NIS2-Richtlinie

	Harmonisierung des Cybersicherheitsniveaus im EU-Raum
	Erhöhung der Widerstandsfähigkeit gegen Cyberangriffe
	Verbesserung der Reaktion auf Sicherheitsvorfälle

Für mehr Schutz gegen Cyberkriminalität wurde im Dezember 2022 die neue NIS2-Richtlinie von der Europäischen Union beschlossen. Sie trat am 16. Januar 2023 in Kraft und wird nun wahrscheinlich bis März 2025 in nationales Recht umgesetzt. Diese beinhaltet für einen erweiterten Kreis aus Unternehmen und Betreiber kritischer Infrastrukturen (KRITIS) aus 18 Sektoren neue Sicherheitsvorgaben und Meldepflichten. Zu den Anforderungen gehören u.a. ein Risikomanagement-Konzept und die Durchführung von Sicherheitsaudits. Verantwortlich für die Umsetzung der Maßnahmen sind die Geschäftsführer. Verstöße gegen NIS2 können hohe Strafen und Bußgelder nach sich ziehen.

Was ist neu?

Hier sind die relevantesten Änderungen für ihr Unternehmen

Anwendungsbereich

Unter NIS2 werden Unternehmen in verschiedene Kategorien eingeteilt, darunter Betreiber kritischer Anlagen sowie wesentliche Einrichtungen („essential“), wichtige Einrichtungen („important“) und Bundeseinrichtungen. Die Einteilung erfolgt anhand von Kriterien wie der Zugehörigkeit zu einem der 18 Wirtschaftsbereiche, der Mitarbeiterstärke von mehr als 50 Personen und einem Vorjahresumsatz der zehn Millionen Euro übersteigt.

Anforderungen an Cybersecurity

Betroffene Unternehmen müssen Maßnahmen zur Stärkung der Cybersicherheit umsetzen. Dazu gehören die Implementierung angemessener Cybersecurity-Maßnahmen, die Schulung der Mitarbeiter, die Implementierung von Verschlüsselungstechnologien sowie die Umsetzung von Maßnahmen für das Business Continuity Management, das Risikomanagement und die Sicherheit der Lieferketten.

Sanktionen

Unternehmen, die gegen die Bestimmungen von NIS2 verstoßen, können mit erheblichen Bußgeldern belegt werden. Diese Bußgelder können bis zu zehn Millionen Euro oder bis zu zwei Prozent ihres weltweiten Gesamtumsatzes im vorangegangenen Geschäftsjahr betragen, je nachdem, welcher Betrag höher ist.

Meldepflichten

Unternehmen sind verpflichtet, Sicherheitsvorfälle zu melden und angemessene Maßnahmen zur Reaktion und Behebung zu ergreifen. Dies trägt dazu bei, die Transparenz über Sicherheitsvorfälle zu verbessern und die Zusammenarbeit zwischen den Unternehmen und den nationalen Behörden zu stärken.

Handeln Sie rechtzeitig

Machen Sie Ihr Unternehmen fit für NIS2

Ab März 2025 wird die verbindliche Cybersicherheitsrichtlinie der EU, NIS2 voraussichtlich in Kraft treten. Unternehmen bestimmter Branchen müssen nachweislich entsprechende Cybersicherheitsmaßnahmen ergreifen und sicherheitsrelevante Vorfälle melden.

Erfahren Sie, ob Sie betroffen sein und wie wir Sie unterstützen könnten. Verpassen Sie nicht, Ihre Cyberresilienz zu stärken und vereinbaren Sie am besten gleich heute einen unverbindlichen Beratungstermin mit unserem Cybersecurity-Expertenteam. Die Sicherheit Ihrer Organisation liegt in Ihrer Hand.

Cyberabwehr ist Chefsache

Im digitalen Zeitalter ist Cyberabwehr keine Option, sondern eine zwingende Notwendigkeit für Unternehmen und Institutionen aller Größenordnungen. Deshalb liegt die Verantwortung für die Umsetzung aller NIS2-Maßnahmen allein bei den Geschäftsführern. Zur richtigen Einschätzung müssen Sie an Schulungen teilnehmen. So können Sicherheitsvorfälle und deren Folgen vermieden werden.

Eine Vielzahl an 200 Euroscheine die geordnet da liegen, auf denen zwei grüne 100 Euroscheine liegen

Finanzielle Einbußen

Hohe Kosten zur Behebung von Sicherheitslücken durch Geldstrafen und Sanktionen bei Datenschutzgesetz-Verstößen.

Schwarzer Monitor mit weißer Herzfrequenz

Datenverlust

Verloren gegangene Kundeninformationen, Finanzdaten und Geschäftsgeheimnisse führen für Unternehmen zu schädigenden Reputationsverlusten.

Rechtliche Konsequenzen

Es besteht die Pflicht, persönliche Daten zu schützen. Bei Nichtbeachtung können Klagen und Strafen drohen.

Ein Mann sitzt vor einem Computer in einer dunklen, schlecht beleuchteten Umgebung neben ihm Monitore mit grüner Schrift

Erhöhtes Risiko zukünftiger Angriffe

Ein schlecht geschütztes Netzwerk ist leichtes Ziel für Folgeangriffe, da Cyberkriminelle bekannte Schwachstellen ausnutzen.

It-Sicherheit liegt in den Händen der Führungskraft

Jetzt Whitepaper herunterladen!

Cybersicherheit braucht neues Denken

Für wen ist NIS2 relevant?

Die neuen NIS2-Richtlinien unterscheiden zwischen Betreibern wesentlicher Einrichtungen („essential“) und wichtiger Einrichtungen („important“). Hauptkriterien sind ihre Größe sowie die Zugehörigkeit zu einem der 18 definierten Wirtschaftssektoren. Mittlere Unternehmen sind definiert durch 50 bis 249 Mitarbeitende, einen Vorjahresumsatz von 10 bis 50 Millionen Euro oder einer Jahresbilanz <43 Mio. Euro. Großunternehmen hingegen beschäftigen mindestens 250 Personen oder verzeichnen einen Umsatz von mindestens 50 Mio. Euro bzw. eine Bilanzsumme >43 Mio. Euro.

Wesentliche Einrichtungen

essential

Diese Einrichtungen gelten als besonders kritisch. Ihre Ausfälle können erhebliche Folgen für Gesellschaft, Wirtschaft und nationale Sicherheit haben. Dazu gehören kritische Anlagen aus den Bereichen Energie, Gesundheit, Wasser Transport sowie digitale Infrastrukturen. Sie unterliegen strikteren Sicherheitsanforderungen und strenger behördlicher Überwachung.

Wichtige Einrichtungen

important

Diese Einrichtungen sind ebenfalls relevant. Ausfälle werden jedoch weniger kritisch eingestuft. Sie befinden sich in ähnlichen oder zusätzlichen Sektoren haben jedoch weniger Einfluss auf die nationale Infrastruktur. Auch sie müssen Sicherheitsmaßnahmen umsetzen, ihre Aufsicht ist jedoch weniger streng.

Sektoren mit hoher Kritikalität

Verkehr
Luftverkehr
Schienenverkehr
Schifffahrt
Straßenverkehr

Finanzmarktinfrastrukturen
Betreiber von Handelsplätzen
Zentrale Gegenparteien

Bankwesen
Kreditinstitute

Energie
Elektrizität
Fern- und Kaltwärme
Erdöl, Erdgas
Wasserstoff

Verkehr
Luftverkehr
Schienenverkehr
Schifffahrt
Straßenverkehr

Gesundheitswesen
Gesundheitsdienstleister
EU-Referenzlabore des EU-Parlamentes und Rates
Einrichtungen die Forschungs- und Entwicklungstätigkeiten für Arzneimittel des Europäischen Parlaments und des Rates durchführen
Unternehmen, die pharmazeutische Grundprodukte und pharmazeutische Präparate herstellen
Unternehmen, die medizinische Geräte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch gelten

Trinkwasser
Unternehmen, die kommunales, häusliches oder industrielles Abwasser sammeln, entsorgen oder behandeln, ausgenommen Unternehmen, für die das Sammeln, Entsorgen oder Aufbereiten von kommunalem Abwasser, häuslichem Abwasser oder Industrieabwasser einen nicht wesentlichen Teil ihrer allgemeinen Tätigkeit darstellt

Digitale Infrastruktur
Internet Exchange Point-Anbieter
DNS-Dienstanbieter, ausgenommen Betreiber von Root-Nameservern
TLD-Namensregister
Anbieter von Cloud-Computing-Diensten
Anbieter von Rechenzentrumsdiensten
Anbieter von Content-Delivery-Netzwerken
Vertrauensdienstleister
Anbieter öffentlicher elektronischer Kommunikationsnetze
Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste

IKT-Servicemanagement (B2B)
Managed-Service-Anbieter
Managed-Security-Dienstleister

Öffentliche Verwaltung
Öffentliche Verwaltungseinheiten der Zentralregierung, wie sie von einem Mitgliedstaat gemäß nationalem Recht definiert werden
Öffentliche Verwaltungseinheiten auf regionaler Ebene, wie sie von einem Mitgliedstaat gemäß nationalem Recht definiert werden

Weltraum
Betreiber bodengestützter Infrastrukturen, die den Mitgliedstaaten oder privaten Parteien gehören, von diesen verwaltet und betrieben werden und die Bereitstellung weltraumgestützter Dienste unterstützen, ausgenommen Anbieter öffentlicher elektronischer Kommunikationsnetze

Andere kritische Sektoren

Post- und Kurierdienste
Anbieter von Postdiensten
einschließlich Anbieter von Kurierdiensten

Abfallbewirtschaftung
Unternehmen der Abfallbewirtschaftung
ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist

Herstellung, Produktion und Vertrieb von Chemikalien
Unternehmen, die die Herstellung von Stoffen und den Vertrieb von Stoffen oder Gemischen durchführen
Unternehmen, die Erzeugnisse aus Stoffen oder Gemischen herstellen

Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

Verarbeitendes Gewerbe
Herstellung von Medizinprodukten und In-vitro-Diagnostika
Herstellung von Computer-, Elektronik- und optischen Produkten
Herstellung von Elektrogeräten
Herstellung von Maschinen und Geräten
Herstellung von Kraftfahrzeugen, Anhängern und Sattelaufliegern
Herstellung sonstiger Transportgeräte

Anbieter digitaler Dienste
Anbieter von Online-Marktplätzen
Anbieter von Online-Suchmaschinen
Anbieter von Social-Networking-Dienstplattformen

Forschung
Forschungsenrichtungen

envia TEL berät Sie gerne zur neuen NIS2-Richtlinie.

Unsere erfahrenen Cyberspezialisten unterstützen Sie gerne im Bereich Cybersecurity und damit Ihr Abwehrniveau auf ein höheres Level zu bringen. Profitieren Sie von unseren zukunftssicheren Dienstleistungen und Sicherheitslösungen.

Jetzt Kontakt aufnehmen

Security Produkte für Geschäftskunden

Hier geht’s zu den Lösungen von envia TEL zur Steigerung Ihrer Cyberabwehr

Welche Pflichten gelten für betroffene Unternehmen?

Von NIS2 betroffenen Unternehmen müssen angemessene Cybersecurity-Präventionen und Verschlüsselungen implementieren und Mitarbeiterschulungen durchführen. Ebenfalls verpflichtend sind Maßnahmen für das Business Continuity Management, das Risikomanagement und die Lieferkettensicherheit. Weiteres Muss sind regelmäßige Penetrationstests und die Einhaltung verschärfter Meldepflichten.

✓ Policies: Richtlinien für Risiken und Informationssicherheit

✓ Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents

✓ Business Continuity Management: inkl. Backup-Management, DR, Krisen-Management

✓ Supply Chain: Sicherheit in der Lieferkette bis zur sicheren Entwicklung

✓ Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen

✓ Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen

✓ Training: Cyber Security Hygiene

✓ Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung

✓ Personal: Human Resources Security

✓ Zugangskontrolle

✓ Asset Management

✓ Authentication: Einsatz von Multi Factor Authentisierung und SSO

✓ Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation

✓ Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme

NIS-2: Welche umfassenden Cyber-Sicherheitsmaßnahmen Unternehmen jetzt umsetzen müssen

Jetzt Blogartikel lesen

FAQ

Fragen und Antworten rund um die neue NIS2-Richtlinie.

Was ist die NIS2-Richtlinie?

Die NIS-Richtlinie ist eine EU-Richtlinie für die Sicherheit von Netzwerk- und Informationssystemen. Sie regelt seit 2016 die Cybersecurity von Unternehmen innerhalb der EU. Der Nachfolger „NIS2“ erweitert die Anzahl der betroffenen Einrichtungen, Anforderungen und Sanktionen. Alle europäischen Mitgliedstaaten sind verpflichtet, NIS2 bis 2024 in das jeweilige nationale Recht umzusetzen.

Wann genau tritt die NIS2-Richtliniein Kraft?

Wen betrifft NIS2?

In der EU stehen Änderungen bezüglich der Regulierung von Unternehmen und Organisationen an. Zukünftig soll es einheitliche Schwellenwerte für Unternehmen geben, die nach Unternehmensgröße und Wirtschaftssektor differenziert werden. Unternehmen werden dabei in „wesentliche" und „wichtige" Einrichtungen eingeteilt und entsprechend ihrer Größe als mittlere oder große Unternehmen klassifiziert. Mittlere Unternehmen sind definiert durch eine Belegschaft von 50 bis 249 Mitarbeitenden, einem Vorjahresumsatz zwischen zehn und 50 Millionen Euro oder einer Jahresbilanz von weniger als 43 Millionen Euro. Großunternehmen hingegen beschäftigen mindestens 250 Personen oder verzeichnen einen Umsatz von mindestens 50 Millionen Euro bzw. eine Bilanzsumme ab 43 Millionen Euro. Diese Regelungen betreffen vorläufig 18 Wirtschaftssektoren.

Wie finden Sie heraus, ob ihr Unternehmen von NIS2 betroffen ist?

Im ersten Schritt wird eine Betroffenheitsanalyse durchgeführt. Dabei gilt es festzustellen, ob das eigene Unternehmen voraussichtlich von der neuen NIS2-Gesetzgebung betroffen sein wird. Zuerst gilt es herausfinden, ob das Unternehmen an die offiziellen Schwellenwerte beim Umsatz oder im Hinblick auf die Zahl der Mitarbeitenden grenzt. Ist dies der Fall sollte man seine Sicherheitskonzepte von Cybersecurity-Spezialisten prüfen lassen und auf dem aktuellen Stand halten. Das envia TEL Cybersecurity-Team kann Sie bei Bedarf bei der fachgerechten Einschätzung unterstützen.

Wer überwacht die Einhaltung der NIS2-Richtlinie?

Die gesetzeskonforme Umsetzung von NIS2 wird durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht. Für wesentliche Einrichtungen erfolgt eine proaktive Aufsicht, z.B. mit regelmäßigen Sicherheitsprüfungen. Bei wichtigen Einrichtungen erfolgt eine reaktive Aufsicht nach Hinweisen auf Verstöße sowie gezielte Sicherheitsprüfungen.

Wie verhält es sich mit den neuen Meldepflichten nach NIS2-Richtlinie?

Wer ist für die Umsetzung der NIS2-Richtlinie verantwortlich?

Drohen Strafen bei Verstößen gegen NIS2?

NIS2 verpflichtet Unternehmen zu mehr Cyberschutz

Cyber-Resilienz ist elementar

Erfahren Sie mehr über NIS2

Was ist neu?

Handeln Sie rechtzeitig

Cyberabwehr ist Chefsache

Finanzielle Einbußen

Datenverlust

Rechtliche Konsequenzen

Erhöhtes Risiko zukünftiger Angriffe

It-Sicherheit liegt in den Händen der Führungskraft

Cybersicherheit braucht neues Denken

Für wen ist NIS2 relevant?

Wesentliche Einrichtungen

Wichtige Einrichtungen

Übersicht der betroffenen Sektoren

Sektoren mit hoher Kritikalität

Verkehr

Finanzmarktinfrastrukturen

Bankwesen

Energie

Verkehr

Gesundheitswesen

Trinkwasser

Digitale Infrastruktur

IKT-Servicemanagement (B2B)

Öffentliche Verwaltung

Weltraum

Andere kritische Sektoren

Post- und Kurierdienste

Abfallbewirtschaftung

Herstellung, Produktion und Vertrieb von Chemikalien

Produktion, Verarbeitung und Vertrieb von Lebensmitteln

Verarbeitendes Gewerbe

Anbieter digitaler Dienste

Forschung

envia TEL berät Sie gerne zur neuen NIS2-Richtlinie.

Security Produkte für Geschäftskunden

Hier geht’s zu den Lösungen von envia TEL zur Steigerung Ihrer Cyberabwehr

Welche Pflichten gelten für betroffene Unternehmen?

NIS-2: Welche umfassenden Cyber-Sicherheitsmaßnahmen Unternehmen jetzt umsetzen müssen

FAQ

Was ist die NIS2-Richtlinie?

Wann genau tritt die NIS2-Richtliniein Kraft?

Wen betrifft NIS2?

Wie finden Sie heraus, ob ihr Unternehmen von NIS2 betroffen ist?

Wer überwacht die Einhaltung der NIS2-Richtlinie?

Wie verhält es sich mit den neuen Meldepflichten nach NIS2-Richtlinie?

Wer ist für die Umsetzung der NIS2-Richtlinie verantwortlich?

Drohen Strafen bei Verstößen gegen NIS2?