NIS-2 Richtlinie

RICHTIG UMGESETZT

JETZT KOSTENLOSES ERSTGESPRÄCH BUCHEN

NIS-2 IM FOKUS
WISSENSWERTES für KMU´s

NIS-2 Richtlinie - was Unternehmer wissen sollten!

Die NIS-2-Richtlinie verschärft die Haftung der Geschäftsführung für Cybervorfälle in der EU. Sie erweitert den Geltungsbereich und fordert strengere Sicherheitsmaßnahmen. Doch was bedeutet das für Sie als Unternehmer und IT-Verantwortlicher? Wir verraten es Ihnen!

NIS-2 Richtlinie - was ändert sich?

Die Einführung der NIS-2-Richtlinie bringt signifikante Veränderungen in der Cybersicherheitslandschaft der Europäischen Union mit sich, insbesondere in Bezug auf die Verantwortlichkeiten der Geschäftsführung von Unternehmen. Im Vergleich zur ursprünglichen NIS-Richtlinie erweitert NIS-2 nicht nur den Geltungsbereich und verschärft die Sicherheitsanforderungen, sondern legt auch einen klaren Fokus auf die Haftung der Unternehmensführung bei Cybervorfällen.

Durch NIS-2 wird die Geschäftsführung direkt in die Verantwortung genommen, die Implementierung und Einhaltung angemessener Cybersicherheitsmaßnahmen zu gewährleisten. Dies bedeutet, dass Führungskräfte persönlich haftbar gemacht werden können, wenn sie es versäumen, geeignete Sicherheitsvorkehrungen zu treffen. Die Richtlinie sieht vor, dass Unternehmen umfassende Risikomanagementmaßnahmen einführen und Cybervorfälle zeitnah melden müssen. Ein Versäumnis in diesen Bereichen kann nun als fahrlässiges Handeln gewertet werden. Um hier zeitnah und kostengünstig erste Maßnahmen nachzuweisen, empfehlen wir den CyberRisikoCheck durchzuführen

Fahrlässiges Verhalten der Geschäftsführung kann weitreichende rechtliche und finanzielle Konsequenzen nach sich ziehen. Sollte es zu einem Cybervorfall kommen und nachgewiesen werden, dass die erforderlichen Sicherheitsmaßnahmen nicht umgesetzt wurden oder eine Meldung verzögert erfolgte, können die verantwortlichen Führungskräfte mit hohen Geldstrafen und weiteren Sanktionen belegt werden. Die Verschärfung der Haftungsregelungen unter NIS-2 unterstreicht die Notwendigkeit einer proaktiven und umfassenden Cybersicherheitsstrategie auf höchster Managementebene.

Insgesamt erhöht NIS-2 den Druck auf die Unternehmensführung, Cyberrisiken ernst zu nehmen und angemessene Schutzmaßnahmen zu ergreifen. Die Richtlinie soll sicherstellen, dass die EU besser auf Cyberbedrohungen vorbereitet ist und die Widerstandsfähigkeit der kritischen Infrastrukturen gegen Cyberangriffe gestärkt wird. Die Geschäftsführung muss sich ihrer Verantwortung bewusst sein und aktiv Maßnahmen ergreifen, um die Sicherheit und Integrität ihrer Systeme zu gewährleisten.

NIS-2 - Wer ist betroffen?

Viele Unternehmen sind unsicher, ob Sie von der NIS 2 Richtlinie betroffen sind. Dabei ist die Wahrscheinlichkeit das man betroffen ist sehr hoch! 
Denn folgende Unternehmen sind betroffen:

  • >/= 50 Mitarbeitende
  • 10 Mio. Euro Umsatz
  • Teil einer der 18 Sektoren
  1. Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff) 
  2. Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr) 

  3. Bankwesen (Kreditinstitute)

  4. Finanzmarktinfrastruktur (Handelsplätze, Zentrale Gegenpartien)

  5. Gesundheit (Gesundheitsdienstleister; EU Labore, Medizinforschung, Pharmazeutik, Medizingeräte)

  6. Trinkwasser (Wasserversorgung)

  7. Abwässer (Abwasserentsorgung)

  8. Digitale Infrastruktur (Internet-Knoten (IXP), DNS (ohne Root), TLD Registries, Cloud Provider, Rechenzentren, CDNs, Vertrauensdienste (TSP), Elektronische Kommunikation) 

  9. IKT-Dienstleistungsmanagement (B2B) (Managed Service Providers, Managed Security Service Providers) 

  10. Öffentliche Verwaltungen (Zentralregierung, regionale Regierung)

  11. Weltraum (Bodeninfrastruktur)

  12. Post- und Kurierdienste (Postdienste)

  13. Abfallwirtschaft (Abfallbewirtschaftung)

  14. Herstellung, Produktion und Vertrieb von Chemikalien

  15. Lebensmittelproduktion, -verarbeitung und -vertrieb

  16. Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten 

  17. Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke)

  18. Forschung (Forschungsinstitute)

    19.  

"Size-cap" Regel- Das gibt es zu beachten!

Die NIS-2-Richtlinie erweitert ihren Anwendungsbereich und baut auf den Grundlagen der vorherigen NIS-Richtlinie auf. Ihr zentrales Ziel ist die Harmonisierung der Cybersicherheitsanforderungen und -maßnahmen zwischen den Mitgliedstaaten, um Uneinheitlichkeiten zu beseitigen. Dieser Schritt ermöglicht es Unternehmen und Regierungen, auf eine gemeinsame Basis zurückzugreifen und effektiver gegen Cyberbedrohungen vorzugehen.

Eine wesentliche Neuerung von NIS 2 ist die Einführung der "size-cap-Regel". Sie regelt mittlere und große Unternehmen in achtzehn verschiedenen Sektoren gemäß der Richtlinie 2003/361/EC entsprechend ihrer Größe. Diese Regelung erlaubt eine gezielte Berücksichtigung der individuellen Bedürfnisse und Risiken von Unternehmen, während gleichzeitig sichergestellt wird, dass alle relevanten Akteure angemessen geschützt sind.

Durch die Anwendung der size-cap-Regel schafft NIS 2 ein ausgewogenes Regelwerk, das gleichermaßen auf Start-ups, mittelständische Unternehmen und Großkonzerne zugeschnitten ist. Kleine Unternehmen, die oft nicht über die Ressourcen oder das Fachwissen für komplexe Sicherheitsmaßnahmen verfügen, werden nicht übermäßig belastet. Gleichzeitig werden große Unternehmen dazu angehalten, ihre Verantwortung wahrzunehmen und angemessene Sicherheitsvorkehrungen zu treffen.

Kostenlose Erstberatung!

JETZT TERMIN BUCHEN!
Das Wichtigste zur NIS-2-Richtlinie in Kürze

KEYNOTES NIS-2

Ab Oktober 2024 werden erhöhte Cybersicherheitsstandards gemäß der NIS-2-Richtlinie für bestimmte Unternehmen in der EU eingeführt. Diese Standards gelten für Unternehmen mit mindestens 50 Mitarbeitenden und einem Jahresumsatz von mindestens 10 Millionen Euro in 18 definierten Sektoren.

Die Einstufung als "Essential Entities" oder "Important Entities" erfolgt auf Grundlage der Unternehmensgröße und des Sektors und bestimmt den Grad der staatlichen Aufsicht sowie mögliche Sanktionen.

Es gibt Ausnahmeregelungen, die Unternehmen unabhängig von ihrer Größe und ihrem Umsatz von der NIS-2-Richtlinie befreien oder einschließen können. Der "size-cap"-Ansatz ermöglicht eine differenzierte Regelung basierend auf der Unternehmensgröße und den Risiken.

Um die Anforderungen der NIS-2-Richtlinie zu erfüllen, wird die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 oder mindestens die durchführung eines CyberRisikoChecks empfohlen.

JETZT TERMIN BUCHEN

Jetzt Erstgespräch buchen!