NIS-2-Richtlinie

NIS-2-Richtlinie: Was jetzt für Unternehmen wichtig ist

Die EU-Richtlinie und der aktuelle deutsche Gesetzesentwurf im Überblick

Jetzt anhören: Alle Infos zu NIS-2 gibt es auch im Podcast. Zur aktuellen Folge

Was ist NIS-2?

Mit der NIS-2-Richtlinie gelten für viele Unternehmen und Organisationen in 18 kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten – auch für viele, die bisher nicht betroffen waren. Viele sind zudem als Lieferanten möglicherweise indirekt betroffen. NIS2 ersetzt die NIS Directive von 2016 und zielt auf ein besseres gemeinsames Cybersicherheitsniveau in der EU ab. Im Vergleich zur vorigen NIS Directive erweitert NIS2 stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Bei Verstößen gegen die NIS2 Directive drohen hohe Geldstrafen.

Was bedeutet NIS?

NIS-Richtlinie steht für „Network and Information Security“-Richtlinie.

Wann tritt NIS-2 in Kraft?

Die NIS-2-Richtlinie (EU) 2022/2555 ist seit 2023 auf EU-Ebene in Kraft
Als Richtlinie nicht direkt anwendbar, sondern erst in nationales Recht umzusetzen
Die EU hat den Stichtag 17. Oktober 2024 vorgegeben, den Deutschland allerdings nicht eingehalten hat
Das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) liegt als Regierungsentwurf vor
Neue Versionen des NIS2UmsuCG-Entwurfs werden hier veröffentlicht (teils erst verzögert)
Die EU hat gegen Deutschland und andere EU-Staaten ein Vertragsverletzungsverfahren wegen der fehlenden Umsetzung der NIS-2-Richtlinie eröffnet. Zur Pressemeldung
Der aktuellste derzeit bekannte Planungshorizont geht von einem Inkrafttreten im Herbst 2025 aus
Dennoch sollten Unternehmen die Vorgaben aufgrund des Aufwands so schnell wie möglich umsetzen

NIS-2: Wer ist betroffen?

Die NIS-2-Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet Ihnen eine erste Orientierung, ob Ihr Unternehmen von der EU-weiten NIS-2-Richtlinie betroffen ist.

Die NIS-2-Richtlinie gilt für folgende Einrichtungen, die ihre Dienste in der Europäischen Union erbringen oder ihre Tätigkeiten dort ausüben:

Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme

Einige Sonderfälle unabhängig von ihrer Größe

Übersicht der 18 betroffenen Sektoren

Die NIS2 Directive betrifft Einrichtungen aus 18 Sektoren, die in Anhang I und II aufgeführt sind. Darin steht für jeden Sektor genau, welche „Art der Einrichtung“ betroffen ist. Entscheidend ist daher, ob Sie einer darin genannten Art der Einrichtung entsprechen. Diese Einrichtungen werden in Anhang I und Anhang II der NIS-2 jeweils noch genauer definiert. Für die aktuelle Umsetzung in Deutschland schauen Sie am besten im deutschen NIS2UmsuCG-Entwurf in Anlage 1 und 2 nach, ob Sie unter eine dort genannte „Einrichtungsart“ fallen.

Sektoren mit hoher Kritikalität (Anhang I der NIS-2):

Energie

Teilsektor	Art der Einrichtung
Elektrizität	Elektrizitätsunternehmen Verteilernetzbetreiber Übertragungsnetzbetreiber Erzeuger nominierte Strommarktbetreiber Marktteilnehmer, die Aggregierungs-, Laststeuerungs- oder Energiespeicherungsdienste anbieten Betreiber von Ladepunkten für Elektromobilität
Fernwärme und -kälte	Betreiber von Fernwärme oder Fernkälte
Erdöl	Betreiber von Erdöl-Fernleitungen Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen zentrale Bevorratungsstellen
Erdgas	Versorgungsunternehmen Verteilernetzbetreiber Fernleitungsnetzbetreiber Betreiber einer Speicheranlage Betreiber einer LNG-Anlage Erdgasunternehmen Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas
Wasserstoff	Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung

Verkehr

Bankwesen
Teilsektor Art der Einrichtung
–
Kreditinstitute
Finanzmarktinfrastrukturen
Teilsektor Art der Einrichtung
–
Betreiber von Handelsplätzen
zentrale Gegenparteien

Teilsektor	Art der Einrichtung
Luftverkehr	Luftfahrtunternehmen Flughafenleitungsorgane Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen
Schienenverkehr	Infrastrukturbetreiber Eisenbahnunternehmen
Schifffahrt	Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt Leitungsorgane von Häfen, einschließlich ihrer Hafenanlagen Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben Betreiber von Schiffsverkehrsdiensten
Straßenverkehr	Straßenverkehrsbehörden, die für Verkehrsmanagement und Verkehrssteuerung verantwortlich sind (außer öffentliche Einrichtungen, für die das Verkehrsmanagement oder der Betrieb intelligenter Verkehrssysteme ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist) Betreiber intelligenter Verkehrssysteme

Teilsektor	Art der Einrichtung
–	Kreditinstitute

Teilsektor	Art der Einrichtung
–	Betreiber von Handelsplätzen zentrale Gegenparteien

Gesundheitswesen

Teilsektor	Art der Einrichtung
–	Gesundheitsdienstleister EU-Referenzlaboratorien Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben Einrichtungen, die bestimmte pharmazeutische Erzeugnisse herstellen Einrichtungen, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen

Trinkwasser

Teilsektor	Art der Einrichtung
–	Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“ außer Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist

Abwasser

Teilsektor	Art der Einrichtung
–	Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln außer Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist

Digitale Infrastruktur

Verwaltung von IKT-Diensten (B2B)
Teilsektor Art der Einrichtung
–
Anbieter verwalteter Dienste
Anbieter verwalteter Sicherheitsdienste

Teilsektor	Art der Einrichtung
–	Betreiber von Internet-Knoten DNS-Dienstanbieter, ausgenommen Betreiber von Root-Namenservern TLD-Namenregister Anbieter von Cloud-Computing-Diensten Anbieter von Rechenzentrumsdiensten Betreiber von Inhaltszustellnetzen Vertrauensdiensteanbieter Anbieter öffentlicher elektronischer Kommunikationsnetze Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste

Teilsektor	Art der Einrichtung
–	Anbieter verwalteter Dienste Anbieter verwalteter Sicherheitsdienste

Öffentliche Verwaltung

Teilsektor	Art der Einrichtung
–	Einrichtungen der öffentlichen Verwaltung von Zentralregierungen entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht

Weltraum

Teilsektor	Art der Einrichtung
–	Betreiber von Bodeninfrastrukturen, die sich im Eigentum von EU-Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen außer Anbieter öffentlicher elektronischer Kommunikationsnetze

Sonstige kritische Sektoren (Anhang II der NIS-2):

Post- und Kurierdienste
Teilsektor Art der Einrichtung
–
Anbieter von Postdiensten
einschließlich Anbieter von Kurierdiensten
Abfallbewirtschaftung
Teilsektor Art der Einrichtung
–
Unternehmen der Abfallbewirtschaftung
ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist
Produktion, Herstellung und Handel mit chemischen Stoffen
Teilsektor Art der Einrichtung
–
Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln
Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Teilsektor Art der Einrichtung
–
Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

Teilsektor	Art der Einrichtung
–	Anbieter von Postdiensten einschließlich Anbieter von Kurierdiensten

Teilsektor	Art der Einrichtung
–	Unternehmen der Abfallbewirtschaftung ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist

Teilsektor	Art der Einrichtung
–	Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren

Teilsektor	Art der Einrichtung
–	Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

Verarbeitendes Gewerbe/Herstellung von Waren

Anbieter digitaler Dienste
Teilsektor Art der Einrichtung
–
Anbieter von Online-Marktplätzen
Anbieter von Online-Suchmaschinen
Anbieter von Plattformen für Dienste sozialer Netzwerke
Forschung
Teilsektor Art der Einrichtung
–
Forschungseinrichtungen

Teilsektor	Art der Einrichtung
Herstellung von Medizinprodukten und In-vitro-Diagnostika	Einrichtungen, die Medizinprodukte herstellen Einrichtungen, die In-vitro-Diagnostika herstellen außer Einrichtungen aus Anhang I, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen
Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
Herstellung von elektrischen Ausrüstungen	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
Maschinenbau	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
Herstellung von Kraftwagen und Kraftwagenteilen	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
sonstiger Fahrzeugbau	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

Teilsektor	Art der Einrichtung
–	Anbieter von Online-Marktplätzen Anbieter von Online-Suchmaschinen Anbieter von Plattformen für Dienste sozialer Netzwerke

Teilsektor	Art der Einrichtung
–	Forschungseinrichtungen

Sie benötigen Hilfe bei der Umsetzung der NIS-2? Wir sind gerne für Sie da.

Flyer: NIS-2-Beratung im Überblick

Was müssen von NIS-2 betroffene Unternehmen und Organisationen tun?

Maßnahmen zum Risikomanagement für Cybersicherheit

(Art. 1 § 30 im NIS2UmsuCG-Entwurf)

Laut NIS2 müssen Sie mindestens die folgenden Cybersecurity-Maßnahmen umsetzen, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu beherrschen – und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Sie müssen die IT-Systeme und deren physische Umwelt schützen („All-Gefahren-Ansatz“). Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen.

Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
Supply Chain: Sicherheit in der Lieferkette
Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme, einschließlich Management und Offenlegung von Schwachstellen
Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall

Verantwortung der Geschäftsführung

(Art. 1 § 38 im NIS2UmsuCG-Entwurf)

muss die Maßnahmen umsetzen und die Umsetzung überwachen
haftet für Verstöße nach den Regeln des jeweiligen Gesellschaftsrechts
muss an Schulungen teilnehmen

Meldepflicht von Sicherheitsvorfällen

(Art. 1 § 32 im NIS2UmsuCG-Entwurf)

Die EU NIS2 Directive schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Die Richtlinie sieht diese Fristen vor, um den Vorfall der Behörde zu melden:

Frühwarnung innerhalb von 24 h ab Kenntnis:
Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.
Ausführlicher Bericht innerhalb von 72 h ab Kenntnis:
Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.
Fortschritts-/Abschlussbericht ein Monat nach Meldung:
Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.

Registrierung

(Art. 1 § 33-34 im NIS2UmsuCG-Entwurf)

Wenn NIS-2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren – wie genau, wird noch festgelegt und auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) veröffentlicht.

Folgende Informationen sind einzureichen:

Name der Einrichtung, einschließlich der Rechtsform und soweit einschlägig der Handelsregisternummer
Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adresse
öffentliche IP-Adressbereiche und Telefonnummern
relevanter in Anlage 1 oder 2 genannter Sektor oder soweit einschlägig Branche
Auflistung derjenigen Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringen
die für die Tätigkeiten, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichtsbehörden des Bundes und der Länder
ggf. weitere Informationen je nach Einrichtungsart

NIS-2 Webinar-Reihe: Alles, was Sie aktuell zur NIS-2 wissen müssen.

Zur Webinar-Reihe

Was passiert, wenn Sie die NIS-2 Vorschriften nicht einhalten?

Bei Verstößen gegen die Risikomanagementmaßnahmen (Art. 1 § 30 im NIS2UmsuCG-Entwurf) oder Meldepflicht von Sicherheitsvorfällen (Art. 1 § 32 im NIS2UmsuCG-Entwurf) drohen hohe Geldstrafen. Der deutsche NIS2UmsuCG-Entwurf trifft eine Einteilung in besonders wichtige und wichtige Einrichtungen. Während die Pflichten grundsätzlich gleich sind, unterscheiden sie sich darin, wie streng die Aufsicht ist und wie hoch die Geldstrafen bei Non-Compliance ausfallen.

	Besonders wichtige Einrichtungen (= „wesentliche Einrichtungen“ in der NIS-2-Richtlinie)	Wichtige Einrichtungen (= „wichtige Einrichtungen“ in der NIS-2-Richtlinie)
Aufsicht durch Behörden (Art. 1 § 61-62)	Proaktive Aufsicht ohne vorige Hinweise auf Verstöße, zum Beispiel (nach Ermessen des BSI): Anordnung, dass unabhängige Stellen die Umsetzung prüfen (keine freie Wahl von Prüfern) Anforderung von Nachweisen (erst ab 3 Jahren nach Inkrafttreten) direkte Prüfungen vor Ort und durch vom BSI beauftragte Dritte Sanktionen bis hin zur vorübergehenden Abberufung der Geschäftsleitung und Entzug der Betriebsgenehmigung	Reaktive Aufsicht nur nach Hinweisen auf Verstöße, zum Beispiel (nach Ermessen des BSI): Anordnung, dass unabhängige Stellen die Umsetzung prüfen (keine freie Wahl von Prüfern) Anforderung von Nachweisen (erst ab 3 Jahren nach Inkrafttreten) direkte Prüfungen vor Ort und durch vom BSI beauftragte Dritte Sanktionen bis hin zur vorübergehenden Abberufung der Geschäftsleitung und Entzug der Betriebsgenehmigung
Geldstrafen bei Verstößen (Art. 1 § 65)	Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist	Höchstbetrag von mindestens 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist
Wer zählt dazu?	Große Unternehmen aus Anlage 1 im NIS2UmsuCG-Entwurf: > 249 Beschäftigte, oder > 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz Größenunabhängige Sonderfälle	Große Unternehmen aus Anlage 2 im NIS2UmsuCG-Entwurf: > 249 Beschäftigte, oder > 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz Mittlere Unternehmen aus Anlage 1 oder Anlage 2 im NIS2UmsuCG-Entwurf: mind. 50 Beschäftigte, oder > 10 Mio. EUR Umsatz und > 10 Mio. EUR Bilanz kein großes Unternehmen Größenunabhängige Sonderfälle Hinweis: Die Einstufung als „besonders wichtig“ geht immer vor.

NIS-2-Merkblatt herunterladen

Wie G DATA Lösungen Ihnen helfen, die NIS-2-Vorschriften zu erfüllen

Art. 1 § 38: Schulungspflicht der Geschäftsleitung

Vorgaben im NIS2UmsuCG-Entwurf:	G DATA Lösungen
Art. 1 § 38 (3) Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.	Security Awareness Trainings Mit spannenden E-Learning-Angeboten schulen Sie Ihre Geschäftsführung und Mitarbeitenden in IT-Sicherheit. → Mehr erfahren Incident Readiness Trainings Bereiten Sie sich optimal auf Cyberangriffe vor – um im Ernstfall Zeit und Kosten zu sparen. → Mehr erfahren

Art. 1 § 30: Risikomanagementmaßnahmen

Vorgaben im NIS2UmsuCG-Entwurf:	G DATA Lösungen
Art. 1 § 30 (1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, die durch Absatz 2 konkretisiert werden, zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten (…). (2) Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes umfassen: 1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik	IT-Security Assessment Erhalten Sie eine objektive Risikoeinschätzung und Beurteilung Ihres Cybersecurity Levels. → Mehr erfahren Penetration Test Finden Sie Ihre Sicherheitslücken, bevor Cyberkriminelle es tun. → Mehr erfahren
(2) 2. Bewältigung von Sicherheitsvorfällen [d.h. Verhütung, Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen oder die Reaktion darauf und die Erholung davon];	Managed Extended Detection and Response Ihr 24/7-Expertenschutz: Wir erkennen und stoppen Cyberangriffe für Sie. → Mehr erfahren Incident Response Vertrauen Sie auf Sofort-Hilfe bei Sicherheitsvorfällen durch unser erfahrenes Notfallteam. → Mehr erfahren Incident Response Rahmenvertrag Ihre optimale Kombination aus Prävention und Sofort-Hilfe. → Mehr erfahren
(2) 6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik	IT-Security Assessment Erhalten Sie eine objektive Risikoeinschätzung und Beurteilung Ihres Cybersecurity Levels. → Mehr erfahren
(2) 7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik	Security Awareness Trainings Mit spannenden Online-Kursen schulen Sie Ihre Geschäftsführung und Mitarbeitenden in IT-Sicherheit. → Mehr erfahren

Vorgaben im NIS2UmsuCG-Entwurf:

G DATA Lösungen

Art. 1 § 30

(1)

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, die durch Absatz 2 konkretisiert werden, zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten (…).

(2)

Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes umfassen:

1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik

IT-Security Assessment

Erhalten Sie eine objektive Risikoeinschätzung und Beurteilung Ihres Cybersecurity Levels.

→ Mehr erfahren

Penetration Test

Finden Sie Ihre Sicherheitslücken, bevor Cyberkriminelle es tun.

→ Mehr erfahren

(2)

2. Bewältigung von Sicherheitsvorfällen [d.h. Verhütung, Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen oder die Reaktion darauf und die Erholung davon];

Managed Extended Detection and Response

Ihr 24/7-Expertenschutz: Wir erkennen und stoppen Cyberangriffe für Sie.

→ Mehr erfahren

Incident Response

Vertrauen Sie auf Sofort-Hilfe bei Sicherheitsvorfällen durch unser erfahrenes Notfallteam.

→ Mehr erfahren

Incident Response Rahmenvertrag

Ihre optimale Kombination aus Prävention und Sofort-Hilfe.

→ Mehr erfahren

(2)

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik

IT-Security Assessment

Erhalten Sie eine objektive Risikoeinschätzung und Beurteilung Ihres Cybersecurity Levels.

→ Mehr erfahren

(2)

7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik

Security Awareness Trainings

Mit spannenden Online-Kursen schulen Sie Ihre Geschäftsführung und Mitarbeitenden in IT-Sicherheit.

→ Mehr erfahren

Art. 1 § 32: Meldepflichten

Vorgaben im NIS2UmsuCG-Entwurf:	G DATA Lösungen
Art. 1 § 32 (1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, folgende Informationen an eine vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle zu melden: 1. unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte	Managed Extended Detection and Response Dank gemanagter Angriffserkennung und -abwehr in Ihrer IT-Umgebung können Sie kurze Meldefristen im Ernstfall einhalten. → Mehr erfahren
(1) 2. unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung über diesen Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden. 3. auf Ersuchen des Bundesamtes eine Zwischenmeldung über relevante Statusaktualisierungen	Managed Extended Detection and Response Dank gemanagter Angriffserkennung und -abwehr in Ihrer IT-Umgebung können Sie kurze Meldefristen im Ernstfall einhalten. → Mehr erfahren
(1) 4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nummer 2, vorbehaltlich Absatz 2, eine Abschlussmeldung, die Folgendes enthält: a) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen b) Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat c) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen d) gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls Die Verpflichtung nach Satz 1 gilt frühestens ab Einrichtung des Meldewegs.	Incident Response Die Hilfe unseres Notfallteams ermöglicht Ihnen, die Pflicht zum Abschlussbericht (Ursachenanalyse etc.) einzuhalten. → Mehr erfahren Incident Response Rahmenvertrag Ihre optimale Kombination aus Prävention und Sofort-Hilfe im Notfall – zur Einhaltung des Abschlussberichts. → Mehr erfahren

Vorgaben im NIS2UmsuCG-Entwurf:

G DATA Lösungen

Art. 1 § 32

(1)

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, folgende Informationen an eine vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle zu melden:

1. unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte

Managed Extended Detection and Response

Dank gemanagter Angriffserkennung und -abwehr in Ihrer IT-Umgebung können Sie kurze Meldefristen im Ernstfall einhalten.

→ Mehr erfahren

(1)

2. unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung über diesen Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden.

3. auf Ersuchen des Bundesamtes eine Zwischenmeldung über relevante Statusaktualisierungen

Managed Extended Detection and Response

Dank gemanagter Angriffserkennung und -abwehr in Ihrer IT-Umgebung können Sie kurze Meldefristen im Ernstfall einhalten.

→ Mehr erfahren

(1)

4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nummer 2, vorbehaltlich Absatz 2, eine Abschlussmeldung, die Folgendes enthält:

a) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen

b) Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat

c) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen

d) gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls

Die Verpflichtung nach Satz 1 gilt frühestens ab Einrichtung des Meldewegs.

Incident Response

Die Hilfe unseres Notfallteams ermöglicht Ihnen, die Pflicht zum Abschlussbericht (Ursachenanalyse etc.) einzuhalten.

→ Mehr erfahren

Incident Response Rahmenvertrag

Ihre optimale Kombination aus Prävention und Sofort-Hilfe im Notfall – zur Einhaltung des Abschlussberichts.

→ Mehr erfahren

Sie sind noch unsicher, wie Sie die NIS2 Directive umsetzen? Wir helfen Ihnen.

NIS-2-Beratung unverbindlich anfragen

Hinweis: Die zur Verfügung gestellten Informationen dienen lediglich Ihrer Information und ersetzen keine individuelle juristische Beratung.

NIS-2-Richtlinie: Was jetzt für Unternehmen wichtig ist

Die EU-Richtlinie und der aktuelle deutsche Gesetzesentwurf im Überblick

Was ist NIS-2?

Maßnahmen zum Risikomanagement für Cybersicherheit

Verantwortung der Geschäftsführung

Meldepflicht von Sicherheitsvorfällen

Registrierung

Besonders wichtige Einrichtungen

Wichtige Einrichtungen

Diese Einrichtungen fallen unabhängig von ihrer Größe unter die NIS-2:

Risikobasierter Ansatz: Welche Maßnahmen sind angemessen?

Supply Chain: Was bedeutet „Sicherheit in der Lieferkette“?

Ein Sicherheitsvorfall gilt als „erheblich“, wenn:

Diese Einrichtungen gelten laut NIS2UmsuCG-Entwurf unabhängig von ihrer Größe als „besonders wichtige Einrichtungen“:

Diese Einrichtungen gelten laut NIS2UmsuCG-Entwurf unabhängig von ihrer Größe als „wichtige Einrichtungen“: