NIS2

Verbesserung der Resilienz und Reaktionsfähigkeit im Bereich der Cybersicherheit der privaten und öffentlichen Sektoren.

Die NIS2-Richtlinie hat das übergeordnete Ziel, die Cybersicherheit in der Europäischen Union weiter zu stärken und an die sich ständig verändernde digitale Landschaft und Cyberbedrohungen anzupassen. Einher gehen Sanktionen bei Verstößen, bzw. der Nichteinhaltung.

Die EU-Mitgliedsstaaten müssen die NIS2-Richtlinie bis Oktober 2024 in nationales Recht umgesetzt haben.

Wir unterstützen Sie dabei die gesetzlichen Anforderungen zu erfüllen, ohne dabei die Organisation außerhalb der Wertschöpfungskette zu belasten. Mit unserem erprobten Ansatz verhelfen wir Ihnen zu einem konformen Informationssicherheitsmanagementsystem (ISMS) welche die Anforderungen von NIS2 erfüllt.

NIS2-Whitepaper

Whitepaper Download

Vereinbaren Sie ein unverbindliches Erstgespräch.

Termin vereinbaren

Was bedeutet NIS2 und wer ist betroffen?

Unternehmen und Organisationen (Sektoren) müssen sich unter anderem mit den Themen

Risikomanagement,

Risikomanagementmaßnahmen im Bereich der Cybersicherheit.
Ausmaß der Risikoexposition der Einrichtung, die Größe der Einrichtung und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen, gebührend zu berücksichtigen.

Etablierung einer Meldekette bei Informationssicherheitsvorfällen.

Betreffende Unternehmen müssen erhebliche Sicherheitsvorfälle unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme melden.
Unverzüglich, in jedem Fall aber innerhalb von 72 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, eine Meldung über den Sicherheitsvorfall, in der gegebenenfalls die unter Buchstabe a genannten Informationen aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden

Aufrechterhaltung des Betriebs

wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;

Sicherheit der Lieferkette

einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern; einschließlich der Sicherheit ihrer Entwicklungsprozesse

Termin vereinbaren

Geltungsbereich

Neu ist, dass die Zahl der betroffenen Unternehmen und Organisationen erhöht wurde, die in den Anwendungsbereich fallen. Hierzu gehören mittlere und große Unternehmen aus den definierten Sektoren:

Mittlere Unternehmen : 50-250 Beschäftigte, 10-50 Mio. Euro Umsatz, < 43 Mio. Euro Bilanz
Große Unternehmen: >250 Beschäftigte, > 50 Mio. Euro Umsatz, > 43 Mio. Euro Bilanz

Die Sektoren werden zusätzlich unter wesentlichen und wichtigen unterschieden.
Der Hauptunterschied zwischen den beiden Sektoren besteht darin, dass sie unterschiedlich hoch sanktioniert werden. Unternehmen, die in den Bereich der wesentlichen Sektoren fallen (KRITIS) unterstehen außerdem der behördlichen Aufsicht.

NIS2 Sektoren

Anhang I (=Sektoren mit hoher Kritikalität)	Anhang II (=sonstige kritische Sektoren)
Energie (Elektrizität, Fernwärme/Kälte, Öl, Gas und Wasserstoff)	Post- und Kurierdienste
Verkehr (Luft, Schiene, Schifffahrt, Straße	Abfallbewirtschaftung
Bankwesen	Chemie (Herstellung und Handel)
Finanzmarktinfrastrukturen	Lebensmittel (Produktion, Verarbeitung, Vertrieb)
Gesundheitswesen (Gesundheitsdienstleister,EU-Referenzlaboratorien, Forschung und Herstellung von pharmazeutischen und medizinischen Produktion und Geräte)	Verarbeitendes / Herstellendes Gewerbe (Medizinprodukte; Datenverarbeitungs-, elektronische und optische Geräte und elektronische Ausrüstungen; Maschinenbau; Kraftwagen und Kraftwagenteile und sonstiger Fahrzeugbau)
Trinkwasser	Anbieter digitaler Dienste (Suchmaschinen, Online-Marktplätze und soziale Netzwerke
Abwasser	Forschung
Digitale Infrastruktur (IXP, DNS, TLD, Cloud-Computing, Rechenzentren, CDN, TSP und Anbieter öffentlicher elektronischer Kommunikationsnetze- und dienste)
Verwaltung von IKT-Diensten (B2B)
Öffentliche Verwaltung
Weltraum
	Rot = Neuerungen gegenüber der NIS1

Was ändert sich?

Durch den erweiterten Anwendungsbereich sind viele Unternehmen und Organisationen betroffen.

Die betroffenen Unternehmen und Organisationen müssen ein wirksames Informationssicherheitsmanagementsystem (ISMS) aufbauen. Neben dem Rahmenwerk (bspw. ISO/IEC 27001:2022 gehören definierte Maßnahmen zur Erhöhung der betriebliche Resilienz, ein funktionierendes Risikomanagement und ein etabliertes Berichtswesen dazu.

Es gilt das Business Continuity Management und die Sicherheit in der Lieferkette sicherzustellen.