Was ist NIS2?
EU-Richtlinie
Die EU hat die Cybersicherheitsvorschriften von 2016 durch die NIS2- Richtlinie von 2023 aktualisiert, um den Herausforderungen der zunehmenden Digitalisierung und der sich wandelnden Bedrohungslandschaft gerecht zu werden.
Bis zum 17. Oktober 2024 müssen EU-Länder die Security-Mindeststandards für die Bekämpfung von Cyberangriffen in nationales Recht umsetzen.
Die Richtlinie erweitert den Anwendungsbereich auf neue Sektoren, verbessert die Resilienz von öffentlichen und privaten Einrichtungen sowie der EU insgesamt und zielt darauf ab, das Gesamtniveau der Cybersicherheit in der EU zu erhöhen.
Die Mitgliedstaaten müssen sich vorbereiten, indem sie über angemessene Ressourcen wie Computer Security Incident Response Teams (CSIRTs) und nationale Behörden für Netzwerk- und Informationssysteme (NIS) verfügen.
Die Richtlinie fördert die Zusammenarbeit zwischen den Mitgliedstaaten und die Entwicklung einer Sicherheitskultur in kritischen Sektoren wie Energie, Verkehr, Gesundheitsversorgung und digitaler Infrastruktur.
Unternehmen in diesen Sektoren müssen angemessene Sicherheitsmaßnahmen ergreifen und schwere Vorfälle den nationalen Behörden melden. Wichtige Anbieter digitaler Dienste müssen ebenfalls den Sicherheitsanforderungen der Richtlinie entsprechen.
Besonders für Unternehmen, die bisher nicht von der NIS-Richtlinie betroffen waren, bedeutet das eine große Herausforderung.
Füllen Sie das Formular aus, um das Whitepaper kostenlos zu erhalten.
Wer ist von der NIS2 Richtlinie betroffen?
SEKTOREN BESONDERS WICHTIGER UND WICHTIGER EINRICHTUNGEN
Energie mit folgenden Branchen
- Stromversorgung
- Gasversorgung
- Fernwärmeversorgung oder Fernkälteversorgung
- Kraftstoff- und Heizölversorgung
Transport und Verkehr mit folgenden Branchen
- Luftverkehr
- Schienenverkehr
- Schifffahrt
Finanzwesen mit folgenden Branchen
- Bankwesen
- Finanzmarktinfrastruktur
Wasser mit folgenden Branchen
- Trinkwasserversorgung
- Abwasserversorgung
Gesundheit
Weltraum
SEKTOREN WICHTIGER
EINRICHTUNGEN
Transport und Verkehr mit folgenden Branchen
- Post- und Kurierdienste
Anbieter digitaler Dienste und Forschung
Verarbeitendes Gewerbe/Herstellung von Waren mit folgenden Branchen
- Herstellung von Medizinprodukten und In-vitro-Diagnostika
- Herstellung von Datenverarbeitungsgeräten
- elektronischen und optischen Erzeugnissen
- Herstellung von elektrischen Ausrüstungen
- Herstellung von Kraftwagen und Kraftwagenteilen
- sonstiger Fahrzeugbau
- Maschinenbau
Abfallbewirtschaftung
Produktion/Verarbeitung/Vertrieb von Lebensmitteln
Produktion/Herstellung/Handel mit chemischen Stoffen
REGULIERUNG UNABHÄNGIG VON DER GRÖSSE
Qualifizierte Vertrauensdienste
Betreiber kritischer Anlagen
TDL-Registries
DNS-Dienste
Einrichtungen der Bundesverwaltung
- Stellen des Bundes
- Körperschaften
- Stiftungen des öffentlichen Rates
- Anstalten
Wichtige und besonders wichtige
Einrichtungen
Welche Unternehmen die NIS-2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz. Unterschieden werden dabei mittlere und große Unternehmen:
Große Unternehmen
mindestens 250 Mitarbeitende oder Jahresumsatz > 50 Mio. Euro und eine Jahresbilanzsumme von über 43 Mio. Euro.
Besonders wichtige Einrichtung
Mittlere Unternehmen
mindestens 50 Mitarbeiter oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Mio. Euro.
Wichtige Einrichtung
Welche Maßnahmen sind erforderlich?
Gemäß der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022
in Kapitel IV, Artikel 21 müssen die definierten Risikomanagementmaßnahmen im Bereich der Cybersicherheit
auf einen gefahrenübergreifenden Ansatz beruhen.
Dieser gefahrenübergreifende Ansatz muss darauf abzielen, die Netz- und Informationssysteme und die
physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen und zumindest Folgendes umfassen:
Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
Konzepte und Verfahren für den Einsatz von Kryptografie und ggf. Verschlüsselung
Bewältigung von
Sicherheitsvorfällen
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
im Bereich der Cybersicherheit
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
Welche Konsequenzen gibt es bei
Nichteinhaltung?
Erstmals hat die Europäische Union auch die Geschäftsführer der Unternehmen in die Haftung genommen.
Welche Konsequenzen das für Unternehmen, sowohl aus dem wichtigen als auch aus dem besonders wichtigen Sektor, bedeutet, sehen Sie in dieser Übersicht.
BESONDERS WICHTIGE EINRICHTUNGEN
- Audits, Prüfungen oder Zertifizierungen
- Öffentliche Bekanntmachung der Verstöße
- Aussetzung von Zertifizierungen
- Verbot der Wahrnehmung von Leitungsaufgaben natürlicher Personen auf Geschäftsführungs- bzw. Vorstandsebene
- Geldbußen von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
- Persönliche Haftung der Geschäftsführung
WICHTIGE EINRICHTUNGEN
- Audits, Prüfungen oder Zertifizierungen > im Verdachtsfall
- Verlangen von Nachweisen, Sicherheitsscans
- Öffentliche Bekanntmachung der Verstöße
- Geldbußen von bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes
- Persönliche Haftung der Geschäftsführung
FÜR NIS2-REGULIERTE UNTERNEHMEN
- Regelmäßiger Review und Anpassung der Maßnahmen
FÜR GESCHÄFTSFÜHRER UND C-LEVEL
- Die Geschäftsführer der Unternehmen haften ab sofort sowohl mit dem Firmen- als auch mit dem Privatvermögen bei möglichen Verstößen gegen die Richtlinien.
Wie kann Sie die MR Datentechnik unterstützen?
Die Experten der MR Datentechnik unterstützen Sie gerne beim Erreichen der NIS2-Konformität und Ihre Sicherheitsmaßnahmen gemäß den EU-Mindestanforderungen zu verbessern.
Wir beleuchten gemeinsam mit Ihnen die organisatorischen und technischen Gegebenheiten in Ihrem Unternehmen und erarbeiten einen Maßnahmenplan, um die vorgegebenen Ziele zu erreichen.
Wir setzen auf Verhältnismäßigkeit, um sicherzustellen, dass die vorgeschlagenen Sicherheitsmaßnahmen im Einklang mit den Bedürfnissen und Ressourcen Ihres Unternehmens stehen.
Profitieren Sie von dem umfangreichen Wissen unserer Cybersecurity-Experten und unserer langjährigen Erfahrung mit verschiedenen Zertifizierungen und Richtlinien.
Unsere Vorgehensweise passen wir individuell auf Ihre Bedürfnisse an, mit dem Ziel, Ihr Sicherheitsniveau kontinuierlich zu erhöhen.
Kostenlose Erstberatung
Wir helfen Ihnen gerne dabei zu überprüfen, ob die NIS2-Richtlinie Auswirkungen auf Ihr Unternehmen hat. Kontaktieren Sie uns gerne für eine kostenlose Beratung zum Thema NIS2.