NIS-2-Richtlinie

Die NIS-2-Richtlinie verpflichtet Unternehmen und Institutionen der kritischen Infrastruktur (KRITIS) zur Umsetzung von Cybersicherheit, Cyber-Risikomanagement, und Business-Continuity-Management. Durch die 2023 in Kraft getretene Richtlinie erweitert sich der Kreis der betroffenen Unternehmen und Institutionen massiv. Unternehmen müssen jetzt selbst ermitteln, ob Sie unter NIS-2 fallen und aktiv werden müssen.

Gehören auch Sie zu dem Kreis der betroffenen Unternehmen? Gerne beraten wir Sie zur Umsetzung der NIS-2-Richtlinie.

Hintergrund NIS-2-Richtlinie

Die NIS-2-Richtlinie (The Network and Information Security Directive) ist am 16.01.2023 in Kraft getreten, Diese EU-Richtlinie regelt die Netzwerk- und Informationssicherheit in Unternehmen und Institutionen. Ziel der Richtlinie ist es, die Cybersicherheitsfanforderungen und auch Sanktionen bei Verstößen in der Europäischen Union zu vereinheitlichen. Die Richtlinie verpflichtet Unternehmen und Institutionen sich mit dem Thema Cyber-Sicherheit und Cyber-Risikomanagement auseinanderzusetzen.

In Deutschland wird die Richtlinie durch das NIS-2Umsetzungs und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) umgesetzt.

Ausweitung des Geltungsbereichs

Die NIS-2-Richtlinie weitet den Geltungsbereich der betroffenen Unternehmen massiv aus. Unterschieden wird hierbei zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen in Anhang I und Anhang II der Richtlinie unterschieden.

besonders wichtige Einrichtungen (große Unternehmen):

  • Energie: Erzeugung, Übertragung, Verteilung von Strom, und Verwaltung von Energieinfrastrukturen
  • Verkehr: Sicherheit von Verkehrsnetzen, -diensten, Straße-, Schienen-, Luft- und Seeverkehr.
  • Banken und Finanzwesen: Banken, Zahlungsdienstleister, Börsen und andere Finanzinstitutionen.
  • Gesundheitswesen: Krankenhäuser, medizinische Einrichtungen und Dienstleister zur Bereitstellung von Gesundheitsdiensten.
  • Wasserversorgung: Bereitstellung von Trinkwasser und die Aufrechterhaltung der Wasserversorgungssysteme.
  • Digitale Dienstleister: Cloud-Diensten, Online-Marktplätzen und Suchmaschinen,
  • Digitale Infrastrukturen: Kritische Informationsinfrastrukturen, Internet Exchange Points (IXPs), Domain Name System (DNS) -Dienste.
  • Raumfahrt
  • Öffentliche Verwaltung

wichtige Einrichtungen (mittlere und große Unternehmen)

  • Ernährung: Produktion, Verarbeitung, Verteilung von Lebensmitteln, Handel- und Logistikunternehmen.
  • Chemie: Produktion und Vertrieb von Chemikalien
  • Landwirtschaft: Landwirtschaftliche Betriebe und Unternehmen
  • Digitale Infrastrukturen: Kritische Informationsinfrastrukturen, Internet Exchange Points (IXPs)
  • Forschung

Größenkategorien:

UnternehmenskategorieBeschäftigteUmsatz und Bilanz
besonders wichtig≥ 250 MA≥ 50 Mio. + ≥ 43 Mio. EUR
wichtig≥ 50 MA≥ 10 Mio. + ≥ 10 Mio. EUR


Bußgeldrahmen (Auszug):

Die bisherigen KRITIS-Bußgelder werden mit der NIS-2-Richtlinie um neue Tatbestände erweitert und erhöht.

UnternehmenskategorieBußgelderVerstöße
besonders wichtig10 Mio. EUR oder 2 % Umsatz
  • Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig umgesetzt.
  • Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt
wichtig7 Mio. EUR oder 1,4 % Umsatz
  • Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig umgesetzt.
  • Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt

Anforderungen / To-Do‘s:

  • Durchführung einer Risikoanalyse hinsichtlich der Sicherheit der Informationssysteme
  • Einführung eines Incident-Management-Prozesses
  • Einführung / Umsetzung des Business Continuity Management (BCM)
  • Sicherheit der Lieferkette
  • Maßnahmen Messung Cyber-Security und Cyber-Hygiene
  • Kryptographie und Verschlüsselung
  • Zugriffskontrolle
  • Multi-Faktor-Authentifizierung

Umsetzungsfristen:

Das Gesetz NIS2UmsuCG soll im Oktober 2024 in Kraft treten.

Unternehmenskategorie & Fristenbesonders wichtigwichtigKRITIS
RegistrierungInnerhalb von 3 Monaten nach IdentifizierungInnerhalb von 3 Monaten nach IdentifizierungInnerhalb von 3 Monaten nach Identifizierung
Teilnahme am InformationsaustauschInnerhalb eines Jahres nach InkrafttretenInnerhalb eines Jahres nach Inkrafttreten
Erstmaliger Nachweis über MaßnahmenumsetzungFrühestens 3 Jahre nach Inkrafttreten
Fortlaufender Nachweis über MaßnahmenumsetzungAnschließend alle 3 Jahre

Ist auch Ihr Unternehmen betroffen? Wir beraten Sie gerne zur NIS-2-Richtlinie.

Angebot einholen

Rufen Sie uns an oder schreiben Sie uns:

    What is 7 x 6 ?