NIS-2-Richtlinie

Die NIS-2-Richtlinie verpflichtet Unternehmen und Institutionen der kritischen Infrastruktur (KRITIS) zur Umsetzung von Cybersicherheit, Cyber-Risikomanagement, und Business-Continuity-Management. Durch die 2023 in Kraft getretene Richtlinie erweitert sich der Kreis der betroffenen Unternehmen und Institutionen massiv. Unternehmen müssen jetzt selbst ermitteln, ob Sie unter NIS-2 fallen und aktiv werden müssen.

Gehören auch Sie zu dem Kreis der betroffenen Unternehmen? Gerne beraten wir Sie zur Umsetzung der NIS-2-Richtlinie.

Hintergrund NIS-2-Richtlinie

Die NIS-2-Richtlinie (The Network and Information Security Directive) ist am 16.01.2023 in Kraft getreten, Diese EU-Richtlinie regelt die Netzwerk- und Informationssicherheit in Unternehmen und Institutionen. Ziel der Richtlinie ist es, die Cybersicherheitsfanforderungen und auch Sanktionen bei Verstößen in der Europäischen Union zu vereinheitlichen. Die Richtlinie verpflichtet Unternehmen und Institutionen sich mit dem Thema Cyber-Sicherheit und Cyber-Risikomanagement auseinanderzusetzen.

In Deutschland wird die Richtlinie durch das NIS-2Umsetzungs und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) umgesetzt.

Ausweitung des Geltungsbereichs

Die NIS-2-Richtlinie weitet den Geltungsbereich der betroffenen Unternehmen massiv aus. Unterschieden wird hierbei zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen in Anhang I und Anhang II der Richtlinie unterschieden.

wesentliche Einrichtungen (große Unternehmen):

  • Energie: Erzeugung, Übertragung, Verteilung von Strom, und Verwaltung von Energieinfrastrukturen
  • Verkehr: Sicherheit von Verkehrsnetzen, -diensten, Straße-, Schienen-, Luft- und Seeverkehr.
  • Banken und Finanzwesen: Banken, Zahlungsdienstleister, Börsen und andere Finanzinstitutionen.
  • Gesundheitswesen: Krankenhäuser, medizinische Einrichtungen und Dienstleister zur Bereitstellung von Gesundheitsdiensten.
  • Wasserversorgung: Bereitstellung von Trinkwasser und die Aufrechterhaltung der Wasserversorgungssysteme.
  • Digitale Dienstleister: Cloud-Diensten, Online-Marktplätzen und Suchmaschinen,
  • Digitale Infrastrukturen: Kritische Informationsinfrastrukturen, Internet Exchange Points (IXPs), Domain Name System (DNS) -Dienste.
  • Raumfahrt
  • Öffentliche Verwaltung

wichtige Einrichtungen (mittlere und große Unternehmen)

  • Ernährung: Produktion, Verarbeitung, Verteilung von Lebensmitteln, Handel- und Logistikunternehmen.
  • Chemie: Produktion und Vertrieb von Chemikalien
  • Landwirtschaft: Landwirtschaftliche Betriebe und Unternehmen
  • Digitale Infrastrukturen: Kritische Informationsinfrastrukturen, Internet Exchange Points (IXPs)
  • Forschung

Größenkategorien:

Unternehmenskategorie Beschäftigte Umsatz und Bilanz
wesentlich ≥ 250 MA ≥ 50 Mio. + ≥ 43 Mio. EUR
wichtig ≥ 50 MA ≥ 10 Mio. + ≥ 10 Mio. EUR


Bußgeldrahmen (Auszug):

Die bisherigen KRITIS-Bußgelder werden mit der NIS-2-Richtlinie um neue Tatbestände erweitert und erhöht.

Unternehmenskategorie Bußgelder Verstöße
wesentlich 10 Mio. EUR oder 2 % Umsatz
  • Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig umgesetzt.
  • Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt
wichtig 7 Mio. EUR oder 1,4 % Umsatz
  • Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig umgesetzt.
  • Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt


Anforderungen / To-Do‘s:

  • Durchführung einer Risikoanalyse hinsichtlich der Sicherheit der Informationssysteme
  • Einführung eines Incident-Management-Prozesses
  • Einführung / Umsetzung des Business Continuity Management (BCM)
  • Sicherheit der Lieferkette
  • Maßnahmen Messung Cyber-Security und Cyber-Hygiene
  • Kryptographie und Verschlüsselung
  • Zugriffskontrolle
  • Multi-Faktor-Authentifizierung

Umsetzungsfristen:

Das Gesetz NIS2UmsuCG soll im Oktober 2024 in Kraft treten.

Unternehmenskategorie & Fristen wesentlich
wichtig
KRITIS
Registrierung Innerhalb von 3 Monaten nach Identifizierung Innerhalb von 3 Monaten nach Identifizierung Innerhalb von 3 Monaten nach Identifizierung
Teilnahme am Informationsaustausch Innerhalb eines Jahres nach Inkrafttreten Innerhalb eines Jahres nach Inkrafttreten
Erstmaliger Nachweis über Maßnahmenumsetzung Frühestens 3 Jahre nach Inkrafttreten (ab 2027)
Fortlaufender Nachweis über Maßnahmenumsetzung Anschließend alle 3 Jahre


Ist auch Ihr Unternehmen betroffen? Wir beraten Sie gerne zur NIS-2-Richtlinie.

Angebot einholen

Rufen Sie uns an oder schreiben Sie uns:

        5 + 3 ?