Worum geht es in der NIS2?
Die NIS2-Richtlinie (NIS2 steht für Network and Information Security Directive 2) ist eine EU-Richtlinie, welche bis zum 17.10.2024 in die deutsche Gesetzgebung überführt werden muss. Ziel ist es Unternehmen vor
Cyberangriffen zu schützen und den wirtschaftlichen Schaden für Unternehmen zu begrenzen. Von dieser gesetzlichen Regelungen sind Unternehmen, die über 10 Mio. € Umsatz / Jahr erwirtschaften, mehr als 50 Mitarbeiter haben und zu den unten aufgeführten 22 Sektoren gehören, betroffen. Um den gesetzlichen Anforderungen nachzukommen, sind diese Unternehmen verpflichtet ein Informationssicherheits-Management-System (ISMS) aufzubauen.
Hier sind die wichtigsten Anforderungen der NIS2-Richtlinie für Unternehmen:
- Schaffen eines organisatorischen Rahmenwerks zur Prävention,
- Einführung eines Risikomanagements,
- Etablierung der Cyberhygiene und der Awareness,
- Implementierung eines Reaktionsplans,
- die Einführung schärferer Überwachungsmechanismen (TOM),
- Maßnahmenetablierung zur Detektion und Früherkennung,
- kontinuierliche Anpassung des Schutzbedarfs.
Auszug unserer Kunden.
ReferenzenWer ist betroffen?
Mit Inkrafttreten der NIS-2-Richtlinie müssen ab 2024 Unternehmen in 22 Sektoren die festgelegten Mindeststandards der Informationssicherheit umsetzen. Die NIS-2-Richtlinie gilt hierbei für Unternehmen ab 50 Mitarbeitern und Mitarbeiterinnen und 10 Mio. Euro Umsatz. Einige Unternehmen sind unabhängig von ihrer Größe betroffen – dies betrifft Teile der digitalen Infrastruktur und der öffentlichen Verwaltung. Konkret reguliert die EU NIS2 bestimmte Betreiber (sogenannte Entities), die in 22 Sektoren aufgeteilt sind. Zu den „Essential Entities“ gehören Betreiber aus 11 Sektoren und Sonderfälle, zu den „Important Entities“ gehören 10 Sektoren und mittlere Betreiber aller Sektoren. Die Unterscheidung zwischen „Essential Entities“ und „Important Entities“ bestimmt auch den Umfang der staatlichen Aufsicht und die Sanktionierungsmöglichkeiten bei Missachtung und Zuwiderhandlung.