Wichtige Informationen zu Compliance, Strafen und abgedeckten Sektoren

Die NIS-2-Richtlinie (Network and Information Systems Directive 2) ist eine EU-weite Gesetzgebung, die die Cybersicherheit in der Europäischen Union verbessern soll. Mit der NIS 2 wird der Geltungsbereich von den ursprünglich 7 Sektoren der ersten NIS-Richtlinie auf 18 Sektoren erweitert. Sie gilt sowohl für öffentliche als auch für private Einrichtungen, die aufgrund ihrer Kritikalität und Größe als „wesentlich“ oder „wichtig“ eingestuft werden.

NIS 2 ist die richtige Bezeichnung. Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) baut auf der ursprünglichen NIS-Richtlinie (Richtlinie (EU) 2016/1148) auf und erweitert deren Geltungsbereich.

Wenn Ihr Unternehmen in den von NIS 2 abgedeckten Sektoren tätig ist, müssen Sie sich an die strengen Cybersicherheitsstandards der Richtlinie halten. Die Einhaltung der Vorschriften ist nicht nur für Unternehmen wichtig, die direkt in diesen Sektoren tätig sind (z. B. im Energie-, Gesundheits- und Finanzsektor), sondern auch für verwandte Sektoren wie technische Dienstleistungen und Lieferkettenlogistik. Die Einhaltung dieser Anforderungen ist entscheidend für die Aufrechterhaltung Ihrer Geschäftsabläufe und -beziehungen. Die Nichteinhaltung der NIS 2 kann erhebliche Strafen nach sich ziehen, die bis zu 10 Millionen Euro oder 2 % der gesamten weltweiten Einnahmen des Unternehmens aus dem Vorjahr betragen können, je nachdem, welcher Betrag höher ist (NIS 2, Artikel 34). Die Einhaltung der NIS 2 trägt dazu bei, Ihr Unternehmen vor diesen erheblichen finanziellen Verlusten zu schützen und ein sicheres Betriebsumfeld zu schaffen.

Maßnahmen zum Risikomanagement

Organisationen müssen geeignete technische, betriebliche und organisatorische Maßnahmen ergreifen, um Cybersecurity-Risiken effektiv zu verwalten. Dazu gehören regelmäßige Risikobewertungen und Sicherheitsrichtlinien.

Meldung von Vorfällen

Unternehmen sind verpflichtet, wesentliche Vorfälle im Bereich der Cybersicherheit innerhalb von 24 Stunden nach ihrer Entdeckung den zuständigen Behörden zu melden, wobei innerhalb von 72 Stunden ein detaillierter Bericht folgen muss.

Sicherheit der Lieferkette

NIS 2 hebt die Notwendigkeit hervor, die Lieferketten zu sichern, und verlangt von den Unternehmen, die mit ihren Lieferanten und Dienstleistern verbundenen Risiken zu bewerten und zu verwalten.

Maßnahmen zur Cyber-Hygiene

NIS 2 fordert die Umsetzung grundlegender Cyber- Sicherheitsmaßnahmen und die regelmäßige Schulung der Mitarbeiter in Sachen Cybersicherheit.

• Wesentliche Sektoren (NIS 2, Anhang I):
  1. Energie (Elektrizität, Öl, Erggas, Fernwärme und -kälte, Wasserstoff)
  2. Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
  3. Bankwesen
  4. Finanzmarktinfrastrukturen
  5. Gesundheitswesen
  6. Trinkwasser
  7. Abwasser
  8. Digitale Infrastruktur
  9. Verwaltung von IKT-Diensten (Business-to-Business)
  10. Öffentliche Verwaltung
  11. Weltraum
• Wichtige Sektoren (NIS 2, Anhang II):
  1. Post- und Kurierdienste
  2. Abfallwirtschaft
  3. Herstellung, Produktion und Handel mit chemischen Stoffen
  4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  5. Verarbeitendes Gewerbe/Herstellung von Waren
  6. Anbieter digitaler Dienste
  7. Forschung

Die Nichtkonformität kann zu erheblichen Geldstrafen führen (NIS 2, Artikel 34):

• Für wesentliche Unternehmen:
  • Die Geldbuße kann bis zu 10 Mio. € oder 2 % der gesamten weltweiten Einnahmen des Unternehmens aus dem Vorjahr betragen, je nachdem, welcher Betrag höher ist.
• Für wichtige Unternehmen:
  • Die Geldbuße beträgt bis zu 7 Mio. EUR oder 1,4 % der weltweiten Gesamteinnahmen des Unternehmens aus dem Vorjahr, je nachdem, welcher Betrag höher ist.

Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die NIS 2 in nationales Recht umzusetzen. Das bedeutet, dass jedes Land die Anforderungen der Richtlinie bis zu diesem Datum in seinen eigenen Rechtsrahmen aufnehmen muss. Sobald die NIS 2 in innerstaatliches Recht umgesetzt ist, müssen Organisationen, die in den Anwendungsbereich der Richtlinie fallen, deren Anforderungen erfüllen. Die genauen Fristen für die Einhaltung der Richtlinie durch die Unternehmen können variieren, je nachdem, wie schnell die einzelnen Mitgliedstaaten die Richtlinie umsetzen.

NIS 2 ergänzt andere Vorschriften wie GDPR und ISO 27001:

• DSGVO: Während sich die DSGVO auf den Schutz personenbezogener Daten konzentriert, ist NIS 2 breiter angelegt und deckt die Verfügbarkeit und Sicherheit von Diensten ab. Ein Vorfall, der personenbezogene Daten betrifft, muss jedoch möglicherweise sowohl nach der DSGVO als auch nach NIS 2 gemeldet werden.
• ISO 27001: Für Unternehmen, die bereits nach ISO 27001 zertifiziert sind, kann es einfacher sein, NIS 2 einzuhalten, da beide Regelungen ein solides Risikomanagement, Kontrollen der Cybersicherheit und die Reaktion auf Vorfälle vorsehen.

Wir sind ein Team von drei IT-, Software-, Sicherheits- und KI-Experten in Deutschland, vereint durch unsere Leidenschaft, die Cybersicherheit in Europa zu verbessern. Gemeinsam verfügen wir über mehr als 40 Jahre Erfahrung, sind Autoren von Dutzenden Veröffentlichungen und Patenten im Bereich Cybersicherheit und haben in verschiedensten Umgebungen gearbeitet—von Start-ups über Big Tech bis hin zu Regierungsbehörden und Großunternehmen—und dabei auf Sicherheit fokussierte Lösungen entwickelt. Unser Ziel ist es, Fachleute zu unterstützen, ihr Bestes in ihre Organisationen einzubringen, während wir eine starke, gemeinschaftsbasierte Gruppe aufbauen.

Durch die Schaffung eines soliden Rechtsrahmens für die Cybersicherheit in kritischen Sektoren verbessert die NIS-2-Richtlinie die gesamte Cybersicherheits-Landschaft und fördert ein sichereres digitales Umfeld für Bürger und Unternehmen in Europa. Bei unserer gründlichen Prüfung der NIS-2-Richtlinie haben wir wichtige Erkenntnisse gewonnen und Antworten auf häufig gestellte Fragen gefunden. Wir haben erkannt, wie wichtig es ist, diese Informationen weiterzugeben. Wir haben diese Website eingerichtet, um Unternehmen bei der Vorbereitung auf die Einhaltung der NIS-2-Richtlinie zu unterstützen und ihnen ein besseres Verständnis dafür zu vermitteln.