NIS-2-Richtlinie
Die NIS-2-Richtlinie verpflichtet Unternehmen und Institutionen der kritischen Infrastruktur (KRITIS) zur Umsetzung von Cybersicherheit, Cyber-Risikomanagement, und Business-Continuity-Management. Durch die 2023 in Kraft getretene Richtlinie erweitert sich der Kreis der betroffenen Unternehmen und Institutionen massiv. Unternehmen müssen jetzt selbst ermitteln, ob Sie unter NIS-2 fallen und aktiv werden müssen.
Gehören auch Sie zu dem Kreis der betroffenen Unternehmen? Gerne beraten wir Sie zur Umsetzung der NIS-2-Richtlinie.
Hintergrund NIS-2-Richtlinie
Die NIS-2-Richtlinie (The Network and Information Security Directive) ist am 16.01.2023 in Kraft getreten, Diese EU-Richtlinie regelt die Netzwerk- und Informationssicherheit in Unternehmen und Institutionen. Ziel der Richtlinie ist es, die Cybersicherheitsfanforderungen und auch Sanktionen bei Verstößen in der Europäischen Union zu vereinheitlichen. Die Richtlinie verpflichtet Unternehmen und Institutionen sich mit dem Thema Cyber-Sicherheit und Cyber-Risikomanagement auseinanderzusetzen.
In Deutschland wird die Richtlinie durch das NIS-2Umsetzungs und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) umgesetzt.
Ausweitung des Geltungsbereichs
Die NIS-2-Richtlinie weitet den Geltungsbereich der betroffenen Unternehmen massiv aus. Unterschieden wird hierbei zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen in Anhang I und Anhang II der Richtlinie unterschieden.
besonders wichtige Einrichtungen (große Unternehmen):
- Energie: Erzeugung, Übertragung, Verteilung von Strom, und Verwaltung von Energieinfrastrukturen
- Verkehr: Sicherheit von Verkehrsnetzen, -diensten, Straße-, Schienen-, Luft- und Seeverkehr.
- Banken und Finanzwesen: Banken, Zahlungsdienstleister, Börsen und andere Finanzinstitutionen.
- Gesundheitswesen: Krankenhäuser, medizinische Einrichtungen und Dienstleister zur Bereitstellung von Gesundheitsdiensten.
- Wasserversorgung: Bereitstellung von Trinkwasser und die Aufrechterhaltung der Wasserversorgungssysteme.
- Digitale Dienstleister: Cloud-Diensten, Online-Marktplätzen und Suchmaschinen,
- Digitale Infrastrukturen: Kritische Informationsinfrastrukturen, Internet Exchange Points (IXPs), Domain Name System (DNS) -Dienste.
- Raumfahrt
- Öffentliche Verwaltung
wichtige Einrichtungen (mittlere und große Unternehmen)
- Ernährung: Produktion, Verarbeitung, Verteilung von Lebensmitteln, Handel- und Logistikunternehmen.
- Chemie: Produktion und Vertrieb von Chemikalien
- Landwirtschaft: Landwirtschaftliche Betriebe und Unternehmen
- Digitale Infrastrukturen: Kritische Informationsinfrastrukturen, Internet Exchange Points (IXPs)
- Forschung
Größenkategorien:
Unternehmenskategorie | Beschäftigte | Umsatz und Bilanz |
besonders wichtig | ≥ 250 MA | ≥ 50 Mio. + ≥ 43 Mio. EUR |
wichtig | ≥ 50 MA | ≥ 10 Mio. + ≥ 10 Mio. EUR |
Bußgeldrahmen (Auszug):
Die bisherigen KRITIS-Bußgelder werden mit der NIS-2-Richtlinie um neue Tatbestände erweitert und erhöht.
Unternehmenskategorie | Bußgelder | Verstöße |
besonders wichtig | 10 Mio. EUR oder 2 % Umsatz |
|
wichtig | 7 Mio. EUR oder 1,4 % Umsatz |
|
Anforderungen / To-Do‘s:
- Durchführung einer Risikoanalyse hinsichtlich der Sicherheit der Informationssysteme
- Einführung eines Incident-Management-Prozesses
- Einführung / Umsetzung des Business Continuity Management (BCM)
- Sicherheit der Lieferkette
- Maßnahmen Messung Cyber-Security und Cyber-Hygiene
- Kryptographie und Verschlüsselung
- Zugriffskontrolle
- Multi-Faktor-Authentifizierung
Umsetzungsfristen:
Das Gesetz NIS2UmsuCG soll im Oktober 2024 in Kraft treten.
Unternehmenskategorie & Fristen | besonders wichtig | wichtig | KRITIS |
Registrierung | Innerhalb von 3 Monaten nach Identifizierung | Innerhalb von 3 Monaten nach Identifizierung | Innerhalb von 3 Monaten nach Identifizierung |
Teilnahme am Informationsaustausch | – | Innerhalb eines Jahres nach Inkrafttreten | Innerhalb eines Jahres nach Inkrafttreten |
Erstmaliger Nachweis über Maßnahmenumsetzung | – | – | Frühestens 3 Jahre nach Inkrafttreten |
Fortlaufender Nachweis über Maßnahmenumsetzung | – | – | Anschließend alle 3 Jahre |
Ist auch Ihr Unternehmen betroffen? Wir beraten Sie gerne zur NIS-2-Richtlinie.
Angebot einholen
Rufen Sie uns an oder schreiben Sie uns: