NIS2 Richtlinie
Was jetzt für Ihr Unternehmen wichtig ist /// Stand: 10. Oktober 2023
EU Richtlinie
Was ist NIS2?
Die Network-and-Information-Security-Richtlinie 2.0 (NIS2) ist eine Richtlinie der Europäischen Union mit dem Ziel, das Cybersicherheitsniveau in den Mitgliedstaaten zu erhöhen. Sie ersetzt NIS und definiert Mindeststandards für die Cybersicherheit kritischer Infrastrukturen in der EU. Bis zum 17. Oktober 2024 müssen EU-Länder die Security-Mindeststandards für die Bekämpfung von Cyberangriffen in nationales Recht umsetzen. Besonders für Unternehmen, die
bisher nicht von der NIS-Richtlinie betroffen waren, bedeutet das eine große Herausforderung.
Wer ist von der NIS2 Richtlinie betroffen?
WESENTLICHER
SEKTOR
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten
- Öffentliche Verwaltung
- Raumfahrt
WICHTIGER
SEKTOR
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion/Herstellung/Handel mit chemischen Stoffen
- Produktion/Verarbeitung/Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
REGULIERUNG UNABHÄNGIG VON DER GRÖSSE
- Öffentliche Verwaltung bis hin zur lokalen Ebene
- Bildungseinrichtungen
- ÖPNV
- Dienste mit grenzübergreifenden Auswirkungen im Störungsfall
- Dienste mit Auswirkungen auf die öffentliche Ordnung, Sicherheit, Gesundheit im Störungsfall
- Domänennamen-Registrierungsdienste
Wesentliche und wichtige Einrichtungen
Welche Unternehmen die NIS-2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz. Unterschieden werden dabei mittlere und große Unternehmen:
Mittlere Unternehmen
50 bis 250 Mitarbeiter, 10 bis 50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR
Große Unternehmen
Mehr als 250 Mitarbeiter, mehr als 50 Millionen EUR Umsatz, Bilanzsumme größer als 43 Millionen EUR
Welche Maßnahmen sind erforderlich?
Folgende Maßnahmen sind als Bestandteil der NIS2 definiert und müssen für eine Konformität betrachtet werden (Kapitel IV, Artikel 21):
Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
Konzepte und Verfahren für den Einsatz von Kryptografie und ggf. Verschlüsselung
Bewältigung von
Sicherheitsvorfällen
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
im Bereich der Cybersicherheit
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
Welche Konsequenzen gibt es bei Nichteinhaltung?
Erstmals hat die Europäische Union auch die Geschäftsführer der Unternehmen in die Haftung genommen. Das bedeutet konkret, dass die Geschäftsführer der Unternehmen sowohl mit dem Firmen- als auch Privatvermögen bei möglichen Verstößen gegen die Richtlinien haftbar gemacht werden.
FÜR WESENTLICHEN
SEKTOR
- Vor-Ort-Kontrollen, Ad-hoc-Prüfungen, Verlangen von Nachweisen
- Öffentliche Bekanntmachung der Verstöße
- Aussetzung von Zertifizierungen
- Verbot der Wahrnehmung von Leitungsaufgaben natürlicher Personen auf Geschäftsführungs- bzw. Vorstandsebene
- Geldbußen von bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes
- Persönliche Haftung der Geschäftsführung
FÜR WICHTIGEN
SEKTOR
- Vor-Ort-Kontrollen, gezielte Sicherheitsprüfungen, Verlangen von Nachweisen, Sicherheitsscans
- Öffentliche Bekanntmachung der Verstöße
- Geldbußen von bis zu 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes
- Persönliche Haftung der Geschäftsführung
FÜR NIS2 REGULIERTE UNTERNEHMEN
- Regelmäßiger Review und Anpassung der Maßnahmen
FÜR GESCHÄFTSFÜHRER UND C-LEVEL
- Die Geschäftsführer der Unternehmen haften ab sofort sowohl mit dem Firmen- als auch mit dem Privatvermögen bei möglichen Verstößen gegen die Richtlinien.
Wie kann Sie die MR Datentechnik unterstützen?
Die Experten der MR Datentechnik unterstützen Sie gerne beim Erreichen der NIS2-Konformität.
Wir beleuchten gemeinsam mit Ihnen die organisatorischen
und technischen Gegebenheiten in Ihrem Unternehmen und erarbeiten einen Maßnahmenplan, um die vorgegebenen Ziele zu erreichen.
Profitieren Sie von dem umfangreichen Wissen unserer Cybersecurity- Experten und unserer langjährigen Erfahrung mit unterschiedlichsten Zertifizierungen und Richtlinien.
Unsere Vorgehensweise passen wir individuell auf Ihre Bedürfnisse an, mit dem Ziel, Ihr Sicherheitsniveau
kontinuierlich zu erhöhen.
KOSTENLOSE ERSTBERATUNG
Wir helfen Ihnen gerne dabei zu überprüfen, ob die NIS2-Richtlinie Auswirkungen auf Ihr Unternehmen hat. Kontaktieren Sie uns gerne für einekostenlose Beratung zum Thema NIS2.
MANAGED IT
Unsere Konzepte schaffen Freiräume für Ihre IT Abteilungen.
HARDWARE
Passende Hardware für alle Unternehmensbereiche.
IT SERVICES
Individuelle IT Dienstleistungen für Ihre Bedürfnisse.
DIGITAL COMPANY
Kompetente Unterstützung auf Ihrem Weg in die digitale Zukunft.
Sie benötigen weitere Informationen?
Wir beraten Sie gerne, ganz nach Ihren Anforderungen und Wünschen.