NIS2 kommt ab Oktober 2024!

Die NIS-2-Richtlinie erweitert die Cybersicherheitsanforderungen und die Sanktionen, um das Sicherheitsniveau in den Mitgliedstaaten zu harmonisieren und zu verbessern und enthält strengere Anforderungen für verschiedene Sektoren. Sie ist eine Überarbeitung der bestehenden NIS-Richtlinie, die bereits 2016 in Kraft gesetzt wurde, um die Cybersicherheit der EU weiter zu stärken.
Anforderungen der NIS-2-Richtlinien an die Unternehmen:
- Erweiterter Anwendungsbereich: -> 7 wesentliche und 11 wichtige Sektoren, Schwellenwert: über 50 Beschäftigte & Jahresumsatz von über 10 Mio. Euro.
- Pflichten für Leitungsorgane: -> Genehmigung & Überwachung der Risikomanagementmaßnahmen und die Teilnahme an Cybersicherheitsschulungen.
- Strengere Kontrollen durch Behörden: -> Regelmäßige Überprüfungen (auch vor Ort) und Geldbußen bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes.
- Risikomanagement: -> Risikoanalyse- & Sicherheitskonzepte, Bewältigung von Sicherheitsvorfällen, Backup- & Krisenmanagement, Gewährleistung der Sicherheit in der Lieferkette.
- Meldepflichten: -> Frühwarnung 24 Stunden nach Bekanntwerden eines Vorfalls, Abschlussbericht spätestens nach einem Monat.
- Weitere gesetzliche Vorgaben: Cyber Resilience Act und delegierte Verordnung zur Funkanlagenrichtlinie (RED).
Wer ist betroffen?
Im Herbst 2024 sind Organisationen in 18 Sektoren ab 50 Mitarbeitern und 10 Millionen Euro Umsatz betroffen, die als wesentlich eingestuft sind. Darüber hinaus sollen einige Einrichtungen unabhängig von ihrer Größe reguliert werden, insbesondere in den Bereichen digitale Infrastruktur und öffentliche Verwaltung.
Darunter fallen kritische Infrastrukturen aus den folgenden Bereichen:
- Energie
- Transport
- Banken- und Finanzwesen
- Bildungswesen
- Wasserversorgung
- Digitale Infrastruktur
- ITK-Dienstleistungsmanagement
- Öffentliche Verwaltung
- Weltraum
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Vertrieb und Produktion von Chemikalien
- Lebensmittelverarbeitung, -vertrieb und –produktion
- Forschungsinstitute
- Digitale Anbieter (Marktplätze, Soziale Netzwerke, Suchmaschinen)
- Industrie & Herstellung (Medizinprodukte und In-vitro, Datenverarbeitung, Optik, Elektronik, elektrische Ausrüstung, Maschinenbau, Fahrzeugbau, Kraftwagen und Teile)
Unternehmen fallen nicht unter NIS2, wenn sie Tätigkeiten in den Bereichen nationale und öffentliche Sicherheit, Verteidigung und Strafverfolgung ausüben. Im Gegensatz zur öffentlichen Verwaltung auf zentraler und regionaler Ebene sind Parlamente, Justiz und Zentralbanken vom Anwendungsbereich ausgenommen.
Die NIS2-Vorschriften gelten für Unternehmen und deren Auftragnehmer. Es gibt Ausnahmeregelungen, so dass die Richtlinie auch unabhängig von der Größe und dem Umsatz des Unternehmens Anwendung finden kann. Dies ist beispielsweise bei kritischen Tätigkeiten und Systemrisiken relevant.
Eine besondere Neuerung:
Die „Size-Cap“-Regel, die mit NIS2 einhergeht, ermöglicht es, die Ungleichheiten zwischen den betroffenen Unternehmen zu beseitigen, die sich aus den unterschiedlichen Voraussetzungen in Bezug auf Budget, Ressourcen und Know-how ergeben. Die Regelung soll es sowohl Start-ups und KMU als auch Großunternehmen ermöglichen, die auf der Grundlage von NIS2 geforderten Sicherheitsmaßnahmen umzusetzen.
Schritt für Schritt die NIS2 umsetzen:
1. Risikomanagement: Identifizieren, bewerten und Abhilfe schaffen
2. Sicherheitsbewertung: eine Selbstanalyse
3. Einfallstore schließen: Ransomware und Sicherheit in der Lieferkette
4. Zugriffsmanagement: Schutz privilegierter Konten
5. Business Continuity: Gerüstet für den Ernstfall
6. Null-Toleranz-Strategie: Zugangskontrolle und Zero Trust