Was ist NIS2?
Die NIS2-Richtlinie („The Network and Information Security (NIS) Directive“) regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Diese trat am 16.01.2023 in Kraft und muss bis Oktober 2024 durch die EU-Mitgliedsstaaten in deren nationales Recht überführt werden. Mit NIS2 rückt die Informationssicherheit verstärkt in den Fokus, um ein höheres gemeinsames Cybersicherheitsniveaue in der EU zu erreichen. Sie gibt Mindeststandards für die IT-Sicherheit in bestimmten Unternehmen oder Institutionen vor. So können die Länder neue strengere Vorschriften erlassen und durchsetzen.
Wen betrifft NIS2?
NIS2 betrifft öffentliche und private Einrichtungen in 18 Wirtschaftssektoren mit mindestens 50 Beschäftigten oder mindestens 10 Millionen Euro Jahresumsatz. Die 18 Sektoren bestehen unter anderem aus den Bereichen Energie, Verkehr, Abwasser, Gesundheitswesen, Bankwesen, Post- und Kundendienste, Forschung, Anbieter digitaler Dienste u.a.
Doch es fallen unter Umständen auch Einrichtungen unabhängig von ihrer Größe unter NIS2. Das gilt beispielsweise für Teile der digitalen Infrastruktur oder der öffentlichen Verwaltung, KRITIS oder Unternehmen die Teil einer Lieferkette bei betroffenen Einrichtungen sind.
Betrifft mich nicht. – Vielleicht doch. Auf Grund der Anforderungen im Lieferantenmanagement wird jedes Unternehmen, das von NIS2 betroffen ist, seine Vertragspartner prüfen müssen und kann nur noch mit Partnern zusammenarbeiten, welche die definierten Kriterien erfüllen.
Wichtig: NIS2 ist Chefsache! Zukünftig haften Führungskräfte der erfassten Einrichtungen für Verstöße gegen bestehende Vorschriften.
Welche Pflichten gibt es bei NIS2?
Die Vorgaben der NIS-2 Richtlinie betreffen drei wesentliche Gruppen bzw. Bereiche:
- Governance & Awareness: Leitungsorgane sind verpflichtet, ergriffene Maßnahmen im Bereich Cybersicherheit zuzulassen und diese zu überwachen. Bei Verstößen müssen diese andernfalls haften.
- Risikomanagement: Bei allen unternehmensbezogenen Entscheidungen und Maßnahmen müssen stets die Risiken für die Netz- und Informationssysteme bewertet werden. Mögliche Risiken sind durch geeignete technische und organisatorische Maßnahmen berechenbar und regulierbar zu machen.
- Meldepflichten: Erhebliche Sicherheitsvorfälle müssen den zuständigen Aufsichtsbehörden unverzüglich, aber spätestens innerhalb von 24 Stunden nach dem Vorfall gemeldet werden. Eine Aktualisierung ist binnen 72 Stunden erforderlich und die Abschlussmeldung muss innerhalb eines Monats geleistet werden.
Welche Strafen drohen bei Missachtung oder Verstößen?
Neben empfindlichen Bußgeldern drohen bei Verstößen auch Weisungen durch die entsprechenden Aufsichtsbehörden, die bis zur Untersagung der Betriebstätigkeit oder gar der Untersagung der Leitungsaufgaben der Geschäftsführung des jeweiligen Unternehmens reichen.
Mit einem von uns erarbeiteten Fragebogen finden Sie schnell und einfach heraus, ob Ihr Unternehmen künftig auch von den neuen Vorschriften zur Netz- und Informationssicherheit (NIS) betroffen ist. Falls dies der Fall sein sollte, können wir Sie dabei unterstützen, sich auf NIS2 adäquat vorzubereiten.
Finden Sie mit der BSI Betroffenheitsprüfung heraus, ob NIS2 bei Ihnen im Unternehmen ein Thema ist.
Alle Informationen im Überblick finden Sie in unserem NIS2-Flyer.
