Was ist die NIS-2-Richtlinie?

Die EU-Richtlinie 2022/2555 zur Netzwerk- und Informationssicherheit (NIS-2) stärkt die Cybersicherheit in der EU, indem sie Sicherheitsmaßnahmen für Netz- und Informationssysteme von Organisationen im privaten und öffentlichen Bereich festlegt und so die Resilienz kritischer Infrastrukturen sowie digitaler Dienste verbessert.

Die Richtlinie wurde beschlossen um auf die wachsenden Bedrohungen durch Cyberangriffe und die zunehmende Abhängigkeit von digitalen Technologien zu reagieren. Sie definiert EU-weite verbindliche Mindeststandards, muss jedoch in den Mitgliedstaaten noch in nationales Recht überführt werden, um Rechtsgültigkeit zu erlangen.

Ab wann gilt NIS-2?

Das Gesetz zur Umsetzung der EU-Richtlinie wird voraussichtlich Anfang 2025 beschlossen und tritt ohne Übergangsfrist in Kraft.

Wer ist betroffen?

Die NIS-2-Richtlinie ist verbindlich für öffentliche als auch private Organisationen in 18 Sektoren, die entweder mehr als 50 Mitarbeiter beschäftigen oder einen Jahresumsatz sowie eine Jahresbilanz von mindestens 10 Millionen Euro erzielen.

Unabhängig von ihrer Größe gelten Unternehmen in Sektoren wie kritische Infrastrukturen (KRITIS) oder digitale Infrastruktur als betroffen. Unternehmen können auch dann betroffen sein, wenn sie Teil einer Lieferkette sind. Insgesamt wird die Zahl der betroffenen Unternehmen auf etwa 30.000 bis 40.000 geschätzt.

Betroffene Sektoren

Sektoren mit hoher Kritikalität

• • Energie
  • Transport und Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasserversorgung
  • Abwasserbeseitigung
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten (B2B)
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren

• • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschung

Registrierung und Umsetzung

Betroffene Organisationen müssen sich innerhalb von drei Monaten nach Inkrafttreten des nationalen Umsetzungsgesetzes (NIS2UmsuCG) über das Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

Die Umsetzung der gesetzlichen Maßnahmen muss spätestens drei Jahre nach der Registrierung abgeschlossen sein, und die Einhaltung ist fortan alle drei Jahre dem BSI nachzuweisen.

Was ist zu tun?

Um NIS-2-konform zu werden, müssen Unternehmen mindestens die folgenden Maßnahmen umsetzen

• • Entwicklung eines Sicherheitskonzepts zur Identifizierung, Analyse und Beseitigung von Bedrohungen.
  • Festlegung von Sicherheitsrichtlinien und -standards.
  • Regelmäßige Risikobewertungen zur Identifizierung von Bedrohungen und Schwachstellen.
  • Implementierung technischer und organisatorischer Sicherheitsmaßnahmen zur Risikominderung.
  • Einrichtung eines effektiven Incident-Management-Prozesses.
  • Entwicklung eines Business-Continuity-Managements zur Sicherstellung des Betriebs bei Vorfällen.
  • Identifizierung von Schlüsselprozessen und Implementierung von Wiederherstellungsmaßnahmen.
  • Einrichtung eines Meldewesens für Sicherheitsvorfälle.
  • Schulung der Mitarbeiter zu Meldungen von Sicherheitsvorfällen.
  • Überprüfung der Sicherheitspraktiken von Lieferanten und Dienstleistern.
  • Implementierung von Sicherheitsanforderungen zur Minimierung von Risiken.
  • Kontinuierliche Überwachung der Systeme zur frühzeitigen Erkennung von Sicherheitsvorfällen.
  • Schulung der Mitarbeiter und Durchführung von Sicherheitsübungen.

Verantwortung

Die Geschäftsführung ist verantwortlich für die Schaffung einer Cybersicherheitskultur, das Bereitstellen von Ressourcen und das Ergreifen proaktiver Maßnahmen zum Schutz der Informationssysteme und Netzwerke der Organisation.

Sanktionen und Haftung

Verstöße gegen die gesetzlichen Vorgaben können Bußgelder von bis zu 2 % des Jahresumsatzes nach sich ziehen. Bei Nichtumsetzung haften Leitungsorgane möglicherweise mit ihrem privaten Vermögen für entstandene Schäden.

NIS-2-Compliance mit ISMS?

Ein Informationssicherheits-Managementsystem (ISMS) ist ein wesentlicher Baustein zur Umsetzung und Verbesserung der Informationssicherheit in einer Organisation. Es legt Richtlinien, Prozesse und Technologien fest und strukturiert sie gezielt, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten und zu schützen.

Durch den PDCA-Zyklus (Plan-Do-Check-Act) fördert ein ISMS die systematische Planung, Umsetzung, Überprüfung und kontinuierliche Verbesserung von Sicherheitsmaßnahmen. So unterstützt es Unternehmen und Organisationen dabei, sowohl Normen wie ISO 27001 als auch regulatorische Vorgaben wie NIS-2 nachhaltig umzusetzen und zu erfüllen.

 

 

Kontaktieren Sie uns noch heute…

Mit tec4net an Ihrer Seite wird die Umsetzung der NIS-2-Richtlinie zum Erfolg!

Als Experten für IT-Sicherheit und Datenschutz gehen wir direkt in die Analyse. Wir identifizieren schnell die Lücken in Ihrem aktuellen Sicherheitsstand und schließen diese gezielt.

Gemeinsam entwickeln wir einen maßgeschneiderten, praxisorientierten Plan, der Ihnen die dauerhafte Einhaltung von NIS-2 garantiert.