NIS-2-Richtlinie

Hintergrund NIS-2-Richtlinie

Die NIS-2-Richtlinie (The Network and Information Security Directive) ist am 16.01.2023 in Kraft getreten, Diese EU-Richtlinie regelt die Netzwerk- und Informationssicherheit in Unternehmen und Institutionen. Ziel der Richtlinie ist es, die Cybersicherheitsfanforderungen und auch Sanktionen bei Verstößen in der Europäischen Union zu vereinheitlichen. Die Richtlinie verpflichtet Unternehmen und Institutionen sich mit dem Thema Cyber-Sicherheit und Cyber-Risikomanagement auseinanderzusetzen.

In Deutschland wird die Richtlinie durch das NIS-2Umsetzungs und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) umgesetzt.

Ausweitung des Geltungsbereichs

Die NIS-2-Richtlinie weitet den Geltungsbereich der betroffenen Unternehmen massiv aus. Unterschieden wird hierbei zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen in Anhang I und Anhang II der Richtlinie unterschieden.

wesentliche Einrichtungen (große Unternehmen):

• Energie: Erzeugung, Übertragung, Verteilung von Strom, und Verwaltung von Energieinfrastrukturen
• Verkehr: Sicherheit von Verkehrsnetzen, -diensten, Straße-, Schienen-, Luft- und Seeverkehr.
• Banken und Finanzwesen: Banken, Zahlungsdienstleister, Börsen und andere Finanzinstitutionen.
• Gesundheitswesen: Krankenhäuser, medizinische Einrichtungen und Dienstleister zur Bereitstellung von Gesundheitsdiensten.
• Wasserversorgung: Bereitstellung von Trinkwasser und die Aufrechterhaltung der Wasserversorgungssysteme.
• Digitale Dienstleister: Cloud-Diensten, Online-Marktplätzen und Suchmaschinen,
• Digitale Infrastrukturen: Kritische Informationsinfrastrukturen, Internet Exchange Points (IXPs), Domain Name System (DNS) -Dienste.
• Raumfahrt
• Öffentliche Verwaltung
  

wichtige Einrichtungen (mittlere und große Unternehmen)

• Ernährung: Produktion, Verarbeitung, Verteilung von Lebensmitteln, Handel- und Logistikunternehmen.
• Chemie: Produktion und Vertrieb von Chemikalien
• Landwirtschaft: Landwirtschaftliche Betriebe und Unternehmen
• Digitale Infrastrukturen: Kritische Informationsinfrastrukturen, Internet Exchange Points (IXPs)
• Forschung
  

Größenkategorien:

Unternehmenskategorie	Beschäftigte	Umsatz und Bilanz
wesentlich	≥ 250 MA	≥ 50 Mio. + ≥ 43 Mio. EUR
wichtig	≥ 50 MA	≥ 10 Mio. + ≥ 10 Mio. EUR

Bußgeldrahmen (Auszug):

Die bisherigen KRITIS-Bußgelder werden mit der NIS-2-Richtlinie um neue Tatbestände erweitert und erhöht.

Unternehmenskategorie	Bußgelder	Verstöße
wesentlich	10 Mio. EUR oder 2 % Umsatz	Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig umgesetzt. Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt
wichtig	7 Mio. EUR oder 1,4 % Umsatz	Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig umgesetzt. Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt

Anforderungen / To-Do‘s:

• Durchführung einer Risikoanalyse hinsichtlich der Sicherheit der Informationssysteme
• Einführung eines Incident-Management-Prozesses
• Einführung / Umsetzung des Business Continuity Management (BCM)
• Sicherheit der Lieferkette
• Maßnahmen Messung Cyber-Security und Cyber-Hygiene
• Kryptographie und Verschlüsselung
• Zugriffskontrolle
• Multi-Faktor-Authentifizierung

Umsetzungsfristen:

Das Gesetz NIS2UmsuCG soll im Oktober 2024 in Kraft treten.

Unternehmenskategorie & Fristen	wesentlich	wichtig	KRITIS
Registrierung	Innerhalb von 3 Monaten nach Identifizierung	Innerhalb von 3 Monaten nach Identifizierung	Innerhalb von 3 Monaten nach Identifizierung
Teilnahme am Informationsaustausch	–	Innerhalb eines Jahres nach Inkrafttreten	Innerhalb eines Jahres nach Inkrafttreten
Erstmaliger Nachweis über Maßnahmenumsetzung	–	–	Frühestens 3 Jahre nach Inkrafttreten (ab 2027)
Fortlaufender Nachweis über Maßnahmenumsetzung	–	–	Anschließend alle 3 Jahre

Ist auch Ihr Unternehmen betroffen? Wir beraten Sie gerne zur NIS-2-Richtlinie.