NIS-2-Richtlinie

Die NIS2-Richtlinie

Die neue Richtlinie der EU für mehr Cybersicherheit. Wer ist betroffen? Was ist jetzt zu tun? Die wichtigsten Antworten.

Was ist die NIS-2-Richtlinie?

NIS2 steht für Network and Information Security Directive 2. Die EU-Richtlinie hat das Ziel, die Cybersicherheit in der Europäischen Union zu stärken. Sie erweitert den Anwendungsbereich der vorherigen NIS-Richtlinie und betrifft kritische Infrastrukturen (wie beispielsweise Energie- und Verkehrssysteme) ebenso wie wichtige digitale Dienstleister. Betroffene Organisationen müssen strenge Sicherheitsmaßnahmen umsetzen und werden zu Risikobewertungen verpflichtet.

Welche Neuerungen kommen auf Sie zu? Ab wann gelten die Änderungen? Was müssen Sie jetzt tun, um vorbereitet zu sein? Wir geben Antworten auf die wichtigsten Fragen zur NIS-2-Richtlinie.

Ab wann gilt die NIS2-Richtlinie?

Die NIS2-Richtlinie ist seit 16. Januar 2023 in Kraft und löst die bisher geltende Richtlinie ab.

Bei NIS2 handelt es sich um eine Richtlinie, keine Verordnung. Bevor NIS2 Auswirkungen auf Unternehmen entfalten kann, muss sie von den Mitgliedstaaten in nationales Recht umgesetzt werden. Dafür haben sie Zeit bis zum 17. Oktober 2024.

In Deutschland liegt mit dem NIS2UmsuCG der Gesetzesentwurf zur Umsetzung der NIS-2-Richtlinie vor.

Unternehmen sollten NIS2 jetzt angehen. Denn: Die Einführung von Sicherheitsmaßnahmen braucht Zeit. Je näher die Frist rückt, desto knapper werden die Ressourcen der Berater sein. Wer vorausschauend handelt, handelt jetzt.

"Cybersecurity und Penetrationtests werden wichtiger, aber auch viele technische und organisatorische Maßnahmen, die wir aus dem Datenschutz kennen."

Eberhard Häcker

Berater für Datenschutz und Cybersicherheit

Bin ich von NIS2 betroffen?

Unternehmen müssen selbst klären, ob die NIS2-Richtlinie für sie gilt.

Wenn Ihre Organisation in einen der 18 Sektoren fällt und mindestens 50 Mitarbeitende oder mindestens 10 Mio. Euro Umsatz hat (bzw. eine Jahresbilanzsumme von mindestens 10 Mio. Euro), müssen Sie die NIS-2-Richtlinie erfüllen.

Dazu gibt es einige Sonderfälle, für die NIS2 ebenfalls gilt.

KRITIS-Unternehmen

Sie galten auch bisher schon als KRITIS-Unternehmen? Dann sind Sie von NIS2 betroffen.

Sektoren

Sie fallen in einen der Sektoren, welche die NIS-2-Richtlinie ausdrücklich nennt.

Unternehmensgröße

Sie haben mindestens 50 Mitarbeitende

oder mindestens 10 Mio. Euro Umsatz

oder eine Jahresbilanzsumme von mindestens 10 Mio. Euro.

Sonderfälle

Unabhängig von ihrer Größe sind bestimmte Einrichtungen automatisch von NIS2 betroffen. Dazu zählen etwa qualifizierte Vertrauensdienste, TLD-Registries und DNS-Dienste.

Von NIS2 betroffene Sektoren

Die NIS-2-Richtlinie unterscheidet zwischen "Besonders wichtigen Einrichtungen" und "Wichtigen Einrichtungen".

Was ist der Unterschied? "Wichtigen Einrichtungen" drohen geringere Geldstrafen, die Behördenaufsicht erfolgt reaktiv. "Besonders wichtige Einrichtungen" müssen mit empfindlicheren Geldstrafen rechnen. Sie werden proaktiv überwacht.

Besonders wichtige Einrichtungen

Energie

Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff
Button

Energie

City skyline

Krankenhäuser, Labore, Forschung und Entwicklung, Pharmazeutika, Medizingerätehersteller
Button

Gesundheit

City skyline

Luft, Schiene, Wasser, Straße
Button

Verkehr

City skyline

Banken, Kreditwesen, Handel, Markt, Infrastruktur und Versicherungswesen
Button

Bank- und Finanzwesen

Energie

Unternehmen der Trink- und Abwasserversorgung
Button

Wasser

City skyline

Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten und Anbieter öffentlicher elektronischer Kommunikaitonsnetze und -dienste
Button

Digitale Infrastruktur und IT-Dienste

City skyline

Öffentliche Verwaltung
Button

Öffentliche Verwaltung

City skyline

Raumfahrt
Button

Raumfahrt

Wichtige Einrichtungen

Energie

Unternehmen der Abfallwirtschaft
Button

Abfallwirtschaft

City skyline

Postunternehmen und Kurierdienste
Button

Post- und Kurierdienste

City skyline

Produktion und Vertrieb chemischer Erzeugnisse
Button

Chemische Erzeugnisse

City skyline

Produktion und Vertrieb von Lebensmitteln
Button

Lebensmittel

Energie

Hersteller für Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel
Button

Hersteller

City skyline

Suchmaschinen, soziale Netzwerke, Online-Marktplätze
Button

Digitale Anbieter

City skyline

Forschungseinrichtungen
Button

Forschungseinrichtungen

Tage

Stunden

Minuten

Sekunden

bis zur NIS-2-Richtlinie

Neuerungen der NIS2-Richtlinie im Überblick

Die NIS2-Richtlinie ersetzt die bisherige NIS-Richtlinie von 2016 und bringt folgende Schlüsseländerungen mit sich.

Erweiterter Anwendungsbereich

Die Anzahl betroffener Unternehmen steigt erheblich: Die Zahl der von NIS2 erfassten Sektoren erhöht sich auf 18. Sieben neue "Important Entities" kommen hinzu, die Schwellenwerte werden gesenkt.

Lieferkettenrisiko

Unternehmen sind verpflichtet, das Risiko von Cyberangriffen entlang ihrer Lieferkette zu bewerten.

Cyberrisikomanagement

Unternehmen sind nun zur Implementierung eines Cyberrisikomanagements verpflichtet.

Mitarbeiterschulungen & Audits

Unternehmen müssen Schulungen für ihre Mitarbeiter zur Cybersicherheit durchführen und regelmäßige Audits in diesem Bereich durchführen.

Persönliche Haftung von Geschäftsführern

Geschäftsführer haften persönlich für Schäden, die durch die Vernachlässigung ihrer Pflichten im Cyberrisikomanagement entstehen.

Strenge Meldepflichten

Es werden strenge Meldepflichten eingeführt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt die Aufsicht.

Strafen bei Verstößen

Bei Nichteinhaltung der Richtlinie drohen empfindliche Strafen.

Nationale CSIRTs

EU-Mitgliedsstaaten müssen Computer-Notfallteams einrichten (Computer Security Incident Response Team = CSIRT). In Deutschland übernimmt das voraussichtlich das BSI. Die CSIRTs werden länderübergreifend zusammenarbeiten und an die zentrale koordinierende Cybersecurity-Behörde ENISA (European Union Agency for Cybersecurity) berichten.

Die NIS2-Richtlinie sicher umsetzen

Unsere Experten für Cybersicherheit sind an Ihrer Seite. Jetzt unverbindlich anfragen.

Kontakt aufnehmen

NIS2 verschärft die Meldepflicht

Die NIS2-Richtlinie verpflichtet Unternehmen, erhebliche Störungen, Vorfälle und Cyberbedrohungen unverzüglich ihrer nationalen Cyber Security Authority zu melden. In Deutschland ist das das Bundesamt für Sicherheit in der Informationstechnik (BSI). Hierfür sieht NIS2 drei Stufen vor:

Innerhalb von 24 Stunden ist direkt nach dem Erkennen eines Vorfalls ein vorläufiger Bericht zu übermitteln.
Innerhalb von 72 Stunden ist ein umfassender Bericht einzureichen, der auch eine erste Bewertung des Vorfalls enthält.
Innerhalb eines Monats ist ein Abschlussbericht vorzulegen, der detaillierte Beschreibungen des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält.

Häufige Fragen zur NIS2-Richtlinie

Müssen Zulieferer von (besonders) wichtigen Einrichtungen NIS2 einhalten?: Als Zulieferer betrifft die NIS2-Richtlinie Ihr Unternehmen indirekt. Diese Vorschrift legt für KRITIS-Betreiber sowie besonders bedeutende und wichtige Einrichtungen in den 18 Sektoren fest, dass sie die Cybersicherheit in ihrer Lieferkette in Betracht ziehen müssen. Wenn Sie künftig Aufträge erhalten möchten, sollten Sie sich darauf einstellen, dass Cybersicherheit in Vertragsverhandlungen zukünftig zum Thema wird.
Welchem Ziel dient die NIS2-Richtlinie?: Die ursprüngliche NIS-Richtlinie (Network and Information Systems) wurde als Reaktion auf die wachsenden Bedrohungen für die Netz- und Informationssysteme innerhalb der EU verabschiedet. Sie war die erste EU-weite Gesetzgebung zur Verbesserung der Cybersicherheit und zielte darauf ab, ein hohes gemeinsames Sicherheitsniveau der Netz- und Informationssysteme in der EU zu gewährleisten.
Die NIS2-Richtlinie ist eine überarbeitete und erweiterte Version dieser ursprünglichen Richtlinie. Sie zielt darauf ab, frühere Schwächen zu beheben, den Geltungsbereich auf mehr Sektoren und Unternehmen zu erweitern und stärkere Vorschriften für das Risikomanagement sowie für die Meldung von Cybersicherheitsvorfällen einzuführen.
Wer zählt im Sinne der NIS-2-Richtlinie als „Mitarbeitende“?: Um festzustellen, ob Sie aufgrund der Zahl Ihrer Mitarbeitenden unter die NIS-2-Richtlinie fallen, ermitteln Sie die Zahl der Personen, die Ihre Organisation in der Europäischen Union beschäftigt. Dazu zählen auch Teilzeitkräfte, Zeitarbeitskräfte und Saisonpersonal.
Wie setzt Deutschland die NIS2-Richtlinie um?: Deutschland plant das "Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – kurz: NIS2UmsuCG). Seit 2023 liegt es als Entwurf vor.

NIS2UmsuCG passt in Deutschland bestehende KRITIS-Gesetze an– vor allem das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik).

Der Gesetzesentwurf enthält im Grunde nichts Überraschendes. Er präzisiert die in der NIS2-Richtlinie festgelegten Bestimmungen und überführt die Vorgaben der Richtlinie konsequent in deutsches Recht.

Cybersicherheit und Datenschutz
professionell und zielgerichtet.

Fragen?

Wir sind da.

Kontakt

Rufen Sie uns an oder schreiben Sie uns. Wir helfen weiter.

+49 6831 7689 777

Kontaktieren Sie uns

Die mit * markierten Angaben benötigen wir, um Ihre Anfrage zu bearbeiten und Ihnen zu antworten. Das möchten Sie genauer wissen? Mehr verrät Ihnen unsere Datenschutzerklärung.