Willkommen bei Ab in die Cloud

NIS-2 Richtlinie – Alles, was Sie wissen müssen

Erfahren Sie hier alle wichtigen Informationen zur Richtline. Für wen gilt sie? Was muss erfüllt werden? Welche Konsequenzen drohen bei Nichteinhaltung?

Termin buchen

Worum geht es dabei?

Die NIS-2-Richtlinie

Die NIS-2-Richtlinie (Network and Information Security) wurde am 27.12.2022 vom Rat der EU angenommen und im Amtsblatt L333 der EU veröffentlicht. Die Richtlinie hat zum Ziel, ein einheitliches Sicherheitsniveau für Netzwerke und Informationssysteme kritischer und sensibler Infrastrukturen zu schaffen. Ab der Veröffentlichung haben die Mitgliedstaaten 21 Monate Zeit, diese Vorgaben in nationales Recht umzusetzen. Die wichtige Deadline für Unternehmen, Behörden und Verwaltungen ist der Oktober 2024.

Reagiere daher noch heute! Wenn du eine IST-Analyse, sowie eine Lösung und Umsetzung zur NIS-2-Richtlinie suchst, kontaktiere Ab in die Cloud jetzt.

Kontakt aufnehmen

Wichtige Hinweise für Unternehmen und leitende Angestellte

Gemäß der NIS-2-Richtlinie Artikel 32 Absatz 6 sowie Artikel 33 Absatz 5 können leitende Angestellte und Verantwortliche für Verstöße haftbar gemacht werden. Diese Verantwortung sollte von Unternehmen und deren Führungskräften ernst genommen werden, um rechtlichen Konsequenzen vorzubeugen.

Welche Strafen drohen?

Verstöße gegen die NIS-2-Richtlinie werden gemäß nationaler Vorschriften mit erheblichen Bußgeldern geahndet. Diese können in die Millionen gehen, abhängig von der Einstufung der Einrichtung (wesentliche oder wichtige Einrichtung) und dem Jahresumsatz des Unternehmens.

Wesentliche Einrichtungen

Bußgelder von mindestens 10.000.000 € oder 2 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.

Wichtige Einrichtungen

Bußgelder von mindestens 7.000.000 € oder 1,4 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.

Wer ist von der NIS-2-Richtlinie betroffen?

KRITIS-Branchen gemäß Anhang I der NIS-2 Richtlinie

Die folgenden Sektoren gelten als wesentliche Einrichtungen und müssen die NIS-2-Richtlinie ab Oktober 2024 umsetzen:

Energie

Verkehr

Bankwesen
Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser
Abwasser (neu)
Digitale Infrastruktur
ICT-Service Management B2B (neu)
Öffentliche Verwaltung (neu)
Weltraum (neu)

Sonstige kritische Sektoren gemäß Anhang II der NIS-2 Richtlinie

Diese Sektoren, als wichtige Einrichtungen bezeichnet, sind ebenfalls von der NIS-2-Richtlinie betroffen:

Post- und Kurierdienste (neu)

Abfallbewirtschaftung (neu)

Produktion und Handel mit chemischen Stoffen (neu)
Lebensmittelproduktion und -vertrieb (neu)
Verarbeitendes Gewerbe (neu)
Herstellung von Medizinprodukten
Herstellung von Datenverarbeitungsgeräten und elektronischen Erzeugnissen
Maschinenbau und Fahrzeugbau
Anbieter digitaler Dienste
Forschung (neu, fakultativ)

Welche Unternehmensgrößen sind betroffen?

Unternehmen, die mehr als 50 Mitarbeiter haben oder einen Jahresumsatz von mehr als 10 Mio. Euro erzielen, müssen die Anforderungen der NIS-2-Richtlinie umsetzen.
Kleinstunternehmen und Kleinunternehmen sind in der Regel von dieser Regelung ausgenommen.

Allerdings gibt es eine wichtige Ausnahme: Wenn Kleinstunternehmen oder Kleinunternehmen als Teil der Lieferkette für ein NIS-2-relevantes Unternehmen tätig sind, gelten auch für sie die Vorgaben der NIS-2-Richtlinie im Zusammenhang mit dem Lieferkettenmanagement. In diesem Fall müssen sie die Sicherheitsanforderungen ebenfalls erfüllen, um die Sicherheit und Integrität der gesamten Lieferkette zu gewährleisten.

Inhalte der Richtlinie

Welche Maßnahmen und Pflichten umfasst die NIS-2-Richtlinie?

Cybersecurity-Maßnahmen

Gemäß Artikel 21 der NIS-2-Richtlinie müssen Unternehmen eine Reihe von technischen, organisatorischen und operativen Maßnahmen ergreifen, um ihre Netzwerke und Informationssysteme zu schützen. Dazu gehören:

  • Erstellung von Risikoanalysen und Sicherheitskonzepten
  • Maßnahmen zur Bewältigung von Sicherheitsvorfällen
  • Backup-Management und Notfallwiederherstellungspläne
  • Zugriffskontrollkonzepte
  • Verwendung von Multi-Faktor-Authentifizierung und gesicherter Kommunikation

Berichts- und Meldepflichten

Gemäß Artikel 23 müssen Sicherheitsvorfälle innerhalb bestimmter Fristen gemeldet werden:

  • Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme eines Vorfalls
  • Meldung des Vorfalls innerhalb von 72 Stunden, einschließlich einer ersten Bewertung und Kompromittierungsindikatoren
  • Abschlussbericht spätestens einen Monat nach der Meldung

WIe können Sie sich schützen?

Aufsichts- und Durchsetzungsmaßnahmen

Die NIS-2-Richtlinie sieht strenge Aufsichts- und Durchsetzungsmaßnahmen vor, die regelmäßig oder ad-hoc durchgeführt werden können. Dazu gehören:

  • Sicherheitsprüfungen und Scans
  • Ersuchen um Informationen und Zugang zu Beweismitteln
  • Ad-hoc Prüfungen ohne vorherige Ankündigung (bei wesentlichen Einrichtungen)

Für die Sicherheitsprüfungen müssen Unternehmen die Kosten tragen, und es können verbindliche Anweisungen zur Optimierung der Cybersicherheit ausgesprochen werden. Bei Verstößen drohen Bußgelder oder weitere Sanktionen gemäß den Artikeln 32 und 33 der NIS-2-Richtlinie.

Wie bereiten Sie sich auf die NIS-2-Richtlinie vor?

Die NIS-2-Richtlinie betrifft eine Vielzahl von Unternehmen in verschiedenen Sektoren. Es ist wichtig, dass Sie jetzt handeln, um Sicherheitslücken zu schließen und die rechtlichen Anforderungen zu erfüllen. Ab in die Cloud bietet Ihnen eine umfassende Unterstützung – von der IST-Analyse über die Umsetzung bis zur regelmäßigen Überprüfung.

Kontaktieren Sie uns noch heute und sichern Sie sich Ihre NIS-2 Compliance.

Termin buchen

Quellenverweise:

  • Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Cybersicherheitsniveaus in der Union.
  • Empfehlung der Kommission vom 20.05.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen 2002/361/EG.