Um auf die zunehmenden Bedrohungen durch die Digitalisierung und die Zunahme von Cyberangriffen zu reagieren, hat die Europäische Kommission einen Vorschlag zur Ersetzung der NIS-Richtlinie durch NIS2 vorgelegt. Dies soll die Sicherheitsanforderungen stärken, die Sicherheit von Lieferketten ansprechen, Meldeverpflichtungen vereinfachen und strengere Aufsichtsmaßnahmen sowie verschärfte Durchsetzungsanforderungen, einschließlich harmonisierter Sanktionen in der gesamten EU, einführen.

Das Hauptziel der NIS2-Richtlinie besteht darin, die Cybersicherheit und Resilienz kritischer Infrastrukturen und digitaler Dienstleister innerhalb der Europäischen Union zu stärken. 

Einige der wichtigsten Unterschiede zwischen der alten und der neuen Richtlinie umfassen präzisere Bestimmungen zum Prozess der Meldung von Vorfällen, zum Inhalt der Berichte und zum Zeitpunkt (innerhalb von 24 Stunden nach Entdeckung des Vorfalls). Auf europäischer Ebene stärkt NIS2 die Cybersicherheit für wichtige Informations- und Kommunikationstechnologien. Die Mitgliedstaaten müssen in Zusammenarbeit mit der Kommission und der Agentur der Europäischen Union für Cybersicherheit (ENISA) koordinierte Risikobewertungen kritischer Lieferketten durchführen.

Lesen Sie unsere Broschüre, um mehr über die Unterschiede zwischen der alten und neuen Richtlinie zu erfahren.

NIS2 betrifft alle Organisationen, die wesentliche (“essential”) oder wichtige (“important”) Dienstleistungen für die europäische Wirtschaft und Gesellschaft erbringen.

Wenn Ihre Organisation unter eine der unten aufgeführten Kategorien fällt, gilt NIS2 auch für Sie.

Wesentliche Einrichtungen (EE)

Größen-Schwellenwert: variiert je nach Branche, liegt aber im Allgemeinen bei 250 Mitarbeitenden, einem jährlichen Umsatz von 50 Millionen Euro oder einer Bilanzsumme von 43 Millionen Euro:

• Energie
• Transport
• Finanzen
• Öffentliche Verwaltung
• Gesundheit
• Weltraum
• Wasserversorgung (Trinkwasser & Abwasser)
• Digitale Infrastruktur (z. B. Cloud-Computing-Dienstleister und ICT-Management)

Wichtige Einrichtungen (IE)

Größen-Schwellenwert: variiert je nach Branche, liegt aber im Allgemeinen bei 50 Mitarbeitenden, einem jährlichen Umsatz von 10 Millionen Euro oder einer Bilanzsumme von 10 Millionen Euro:

• Postdienste
• Abfallwirtschaft
• Chemie
• Forschung
• Lebensmittel
• Fertigung
• Digitale Anbieter (z. B. soziale Netzwerke, Suchmaschinen, Online-Marktplätze)

Branchen, die bereits in der ursprünglichen Richtlinie berücksichtigt wurden, bleiben es auch im Rahmen der aktualisierten NIS2-Richtlinie. Darüber hinaus werden bestimmte kleinere Organisationen, die als entscheidend für die Funktionsfähigkeit eines Mitgliedstaates betrachtet werden, in das NIS2-Framework aufgenommen, um potenzielle Probleme anzugehen, die bei einem sie betreffenden Cyberangriff auftreten könnten.

Die NIS2-Richtlinie erkennt auch an, dass bestimmte Branchen möglicherweise bereits Gesetzgebungen zur Cybersicherheit haben. Wenn diese sektorspezifischen Gesetze vergleichbare oder bessere Cybersicherheitsmaßnahmen bieten als die in der NIS2-Richtlinie festgelegten, gelten diese Regelungen nicht für diese Einrichtungen. Die Bestimmungen der NIS2-Richtlinie bleiben jedoch für Organisationen gültig, die nicht von diesen sektorspezifischen Gesetzen erfasst werden.

Die NIS2-Richtlinie führt neue Verpflichtungen für Organisationen in vier Hauptbereichen ein: Risikomanagement, Unternehmensverantwortung, Meldepflichten und betriebliche Kontinuität.

• Risikomanagement

Organisationen müssen Cyber-Risiken reduzieren, um der neuen Richtlinie zu entsprechen. Methoden wie Incident Management, eine verbesserte Sicherheit der Lieferkette, gesteigerte Netzwerksicherheit, bessere Zugangskontrollen und Verschlüsselungen werden umgesetzt.

• Unternehmensverantwortung

Die NIS2 verlangt von der Unternehmensleitung, dass sie die Cybersicherheitsverfahren des Unternehmens überwacht, genehmigt, entsprechend geschult wird und dass sie sich mit Cyberrisiken befasst. Die Unternehmensleitung kann bei Verstößen mit Sanktionen rechnen, einschließlich der Haftung und einem vorübergehenden Ausschluss von Führungspositionen.

• Meldepflichten

Wesentliche und wichtige Einrichtungen müssen Systeme haben, um Sicherheitsvorfälle, die einen erheblichen Einfluss auf ihr Dienstleistungsangebot oder ihre Nutzer haben, so schnell wie möglich melden. NIS2 legt Benachrichtigungsfristen fest, wie z.B. eine "Frühwarnung" von 24 Stunden.

• Betriebliche Kontinuität

Organisationen müssen planen, wie sie die betriebliche Kontinuität im Falle schwerwiegender Cyber-Vorfälle aufrechterhalten werden. Diese Strategie sollte die Wiederherstellung von Systemen, Notfallverfahren und die Bildung eines Krisenreaktionsteams berücksichtigen.

Eine gute Möglichkeit sicherzustellen, dass Ihr Unternehmen die Anforderungen von NIS2 erfüllt, besteht darin, die ISO-27001-Zertifizierung zu erlangen (die NIS2-Richtlinie bezieht sich ausdrücklich auf ISO 27001). Obwohl ISO 27001 (Informationssicherheit, Cybersicherheit und Datenschutz) und die NIS2-Richtlinie unterschiedliche Zwecke erfüllen, ergänzen sie sich effektiv. ISO 22301 hingegen behandelt Aspekte des Business Continuity Managements (BCM), was die umfassende Umsetzung von NIS2 weiter verstärkt. 

Nutzen Sie unser Mapping-Tool, um einen einfachen Überblick über die Beziehung zwischen NIS2 und der ISO/IEC 27001-Norm zu erhalten.

Anstelle einer Zertifizierung zu ISO/IEC 27001 und ISO 22301 können wir auch eine GAP-Analyse für Ihr Unternehmen durchführen. Unsere Experten identifizieren, welche Anforderungen Sie bereits erfüllen und welche Schritte Sie noch unternehmen müssen, um NIS2-konform zu werden. 

Da zu den Kernelementen der NIS2-Richtlinie die Sicherheitsstandards für die Lieferkette gehören, ist möglicherweise ein Audit der Lieferkette für Ihre Organisation sinnvoll. Auch hier können Sie sich auf unsere professionelle Unterstützung verlassen, um die Einhaltung der NIS2-Richtlinie zu erreichen. 

Erfahren Sie mehr zum Thema NIS2-Konformität:  

• Lesen Sie unsere Broschüre, um mehr darüber zu erfahren, wie ISO/IEC 27001 und ISO 22301 dazu beitragen, die NIS2-Konformität sicherzustellen
• Nutzen Sie unser benutzerfreundliches Mapping-Tool zum Vergleich der NIS2-Anforderungen mit der ISO/IEC 27001-Norm

Die Frist für die Mitgliedstaaten, die NIS2-Richtlinie in nationales Recht umzusetzen, endet am 17. Oktober 2024.

Fällt Ihr Unternehmen in den Geltungsbereich der NIS2-Richtlinie, können Sie im Falle einer Nichteinhaltung mit einer Geldstrafe von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist) belegt werden. Neben der Geldstrafe können auch nicht-monetäre und strafrechtliche Sanktionen für die Geschäftsführung verhängt werden.

Im Hinblick auf Geldbußen unterscheidet die NIS2-Richtlinie sorgfältig zwischen wesentlichen und wichtigen Einrichtungen. 

Weitere Details zu Strafen für Nichtkonformität erfahren Sie in unserer Broschüre.