierend gezielte Maßnahmen zu ergreifen. Sind potenzielle Schwachstellen entdeckt, können sie beseitigt werden. Wir kümmern uns um den notwendigen Schutz und entwickeln individuelle Lösungen. Vereinbaren Sie noch heute Ihr kostenloses Erstgespräch, um die NIS2-Richtlinie bereits zeitnah in Ihrem Unternehmen umzusetzen.
Cybersecurity ist nicht Ihr Kerngeschäft? Unseres schon.
Die Anforderungen und Strafen sind hoch, die Meldefristen kurz. Deswegen ist es umso wichtiger für Sie, einen effektiven und effizienten Partner an Ihrer Seite zu haben. Von der Erstberatung über Technologieimplementierung bis hin zum Management Ihrer Sicherheitslösungen: Wir sind für Sie da. Seit 32 Jahren.