🚀 Bis zum 17. Oktober 2024 müssen EU-Länder die Security-Mindeststandards für die Bekämpfung von Cyberangriffen in nationales Recht umsetzen. Die Richtlinie erweitert den Anwendungsbereich auf neue Sektoren, verbessert die Resilienz von öffentlichen und privaten Einrichtungen sowie der EU insgesamt und zielt darauf ab, das Gesamtniveau der Cybersicherheit in der EU zu erhöhen. Die Mitgliedstaaten müssen sich vorbereiten, indem sie über angemessene Ressourcen wie Computer Security Incident Response Teams
(CSIRTs) und nationale Behörden für Netzwerk- und Informationssysteme (NIS) verfügen.
🚀 Die Richtlinie fördert die Zusammenarbeit zwischen den Mitgliedstaaten und die Entwicklung einer Sicherheitskultur in kritischen Sektoren wie Energie, Verkehr, Gesundheitsversorgung und digitaler Infrastruktur.
🚀 Unternehmen in diesen Sektoren müssen angemessene Sicherheitsmaßnahmen ergreifen und schwere Vorfälle den nationalen Behörden melden. Wichtige Anbieter digitaler Dienste müssen ebenfalls den Sicherheitsanforderungen der Richtlinie entsprechen. Besonders für Unternehmen, die bisher nicht von der NIS-Richtlinie betroffen waren, bedeutet das eine große Herausforderung.
"Durch die NIS-2-Richtlinie werden viele Unternehmen mit IT-Sicherheitsanforderungen konfrontiert, die sich bis dato noch kaum mit dem Thema Cybersicherheit beschäftigt haben. Wir können helfen, hier Klarheit zu schaffen."
Marco Witzgall
Business Development Manager
Die NIS-2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die am 16. Januar 2023 in Kraft getreten ist. Welche Unternehmen die NIS2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz. Unterschieden werden dabei mittlere und große Unternehmen:
1. Mittlere Unternehmen, mit 50 bis 250 Mitarbeitern und einem Jahresumsatz von 10 bis 50 Millionen EUR oder einer Jahresbilanzsumme von weniger als 43 Millionen EUR oder
2. Große Unternehmen, mit mehr als 250 Mitarbeitern und einem Jahresumsatz von mehr als 50 Millionen EUR Umsatz oder einer Jahresbilanzsumme mit mehr als 43 Millionen EUR
Im Unterschied zur ersten NIS-Richtlinie fordert die aktuelle EU-Richtlinie bereits auf europäischer Ebene konkretere Maßnahmen. Die EU legt besonderen Wert darauf, dass bedeutende Organisationen in technischer, operativer und organisatorischer Hinsicht handeln.
Hierbei steht das Prinzip der Verhältnismäßigkeit im Mittelpunkt. Es wird nicht erwartet, dass Unternehmen aufgrund dieser Maßnahmen in den finanziellen Ruin getrieben werden. Die ergriffenen Maßnahmen sollten dem aktuellen Stand der Technik und auch den europäischen Normen entsprechen. Die Kosten der Umsetzung sollen ein Sicherheitsniveau gewährleisten, das dem bestehenden Risiko angemessen ist. Die Richtlinie definiert bereits recht genau, was Verhältnismäßigkeit für die EU bedeutet.
Es ist erkennbar, dass der risikobasierte Ansatz, der bereits in der ersten NIS-Richtlinie enthalten war, weiter ausgebaut wurde und einen noch höheren Stellenwert hat.
Neu hinzugekommen ist auch ein ansatzübergreifender Fokus. Das bedeutet, dass Netz- und Informationssysteme nicht nur gegen Cyberangriffe, sondern auch gegen physische Bedrohungen geschützt sein müssen. Auch die Sicherheit der Lieferkette wird erstmals berücksichtigt und muss gewährleistet sein. Darüber hinaus werden in der Richtlinie Mindestmaßnahmen zur Risikoreduzierung vorgestellt.
Gemäß der NIS2-Richtlinie sind die oben aufgeführten Branchen verpflichtet, Behörden und Dienstleistungsempfängern jeden Sicherheitsvorfall zu melden, der erhebliche Auswirkungen auf kritische Dienstleistungen hat. Dabei muss auch mitgeteilt werden, welche Sofortmaßnahmen die Empfänger als Reaktion auf diese Bedrohung ergreifen können.
Im Falle eines erheblichen Sicherheitsvorfalls muss die Organisation innerhalb von 24 Stunden nach Kenntnisnahme eine Frühwarnung abgeben. Spätestens nach 72 Stunden muss eine erste Bewertung des Sicherheitsvorfalls erfolgen. Innerhalb eines Monats muss der nationalen Behörde ein Abschlussbericht mit den ergriffenen Maßnahmen übermittelt werden.
Folgende Maßnahmen sind als Bestandteil der NIS2 definiert und müssen für eine Konformität betrachtet werden (Kapitel IV, Artikel 21):
Erstmals hat die Europäische Union auch die Geschäftsführer der Unternehmen in die Haftung genommen. Die Geschäftsführer der Unternehmen haften ab sofort sowohl mit dem Firmen- als auch mit dem Privatvermögen bei möglichen Verstößen gegen die Richtlinien. Weitere Konsequenzen sind nachfolgend bei Nichteinhaltung der NIS-2-Richtlinie aufgeführt.
Für wesentlichen Sektor:
Für wichtigen Sektor:
Für NIS2-Regulierte Unternehmen:
Wir unterstützen Sie bei der Umsetzung der NIS2-Richtlinie und der Optimierung Ihrer Sicherheitsmaßnahmen gemäß den EU-Mindestanforderungen. Gemeinsam mit Ihnen analysieren unsere Experten die organisatorischen und technischen Gegebenheiten in Ihrem Unternehmen. Auf Grundlage dieser Erkenntnisse entwickeln wir einen individuellen Maßnahmenplan mit definierten Ziele. Wir legen großen Wert auf Verhältnismäßigkeit, um sicherzustellen, dass die vorgeschlagenen Sicherheitsmaßnahmen im Einklang mit den Bedürfnissen und Ressourcen Ihres Unternehmens stehen.
Prüfen Sie jetz ob Sie NIS2-konform sind!
Sprechen Sie mit unserem Experten
Marco Witzgall