Sie verwenden einen veralteten Browser. Bitte aktualisieren Sie Ihren Browser.
Cyber-Resilienz ist elementar
Was bedeutet NIS2 für Ihr Unternehmen?
 | Harmonisierung des Cybersicherheitsniveaus im EU-Raum |
| Erhöhung der Widerstandsfähigkeit gegen Cyberangriffe |
| Verbesserung der Reaktion auf Sicherheitsvorfälle |
Für mehr Schutz gegen Cyberkriminalität wurde im Dezember 2022 die neue NIS2-Richtlinie von der Europäischen Union beschlossen. Sie trat am 16. Januar 2023 in Kraft und wird nun in diesem Jahr in nationales Recht umgesetzt. Diese beinhaltet für einen erweiterten Kreis aus Unternehmen und Betreiber kritischer Infrastrukturen (KRITIS) aus 18 Sektoren neue Sicherheitsvorgaben und Meldepflichten. Zu den Anforderungen gehören u.a. ein Risikomanagement-Konzept und die Durchführung von Sicherheitsaudits. Verantwortlich für die Umsetzung der Maßnahmen sind die Geschäftsführer. Verstöße gegen NIS2 können hohe Strafen und Bußgelder nach sich ziehen.
Was ist neu?
Hier sind die relevantesten Änderungen für ihr Unternehmen
Anwendungsbereich
Unter NIS2 werden Unternehmen in verschiedene Kategorien eingeteilt, darunter Betreiber kritischer Anlagen sowie wesentliche Einrichtungen („essential“), wichtige Einrichtungen („important“) und Bundeseinrichtungen. Die Einteilung erfolgt anhand von Kriterien wie der Zugehörigkeit zu einem der 18 Wirtschaftsbereiche, der Mitarbeiterstärke von mehr als 50 Personen und einem Vorjahresumsatz der zehn Millionen Euro übersteigt.
Anforderungen an Cybersecurity
Betroffene Unternehmen müssen Maßnahmen zur Stärkung der Cybersicherheit umsetzen. Dazu gehören die Implementierung angemessener Cybersecurity-Maßnahmen, die Schulung der Mitarbeiter, die Implementierung von Verschlüsselungstechnologien sowie die Umsetzung von Maßnahmen für das Business Continuity Management, das Risikomanagement und die Sicherheit der Lieferketten.
Sanktionen
Unternehmen, die gegen die Bestimmungen von NIS2 verstoßen, können mit erheblichen Bußgeldern belegt werden. Diese Bußgelder können bis zu zehn Millionen Euro oder bis zu zwei Prozent ihres weltweiten Gesamtumsatzes im vorangegangenen Geschäftsjahr betragen, je nachdem, welcher Betrag höher ist.
Meldepflichten
Unternehmen sind verpflichtet, Sicherheitsvorfälle zu melden und angemessene Maßnahmen zur Reaktion und Behebung zu ergreifen. Dies trägt dazu bei, die Transparenz über Sicherheitsvorfälle zu verbessern und die Zusammenarbeit zwischen den Unternehmen und den nationalen Behörden zu stärken.
Handeln Sie rechtzeitig
Machen Sie Ihr Unternehmen fit für NIS2
Ab Mitte 2025 wird die verbindliche Cybersicherheitsrichtlinie
der EU, NIS2 voraussichtlich in Kraft
treten. Unternehmen bestimmter Branchen müssen nachweislich entsprechende
Cybersicherheitsmaßnahmen ergreifen und sicherheitsrelevante Vorfälle melden.
Erfahren Sie, ob Sie betroffen sein und wie wir Sie unterstützen könnten. Verpassen Sie nicht, Ihre Cyberresilienz zu stärken und vereinbaren Sie am besten gleich heute einen unverbindlichen Beratungstermin mit unserem Cybersecurity-Expertenteam. Die Sicherheit Ihrer Organisation liegt in Ihrer Hand.
Cyberabwehr ist Chefsache
Im digitalen Zeitalter ist Cyberabwehr keine Option, sondern eine zwingende Notwendigkeit für Unternehmen und Institutionen aller Größenordnungen. Deshalb liegt die Verantwortung für die Umsetzung aller NIS2-Maßnahmen allein bei den Geschäftsführern. Zur richtigen Einschätzung müssen Sie an Schulungen teilnehmen. So können Sicherheitsvorfälle und deren Folgen vermieden werden.
Cybersicherheit braucht neues Denken
Für wen ist NIS2 relevant?
Die neuen NIS2-Richtlinien unterscheiden zwischen Betreibern
wesentlicher Einrichtungen („essential“) und wichtiger Einrichtungen
(„important“). Hauptkriterien sind ihre Größe sowie die Zugehörigkeit zu einem
der 18 definierten Wirtschaftssektoren. Mittlere Unternehmen sind definiert
durch 50 bis 249 Mitarbeitende, einen Vorjahresumsatz von 10 bis 50 Millionen
Euro oder einer Jahresbilanz <43 Mio. Euro. Großunternehmen hingegen
beschäftigen mindestens 250 Personen oder verzeichnen einen Umsatz von
mindestens 50 Mio. Euro bzw. eine Bilanzsumme >43 Mio. Euro.
Wesentliche Einrichtungen
essential
Diese Einrichtungen gelten als besonders kritisch. Ihre Ausfälle können erhebliche Folgen für Gesellschaft, Wirtschaft und nationale Sicherheit haben. Dazu gehören kritische Anlagen aus den Bereichen Energie, Gesundheit, Wasser Transport sowie digitale Infrastrukturen. Sie unterliegen strikteren Sicherheitsanforderungen und strenger behördlicher Überwachung.
Wichtige Einrichtungen
important
Diese Einrichtungen sind ebenfalls relevant. Ausfälle werden jedoch weniger kritisch eingestuft. Sie befinden sich in ähnlichen oder zusätzlichen Sektoren haben jedoch weniger Einfluss auf die nationale Infrastruktur. Auch sie müssen Sicherheitsmaßnahmen umsetzen, ihre Aufsicht ist jedoch weniger streng.
Übersicht der betroffenen Sektoren
Sektoren mit hoher Kritikalität
Verkehr
Verkehr
- Luftverkehr
- Schienenverkehr
- Schifffahrt
- Straßenverkehr
Finanzmarktinfrastrukturen
Finanzmarktinfrastrukturen
- Betreiber von Handelsplätzen
- Zentrale Gegenparteien
Bankwesen
Bankwesen
- Kreditinstitute
Energie
Energie
- Elektrizität
- Fern- und Kaltwärme
- Erdöl, Erdgas
- Wasserstoff
Verkehr
Verkehr
- Luftverkehr
- Schienenverkehr
- Schifffahrt
- Straßenverkehr
Gesundheitswesen
Gesundheitswesen
- Gesundheitsdienstleister
- EU-Referenzlabore des EU-Parlamentes und Rates
- Einrichtungen die Forschungs- und Entwicklungstätigkeiten für Arzneimittel des Europäischen Parlaments und des Rates durchführen
- Unternehmen, die pharmazeutische Grundprodukte und pharmazeutische Präparate herstellen
- Unternehmen, die medizinische Geräte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch gelten
Trinkwasser
Trinkwasser
- Unternehmen, die kommunales, häusliches oder industrielles Abwasser sammeln, entsorgen oder behandeln, ausgenommen Unternehmen, für die das Sammeln, Entsorgen oder Aufbereiten von kommunalem Abwasser, häuslichem Abwasser oder Industrieabwasser einen nicht wesentlichen Teil ihrer allgemeinen Tätigkeit darstellt
Digitale Infrastruktur
Digitale Infrastruktur
- Internet Exchange Point-Anbieter
- DNS-Dienstanbieter, ausgenommen Betreiber von Root-Nameservern
- TLD-Namensregister
- Anbieter von Cloud-Computing-Diensten
- Anbieter von Rechenzentrumsdiensten
- Anbieter von Content-Delivery-Netzwerken
- Vertrauensdienstleister
- Anbieter öffentlicher elektronischer Kommunikationsnetze
- Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
IKT-Servicemanagement (B2B)
IKT-Servicemanagement (B2B)
- Managed-Service-Anbieter
- Managed-Security-Dienstleister
Öffentliche Verwaltung
Öffentliche Verwaltung
- Öffentliche Verwaltungseinheiten der Zentralregierung, wie sie von einem Mitgliedstaat gemäß nationalem Recht definiert werden
- Öffentliche Verwaltungseinheiten auf regionaler Ebene, wie sie von einem Mitgliedstaat gemäß nationalem Recht definiert werden
Weltraum
Weltraum
- Betreiber bodengestützter Infrastrukturen, die den Mitgliedstaaten oder privaten Parteien gehören, von diesen verwaltet und betrieben werden und die Bereitstellung weltraumgestützter Dienste unterstützen, ausgenommen Anbieter öffentlicher elektronischer Kommunikationsnetze
Andere kritische Sektoren
Post- und Kurierdienste
Post- und Kurierdienste
- Anbieter von Postdiensten
- einschließlich Anbieter von Kurierdiensten
Abfallbewirtschaftung
Abfallbewirtschaftung
- Unternehmen der Abfallbewirtschaftung
- ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist
Herstellung, Produktion und Vertrieb von Chemikalien
Herstellung, Produktion und Vertrieb von Chemikalien
- Unternehmen, die die Herstellung von Stoffen und den Vertrieb von Stoffen oder Gemischen durchführen
- Unternehmen, die Erzeugnisse aus Stoffen oder Gemischen herstellen
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind
Verarbeitendes Gewerbe
Verarbeitendes Gewerbe
- Herstellung von Medizinprodukten und In-vitro-Diagnostika
- Herstellung von Computer-, Elektronik- und optischen Produkten
- Herstellung von Elektrogeräten
- Herstellung von Maschinen und Geräten
- Herstellung von Kraftfahrzeugen, Anhängern und Sattelaufliegern
- Herstellung sonstiger Transportgeräte
Anbieter digitaler Dienste
Anbieter digitaler Dienste
- Anbieter von Online-Marktplätzen
- Anbieter von Online-Suchmaschinen
- Anbieter von Social-Networking-Dienstplattformen
Forschung
Forschung
- Forschungsenrichtungen
envia TEL berät Sie gerne zur neuen NIS2-Richtlinie.
Unsere erfahrenen Cyberspezialisten unterstützen Sie gerne im Bereich Cybersecurity und damit Ihr Abwehrniveau auf ein höheres Level zu bringen. Profitieren Sie von unseren zukunftssicheren Dienstleistungen und Sicherheitslösungen.
Welche Pflichten gelten für betroffene Unternehmen?
Von NIS2 betroffenen Unternehmen müssen angemessene Cybersecurity-Präventionen und Verschlüsselungen implementieren und Mitarbeiterschulungen durchführen. Ebenfalls verpflichtend sind Maßnahmen für das Business Continuity Management, das Risikomanagement und die Lieferkettensicherheit. Weiteres Muss sind regelmäßige Penetrationstests und die Einhaltung verschärfter Meldepflichten.
✓ Policies: Richtlinien für Risiken und Informationssicherheit |
✓ Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents |
✓ Business Continuity Management: inkl. Backup-Management, DR, Krisen-Management |
✓ Supply Chain: Sicherheit in der Lieferkette bis zur sicheren Entwicklung |
| ✓ Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen |
| ✓ Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen |
| ✓ Training: Cyber Security Hygiene |
| ✓ Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung |
| ✓ Personal: Human Resources Security |
| ✓ Zugangskontrolle |
| ✓ Asset Management |
| ✓ Authentication: Einsatz von Multi Factor Authentisierung und SSO |
✓ Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation |
| ✓ Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme |
FAQ
Fragen und Antworten rund um die neue NIS2-Richtlinie.
Was ist die NIS2-Richtlinie?
Was ist die NIS2-Richtlinie?
Die NIS-Richtlinie ist eine EU-Richtlinie für die Sicherheit von Netzwerk- und Informationssystemen. Sie regelt seit 2016 die Cybersecurity von Unternehmen innerhalb der EU. Der Nachfolger „NIS2“ erweitert die Anzahl der betroffenen Einrichtungen, Anforderungen und Sanktionen. Alle europäischen Mitgliedstaaten sind verpflichtet, NIS2 bis 2024 in das jeweilige nationale Recht umzusetzen.
Wann genau tritt die NIS2-Richtliniein Kraft?
Wann genau tritt die NIS2-Richtliniein Kraft?
Die NIS-Richtlinie muss bis zum 17. Oktober 2024 im nationalen Recht umgesetzt sein. Das deutsche Umsetzungsgesetz liegt bereits als Referentenentwurf vor.
Wen betrifft NIS2?
Wen betrifft NIS2?
In der EU stehen Änderungen bezüglich der Regulierung von Unternehmen und Organisationen an. Zukünftig soll es einheitliche Schwellenwerte für Unternehmen geben, die nach Unternehmensgröße und Wirtschaftssektor differenziert werden. Unternehmen werden dabei in „wesentliche" und „wichtige" Einrichtungen eingeteilt und entsprechend ihrer Größe als mittlere oder große Unternehmen klassifiziert. Mittlere Unternehmen sind definiert durch eine Belegschaft von 50 bis 249 Mitarbeitenden, einem Vorjahresumsatz zwischen zehn und 50 Millionen Euro oder einer Jahresbilanz von weniger als 43 Millionen Euro. Großunternehmen hingegen beschäftigen mindestens 250 Personen oder verzeichnen einen Umsatz von mindestens 50 Millionen Euro bzw. eine Bilanzsumme ab 43 Millionen Euro. Diese Regelungen betreffen vorläufig 18 Wirtschaftssektoren.
Wie finden Sie heraus, ob ihr Unternehmen von NIS2 betroffen ist?
Wie finden Sie heraus, ob ihr Unternehmen von NIS2 betroffen ist?
Im ersten Schritt wird eine Betroffenheitsanalyse durchgeführt. Dabei gilt es festzustellen, ob das eigene Unternehmen voraussichtlich von der neuen NIS2-Gesetzgebung betroffen sein wird. Zuerst gilt es herausfinden, ob das Unternehmen an die offiziellen Schwellenwerte beim Umsatz oder im Hinblick auf die Zahl der Mitarbeitenden grenzt. Ist dies der Fall sollte man seine Sicherheitskonzepte von Cybersecurity-Spezialisten prüfen lassen und auf dem aktuellen Stand halten. Das envia TEL Cybersecurity-Team kann Sie bei Bedarf bei der fachgerechten Einschätzung unterstützen.
Wer überwacht die Einhaltung der NIS2-Richtlinie?
Wer überwacht die Einhaltung der NIS2-Richtlinie?
Die gesetzeskonforme Umsetzung von NIS2 wird durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht. Für wesentliche Einrichtungen erfolgt eine proaktive Aufsicht, z.B. mit regelmäßigen Sicherheitsprüfungen. Bei wichtigen Einrichtungen erfolgt eine reaktive Aufsicht nach Hinweisen auf Verstöße sowie gezielte Sicherheitsprüfungen.
Wie verhält es sich mit den neuen Meldepflichten nach NIS2-Richtlinie?
Wie verhält es sich mit den neuen Meldepflichten nach NIS2-Richtlinie?
Sicherheitsvorfälle müssen innerhalb von 24 Stunden ab Erkennung an die Behörde gemeldet werden. Innerhalb von 3 Tagen muss ein ausführlicher Bericht erstellt werden, nach einem Monat ein Fortschritts- bzw. Abschlussbericht.
Wer ist für die Umsetzung der NIS2-Richtlinie verantwortlich?
Wer ist für die Umsetzung der NIS2-Richtlinie verantwortlich?
Die Verantwortung tragen die Geschäftsführer der jeweiligen Unternehmen oder Organisationen. Sie müssen zudem an entsprechenden Schulungen nachweislich teilnehmen.
Drohen Strafen bei Verstößen gegen NIS2?
Drohen Strafen bei Verstößen gegen NIS2?
Ja, Verstöße werden mit sehr hohen Geldstrafen geahndet. Für wesentliche Einrichtungen liegen diese bei bis zu 10 Millionen Euro oder bis zu 2 % des Jahresumsatzes. Für wichtige Einrichtungen werden mindestens 7 Millionen Euro oder bis zu 1,4 % des weltweiten Umsatzes fällig.
