Mit der NIS-2-Richtlinie gelten ab Oktober 2024 für viele Unternehmen und Organisationen in 18 kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten – auch für viele, die bisher nicht betroffen waren. NIS2 ersetzt die NIS Directive von 2016 und zielt auf ein besseres gemeinsames Cybersicherheitsniveau in der EU ab. Im Vergleich zur vorigen NIS Directive erweitert NIS2 stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Bei Verstößen gegen die NIS2 Directive drohen hohe Geldstrafen.
Was bedeutet NIS?
NIS-Richtlinie steht für „Network and Information Security“-Richtlinie.
Die EU-weite NIS-2-Richtlinie gilt für folgende Einrichtungen, die ihre Dienste in der Europäischen Union erbringen oder ihre Tätigkeiten dort ausüben:
Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme
Einige Sonderfälle unabhängig von ihrer Größe
Laut NIS2 müssen Sie mindestens die folgenden Cybersecurity-Maßnahmen umsetzen, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu beherrschen – und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder gering zu halten. Sie müssen die IT-Systeme und deren physische Umwelt schützen („All-Gefahren-Ansatz“). Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen.
Deutscher NIS2-Gesetzesentwurf:
Nur zertifizierte IKT-Produkte und -Dienste dürfen genutzt werden.
Die EU NIS2 Directive schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Die Richtlinie sieht diese Fristen vor, um den Vorfall der Behörde zu melden:
Wenn NIS-2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren – wie genau, wird noch festgelegt. Folgende Informationen sind einzureichen: