fbpx
Seite wählen

NIS2-Richtlinie:
Was jetzt für Unternehmen wichtig ist

Die neue EU-Richtlinie für Cybersicherheit im Überblick

Kontaktieren Sie uns

NIS2: Die neue Richtlinie zur Stärkung der Cybersicherheit

Die neue EU-Richtlinie NIS 2 zur Stärkung der Cybersicherheit wird Gesetz: Wir erklären Ihnen, worauf es ankommt und wie Sie Ihr Unternehmen optimal vorbereiten. Den Grundstein legt dabei ein Informationssicherheits-Managementsystem (ISMS) nach den Vorgaben der ISO 27001: bereits 70% der NIS2-Anforderungen können damit erfüllt werden. Darüber hinaus erfahren Sie, was beim Risiko- und Asset-Management, Reporting und der Business Continuity jetzt wichtig ist.

Stärkung der Netzwerk– und Informationssicherheit

Die NIS2 Richtlinie und ihre Bedeutung

  • Mit der Verabschiedung der zweiten Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) will die Europäische Union die Cybersicherheit in vielen wichtigen Wirtschaftssektoren erhöhen. Die Anforderungen an betroffene Unternehmen steigen, zudem können die Aufsichtsbehörden in Zukunft härter durchgreifen.

 

  • Die Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Vorgaben in nationales Recht zu überführen. Mit den Vorbereitungen sollten betroffene Organisationen spätestens jetzt beginnen – die Maßnahmen sind umfassend und benötigen viele Ressourcen.

Für wen ist NIS2 relevant?

Im Vergleich zur alten NIS-Richtlinie werden mit NIS2 die betroffenen Wirtschaftssektoren erheblich erweitert und in Essential und Important Entities unterteilt.

Die wesentlichen Unterschiede liegen in der verstärkten staatlichen Überwachung und den strengeren Sanktionsmöglichkeiten bei den Essential Entities.

In der Regel sind nur mittlere und große Unternehmen betroffen, die mindestens 50 Mitarbeiter oder einen Jahresumsatz von 10 Mio. € haben.

Unternehmen werden oft unzureichend über die NIS2-Richtlinie informiert, und es ist häufig schwierig festzustellen, ob ein Unternehmen einem der betroffenen Sektoren angehört.

Übersicht der betroffenen Sektoren

Die NIS2 Directive betrifft Einrichtungen aus 18 Sektoren, die in Anhang I und II aufgeführt sind. Darin steht für jeden Sektor genau, welche „Art der Einrichtung“ betroffen ist. Entscheidend ist daher, ob Sie einer darin genannten Art der Einrichtung entsprechen. Diese Einrichtungen werden in Anhang I und Anhang II jeweils noch genauer definiert.

Anhang 1 umfasst 11 Sektoren

Weltraum

P

Gesundheit

Energie

Trinkwasser

Verkehr

Digitale Infrastruktur

Bankwesen

Abwasser

Finanzmarkt

Verwaltung IKT-Dienste

Verwaltung

Anhang 2 umfasst 7 Sektoren

Post- und Kurierdienste

Digitale Dienste

Abfallwirtschaft

Forschungsinstitute

Chemikalien

Verarbeitendes Gewerbe

Lebensmittel

Sie benötigen Hilfe bei der Umsetung von NIS2?
Kontaktieren Sie uns

Welche Anforderungen stellt NIS2 an Unternehmen?

Neue Vorgaben verpflichten die Unternehmen zur Stärkung der Cybersicherheit und zu mehr Kommunikation mit den nationalen Aufsichtsbehörden – in Deutschland ist das das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die wichtigsten Maßnahmen im Überblick:

 

    • Es müssen Prozesse für Risikoanalyse und -management, Informationssicherheit und die Bewältigung von Cyber-Vorfällen festgelegt werden. Diese orientieren sich an den Kriterien der ISO 27001 für ein ISMS.
    • Für die Bewältigung eines Notfalls müssen Business Continuity- und Wiederherstellungspläne vorliegen.
    • Erhebliche Vorfälle müssen innerhalb sehr kurzer Fristen – in manchen Fällen 24 Stunden – an das BSI gemeldet werden.
    • Der Einsatz von Verschlüsselungstechnik und Multi-Faktor-Authentifizierung ist unternehmensweit gefordert.
    • Regelmäßige Schulungen des gesamten Personals, die über Verhaltensregeln zur Informationssicherheit und Veränderungen in der Risikolandschaft aufklären, müssen dem BSI nachgewiesen werden.

Eine rechtzeitige NIS2 Compliance

Wieso Sie jetzt aktiv werden müssen

Bereits heute fehlen in Deutschland mehr als 100.000 Fachkräfte im Bereich Cybersicherheit. Die Einführung von NIS2 wird diese Lücke weiter vergrößern.

Viele Unternehmen werden bis zur Verabschiedung des nationalen Gesetzes im Oktober 2024 abwarten und dann unter extremem Zeitdruck die Umsetzung beginnen. Sie werden mit anderen Unternehmen um die knappen Ressourcen konkurrieren und hohe Kosten für beschleunigte und fehleranfällige Prozesse aufwenden.

Indem Sie diesen Unternehmen voraus sind, können Sie sich einen Wettbewerbsvorteil verschaffen.

Eine Zusammenarbeit mit CMD bietet zahlreiche Vorteile. Zunächst minimiert sie das Risiko von Geldbußen und Sanktionen, indem sie eine umfassende Compliance mit NIS2 sicherstellt.

Durch die Stärkung der Cybersicherheit wird das Unternehmen widerstandsfähiger gegen teure Datenlecks und Ransomware-Angriffe. Darüber hinaus schafft sie Vertrauen bei Kunden, Partnern und Investoren, da sie zeigt, dass das Unternehmen sich aktiv um den Schutz sensibler Informationen bemüht.

Nicht zuletzt ermöglicht die Zusammenarbeit langfristige Ressourceneinsparungen durch einen effizient geplanten Umsetzungsprozess.

CMD bietet eine einzigartige Kombination aus technologischer Plattformlösung und fachkundiger, branchenspezifischer Beratung, um gemeinsam den besten Weg zur NIS2-Compliance für Ihr Unternehmen zu finden.

 

Was passiert, wenn Sie nicht handeln?

Verschärfte Sanktionen: Die nationalen Behörden erhalten erweiterte Befugnisse zur Verhängung von Strafen:

  • Geschäftsführer und das Management können persönlich für die Nichteinhaltung der Richtlinien haftbar gemacht werden, insbesondere in wichtigen Wirtschaftssektoren.
  • Bußgelder können beträchtlich sein, mit bis zu 10 Millionen € oder 2% des Gesamtumsatzes für essenzielle Unternehmen und bis zu 7 Millionen € oder 1,4% des Gesamtumsatzes für wichtige Unternehmen.
  • Die Aufsichtsbehörde kann den Geschäftsbetrieb aussetzen, wenn dies zur Wahrung der Netzsicherheit erforderlich ist.

Erhöhte Anfälligkeit gegenüber Cyberangriffen: Datenpannen haben letztes Jahr durchschnittlich Kosten von 4,35 Millionen $ pro Vorfall verursacht, wobei 83% aller Organisationen mehrere Datenlecks aufweisen, von denen viele unentdeckt bleiben, bis der Schaden enorm ist.

Es ist dringend erforderlich, die umfassenden Maßnahmen der NIS2-Richtlinie so schnell wie möglich zu implementieren, um Ihr Unternehmen angemessen vor diesen Gefahren zu schützen. Dafür sollte Ihr Cybersicherheitsbudget um 22% erhöht werden.

NIS2 – FAQs
Ihre Fragen – unsere Antworten
Was bedeutet NIS2?

Bei der NIS 2 handelt es sich um die zweite Richtlinie der EU zur Stärkung der Netzwerk- und Informationssicherheit im europäischen Wirtschaftsraum. Sie wurde 2022 vom EU-Parlament verabschiedet und muss bis zum 18. Oktober 2024 von den Mitgliedsstaaten in nationales Recht überführt werden. Unternehmen aus insgesamt 18 Bereichen der Wirtschaft sind betroffen.

Für welche Unternehmen gilt NIS2?

NIS 2 definiert 11 betroffene Wirtschaftssektoren als Essential Entities und 7 weitere als Important Entities. Dabei sind nur Unternehmen betroffen, die mindestens 50 Mitarbeiter beschäftigen und 50 Mio. € Jahresumsatz erzielen. Unabhängig von ihrer Größe werden zudem Anbieter digitaler Infrastruktur, die öffentliche Verwaltung und Betreiber, deren Ausfall einen signifikanten Effekt auf Gesellschaft, Wirtschaft und Sicherheit hätte, zu den Essential Entities gezählt.

Was ist das Ziel von NIS?

Die neuen NIS-Gesetze sollen die Resilienz gegen Cyberangriffe über alle relevanten Branchen hinweg steigern. Ziel ist es, ein hohes, einheitliches Sicherheitsniveau in der gesamten EU herzustellen. Dafür werden die Mitgliedstaaten stärker kooperieren und Informationen und Daten untereinander austauschen. Auch die Sicherheit der Lieferketten (Supply Chain Security) soll so sichergestellt werden.

Mein Unternehmen ist IS27001-zertifiziert. Muss ich noch was tun?

Ja. Die Vorgaben der ISO 27001 decken NIS2 nur zu 70% ab. NIS2 erweitert die Anforderungen beim Risiko- und Assetmanagement und Business Continuity-Plänen. Zudem müssen standardisierte Prozesse zur Vorfallsmeldung eingerichtet werden. Durch die erhöhte Haftung von Vorständen und Geschäftsführern müssen diese außerdem stärker als bisher in Sicherheitsprozesse eingebunden und geschult werden.

Welche NIS2 Maßnahmen gibt es?

Gemäß der neu eingeführten NIS2-Richtlinie sind alle betroffenen Unternehmen dazu verpflichtet, die folgenden Cybersecurity-Maßnahmen einzuleiten, um die Risiken für Gefahren bei Netz- und Informationssystemen vollständig einzudämmen oder zumindest auf ein Minimum zu reduzieren.

Policies: Konzeptentwicklung für Risikoanalysen und Sicherheit von Informationssystemen  

Vorfallbewältigung: Erkennung & Minimierung von Sicherheitsvorfällen 

GeschäftskontinuitätBackup-Management & Herstellung sowie Krisenmanagement 

LieferketteSicherheit der Lieferkette Einkauf: Sicherheit bei der Beschaffung, Entwicklung und Wartung von IT-Systemen 

Wirksamkeit: Strategien zur Bewertung der Wirksamkeit von Maßnahmen im Risikomanagement  

Cyberhygiene, Schulungen: Weiterbildungen auf dem Gebiet der Cybersecurity & speziell NIS2  

Kryptographie: für Maßnahmen und Einsatz von Kryptographie & Verschlüsselung 

Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management  

Authentifizierung: Lösungen für Multi-Faktor-Authentifizierungen oder kontinuierliche Authentifizierungen 

 Kommunikation: Sichere Sprach-, Video- und Textkommunikation & eventuelle Notfallkommunikationssysteme  

Wer ist verantwortlich für die Einhaltung von NIS2?

Als Geschäftsführer tragen Sie gemäß der neuen EU-Richtlinie NIS2 die Verantwortung für die Überwachung und Durchführung erforderlicher Maßnahmen. Im Falle von Verstößen können Sie persönlich zur Rechenschaft gezogen werden.

Im Rahmen von NIS2 ist es erforderlich, dass CEOs an Schulungen teilnehmen und sicherstellen, dass auch ihre Mitarbeiter entsprechend geschult sind.

Wir stehen Ihnen gerne zur Verfügung, um Schulungen zur Cybersicherheit und den neuen Anforderungen der NIS2-Richtlinie anzubieten.

Wie hoch sind die Geldstrafen bei Verstößen gegen NIS2?

Gemäß der EU-Richtlinie NIS2 unterscheidet sich die Höhe der Geldbuße je nach Einstufung (wesentlich/wichtig, groß/mittel/klein). Der Höchstbetrag liegt bei 10 Mio € oder 2% des weltweiten Umsatzes.

Muss ich mein Unternehmen für NIS2 registrieren?

Ja. Nach Vorschriften der NIS2-Directive müssen sich alle betroffenen Unternehmen bei der nationalen Behörde registrieren. Das genaue Vorgehen zur Registrierung ist jedoch noch nicht festgelegt.

Google Maps

Mit dem Laden der Karte akzeptieren Sie die Datenschutzerklärung von Google.
Mehr erfahren

Karte laden

E-Mail

kontakt@bes.gmbh

Adresse

Industriestraße 6, 91126 Schwabach

Telefon

09122 98211-20

Kontakt Formular

Bitte verwenden Sie gerne unser Kontaktformular, um uns eine Nachricht zu senden. Unser Team wird sich schnellstmöglich mit Ihnen in Verbindung setzen.

Datenschutz

Instagram_AppIcon_Aug2017-2048x2048f_logo_RGB-Blue_1024teamviewer