Die NIS-2-Richtlinie

NIS-2-Richtlinie

Edit: Dieser Blog Post wurde am 08. August 2024 leicht überarbeitet.

Wesentliche Punkte

  • Die NIS-2-Richtlinie tritt (voraussichtlich!) Anfang 2025 in Kraft
  • Wie lang die Übergangsfrist ist, ist noch nicht bekannt
  • Ihr Ziel ist ein europaweites Cybersicherheits-Niveau
  • Betroffen sind Unternehmen aus wichtigen gesellschaftlichen Sektoren (Stichwort: KRITIS)
  • Auch kleine und mittlere Unternehmen können zur Verantwortung gezogen werden
  • Bei Nichtbeachtung bzw. -umsetzung drohen Strafen und persönliche Haftung der Geschäftsleiter 

Keine Zeit für den gesamten Blog Post?

In wenigen Monaten tritt die NIS-2-Richtlinie der Europäischen Union in Kraft und wird dann auch in Deutschland als entsprechendes Gesetz gültig sein.  Unternehmen, die davon betroffen sind, müssen bis dahin notwendige Maßnahmen rund um Cybersecurity umgesetzt haben. Sollten sie ihrer Pflicht nicht nachkommen, drohen nicht nur bis zu 10 Millionen Euro Bußgeld, sondern sogar die Geschäftsführer können persönlich dafür haftbar gemacht werden. 

 

Kurz: Die NIS-2-Richtlinie betrifft nicht nur IT- und Compliance-Abteilungen, sondern das gesamte Unternehmen und kann immense Auswirkungen auf die Geschäftstätigkeit haben. 

 

Wie steht es um Ihr Unternehmen? Sind Sie von der NIS-2-Vorgabe betroffen und müssen noch Maßnahmen umsetzen? Oder Sie wissen nicht genau, ob Sie handeln müssen? In diesem Blog Post bieten wir einen umfassenden Überblick und beantworten die wichtigsten Fragen, damit Sie für die kommenden Monate (und im besten Fall auch darüber hinaus) gewappnet sind. 

 

Zusammengefasst: Die NIS-2-Richtlinie soll, gewissenhaft umgesetzt, Unternehmen dazu verpflichten und dabei unterstützen, ihre Daten noch besser zu schützen, Angriffe frühzeitig zu erkennen, um dann schnell und ganzheitlich reagieren zu können. 

 

 

Was ist die NIS-2 Richtlinie? 

 

In der heutigen digitalen Ära sind Cybersicherheit und Datenschutz von entscheidender Bedeutung. Die Bedrohung durch Cybercrime, beispielsweise durch Ransomware, Malware, Phishing, aber auch Schwachstellen in Softwareprodukten, ist dabei aber so hoch wie nie zuvor.   

 

Angesichts der wachsenden Bedrohungen durch Cyberangriffe hat die Europäische Union (EU) daher Maßnahmen ergriffen, um die Sicherheit von Netz- und Informationssystemen zu stärken. Das erklärte Ziel dieser Richtlinie ist ein europaweites Cybersicherheits-Niveau, das vor allem gesellschaftlich wichtige Sektoren absichert. 

 

Eine dieser Maßnahmen ist die NIS2-Richtlinie, die für Unternehmen und Organisationen in Deutschland von großer Bedeutung ist. Die NIS2-Richtlinie baut auf der ersten NIS-Richtlinie von 2016 auf. Sie erweitert den Anwendungsbereich sowie die Anforderungen an die Mitgliedstaaten. Ihr Ziel ist es, die Resilienz kritischer Infrastrukturen zu stärken und die Auswirkungen von Cyberangriffen zu minimieren.

 

 

Welche Unternehmen müssen die NIS-2 Richtlinie umsetzen? 

 

Gemäß der NIS2-Richtlinie müssen bestimmte Unternehmen und Organisationen Maßnahmen ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. 

 

Die Einordnung erfolgt hierbei nach den zwei Hauptkriterien “Unternehmenssektor” und “Unternehmensgröße“. Sie ermöglichen eine grobe Einschätzung, ob Unternehmen in Punkto IT-Sicherheit handeln sollten. Zu beachten ist zudem, ob ein Unternehmen als Sonderfall eingeordnet werden muss:

NIS-2 Unternehmen

Wesentliche Sektoren sind solche mit “hoher Kritikalität”. Unternehmen beispielsweise aus den Bereichen “Energie”, “Bankenwesen”, “Transport”, “öffentliche Verwaltung” oder auch digitale Infrastrukturen, wie Cloud-Provider oder Rechenzentren zählen hierzu.

Wichtige Sektoren umfassen Bereiche wie beispielsweise “Post- und Kurierdienste”, “Lebensmittel” oder “digitale Dienste”, wie Suchmaschinen oder soziale Netzwerke.
 Einen Sonderfall stellt ein Betreiber dann dar, wenn er einen signifikanten Einfluss auf die öffentliche Sicherheit oder die Gesellschaft hat.

 

In unserem Spickzettel finden Sie alle Sektoren, die betroffen sind. Plus: Eine praktische Checkliste, mit der Sie herausfinden, ob Sie betroffen sind. 

Betrifft NIS-2 auch kleine oder mittlere Unternehmen? 

 

Die Antwort hier lautet “leider”: Jein. Kleine und mittelständische Unternehmen sind grundsätzlich ausgeschlossen, sofern sie weniger als 50 Mitarbeiter beschäftigen und einen maximalen Jahresumsatz von 10 Millionen Euro nicht übersteigen. Als „Sonderfall“ können sie dennoch eingestuft werden, sofern die Unternehmen regional oder gar national wichtig sind und ihr Ausfall demnach einen signifikanten Effekt auf die öffentliche Sicherheit oder Gesundheit, oder auch ein Risiko für wichtige Sektoren darstellen würde.  

 

Das heißt: Wenn kleine oder mittlere Unternehmen beispielsweise als Dienstleister oder Lieferant für direkt betroffene Organisationen tätig sind, können sie unter Umständen auch gezwungen werden, strenge Sicherheitsvorkehrungen umzusetzen, um die Abhängigkeiten und Lieferketten zu schützen. 

 

Deshalb ist es auch für diese Unternehmen wichtig, sie sich frühzeitig mit den Anforderungen der Richtlinie vertraut machen und entsprechende Maßnahmen ergreifen, um sicherzustellen, dass sie den Anforderungen entsprechen. 

Welche Bereiche deckt die NIS-2 Richtlinie ab?

 

Die NIS 2-Richtlinie, auch bekannt als Network Information Service 2-Richtlinie, umfasst in der Regel ähnliche Bereiche wie die NIS 1-Richtlinie, jedoch mit zusätzlichen Aspekten, die die verbesserten Funktionen und Sicherheitsmaßnahmen von NIS 2 berücksichtigen. Einige dieser Bereiche sind: 
 

  1. Präventive Maßnahmen, Zugriffskontrolle und Sicherheit, wie erweiterte Authentifizierungsmethoden, regelmäßige Sicherheitsupdates sowie Penetration Tests
  2. Erkennung von Sicherheitsvorfällen
  3. Reaktion auf Sicherheitsvorfälle
  4. Wiederherstellung nach einem Angriff
  5. Meldepflicht für Sicherheitsvorfälle
  6. Compliance und Richtlinien
  7. Integration mit anderen Systemen 

Wer prüft NIS2?

 

Die Einhaltung der NIS2-Richtlinie wird von den nationalen Behörden überwacht, die für Cybersicherheit zuständig sind. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik (BSI), das für die Überwachung und Durchsetzung der NIS2-Anforderungen verantwortlich ist. Insbesondere Betreiber kritischer Anlagen müssen alle drei Jahre (ähnlich zu den KRITIS-Prüfungen) Nachweise erbringen, dass sie den NIS2-Anforderungen nachkommen. 

 

 

Was ändert sich durch die NIS2?

 

Durch die NIS2-Richtlinie werden die Anforderungen an die Cybersicherheit erhöht und der Anwendungsbereich erweitert, um neue Bedrohungen und Technologien zu berücksichtigen. 

 

In Weiterführung der NIS-1-Richtlinie geht es nun also nicht mehr nur darum, einen aktiven Ansatz zur Cybersecurity zu verfolgen, sondern diesen ganz konkret im Unternehmen umzusetzen. Unternehmen und Organisationen müssen nun umfassende Sicherheitsmaßnahmen implementieren und Sicherheitsvorfälle innerhalb bestimmter Fristen melden. 

 

Da NIS-2 modernere Sicherheitsstandards bietet, kann der Einsatz von NIS 2 dazu beitragen, die Compliance mit branchenspezifischen Standards und gesetzlichen Vorschriften zu verbessern. Unternehmen können so besser auf rechtliche Anforderungen reagieren und das Risiko von Verstößen verringern. 

 

Insgesamt kann der Übergang zu NIS 2 für Unternehmen eine Reihe von Vorteilen mit sich bringen, darunter verbesserte Sicherheit, effizientere Verwaltung und bessere Skalierbarkeit durch moderne Technologien. 

Die erhöhten Anforderungen an die Cybersecurity können jedoch auch mit einem gewissen Komplexitäts- und Umstellungsaufwand verbunden sein. 

Unternehmen müssen ihre aktuelle IT-Landschaft gründlich analysieren, eventuelle Maßnahmen sorgfältig evaluieren und planen, möglicherweise neue Technologien einführen, Schulungen für Mitarbeiter durchführen und bestehende Systeme anpassen, um die neuen Funktionen und Sicherheitsmaßnahmen von NIS 2 optimal nutzen zu können. 

 

 

Bis wann muss die NIS2 umgesetzt werden?

 

Die europäische NIS2-Richtlinie trat am 16.01.2023 in Kraft. Bis voraussichtlich Mitte Oktober haben die Mitgliedstaaten Zeit, diese in nationales Recht zu übertragen. 

 

 

Was passiert bei Verstößen gegen NIS2?

 

Bei Verstößen gegen die NIS2-Richtlinie können Geldbußen und andere Sanktionen verhängt werden. Je nach Schwere des Verstoßes und der spezifischen Umstände des Falles können bis zu 10 Millionen Euro Bußgeld fällig werden. Und damit nicht genug: Die Geschäftsführer von betroffenen Unternehmen können sogar persönlich für Mängel haftbar gemacht werden. 

 

Unsere Empfehlung lautet daher: Beschäftigen Sie sich rechtzeitig mit der Cybersicherheit in Ihrem Unternehmen. Denn Sicherheits-Vorfälle betreffen nicht nur die IT-Abteilung oder die Compliance-Abteilung, sondern können im schlimmsten Fall immense finanzielle Folgen mit sich ziehen und gar die Geschäftsfähigkeit des gesamten Unternehmens bedrohen.

Quelle: www.bmi.bund.de

Picture of Julia Mayer

Julia Mayer

Sie wünschen sich Hilfe bei der Umsetzung? Wir unterstützen Sie dabei, NIS-2-konform zu werden.

Melden Sie sich
Picture of Julia Mayer

Julia Mayer

Sie wünschen sich Hilfe bei der Umsetzung? Wir unterstützen Sie dabei, NIS-2-konform zu werden.

Melden Sie sich

Jetzt die nötigen Maßnahmen für NIS-2 und Ihre Cybersecurity ergreifen

Wir unterstützen Sie bei der Umsetzung: Hinterlassen Sie uns einfach Ihr Anliegen und Ihre Kontaktdaten. Wir melden uns so schnell wie möglich bei Ihnen zurück. 

Ihre fragen, unsere expertise!

Lassen Sie uns gemeinsam die digitale Zukunft Ihres Unternehmens gestalten. Hinterlassen Sie uns Ihre Kontaktdaten und wir melden uns in Kürze bei Ihnen zurück.

Die beste Telefonie-Lösung für Ihr Unternehmen

Lassen Sie uns gemeinsam die beste Variante unserer Telefonie-Lösungen finden. Setzen Sie sich jetzt mit unseren Experten in Verbindung.

Jetzt die nötigen Maßnahmen für NIS-2 und Ihre Cybersecurity ergreifen

Wir unterstützen Sie bei der Umsetzung: Hinterlassen Sie uns einfach Ihr Anliegen und Ihre Kontaktdaten. Wir melden uns so schnell wie möglich bei Ihnen zurück. 

Jetzt die nötigen Maßnahmen für NIS-2 und Ihre Cybersecurity ergreifen

Wir unterstützen Sie bei der Umsetzung: Hinterlassen Sie uns einfach Ihr Anliegen und Ihre Kontaktdaten. Wir melden uns so schnell wie möglich bei Ihnen zurück. 

Jetzt die nötigen Maßnahmen für NIS-2 und Ihre Cybersecurity ergreifen

Wir unterstützen Sie bei der Umsetzung: Hinterlassen Sie uns einfach Ihr Anliegen und Ihre Kontaktdaten. Wir melden uns so schnell wie möglich bei Ihnen zurück. 

Folgen Sie uns schon auf Social Media?

HEBEN SIE IHRE IT AUF DAS NÄCHSTE SICHERHEITS-LEVEL MIT KEEPIT

Welche Potenziale birgt Keepit für Ihr Unternehmen? Finden wir es heraus! Hinterlassen Sie uns Ihre Kontaktdaten und wir melden uns so schnell wie möglich bei Ihnen zurück. 

Entlasten Sie Ihre IT-Audits mit Netwrix Auditor.

Erfahren Sie von unseren Experten, wie Netwrix Auditor Ihre IT-Sicherheitsprüfungen effizienter macht. Hinterlassen Sie uns einfach Ihr Anliegen und Ihre Kontaktdaten. Wir melden uns so schnell wie möglich bei Ihnen zurück.

Starke Passwörter im ganzen Unternehmen - mit dem Netwrix Password Policy Enforcer.

Möchten Sie mehr über die Lösung erfahren? Unsere Experten beraten Sie gerne. Hinterlassen Sie uns einfach Ihr Anliegen und Ihre Kontaktdaten. Wir melden uns so schnell wie möglich bei Ihnen zurück.

Höchste sicherheit für priviligierte konten dank netwrix privilege secure.

Sie haben eine Frage zum Produkt? Wir beantworten Sie gerne.

Hinterlassen Sie uns einfach Ihr Anliegen und Ihre Kontaktdaten. Wir melden uns so schnell wie möglich bei Ihnen zurück.

Sie haben eine Frage zur Copilot für Microsoft 365 bzw. KI-gestützem Arbeiten?

Unsere Experten freuen sich darauf, Ihr Anliegen persönlich mit Ihnen zu besprechen. Hinterlassen Sie hier Ihre Kontaktdaten und wir melden uns schnellstmöglich bei Ihnen zurück.

Die beste Telefonie-Lösung für Ihr Unternehmen

Lassen Sie uns gemeinsam die beste Variante unserer Telefonie-Lösungen finden. Setzen Sie sich jetzt mit unseren Experten in Verbindung.

deine bewerbung

Wie schön, dass du den Weg zu uns gefunden hast und dich für einen Ausbildungsplatz bei PLANET 33 interessierst. Bitte trage unten deine Kontaktdaten ein und lade deine Bewerbungsunterlagen hoch.

Deine Bewerbung bei PLANET 33

Wie schön, dass du dich für einen Job in unserem Team bei PLANET 33 interessierst. Hier kannst du deine persönlichen Daten und deine Bewerbungsunterlagen in unser Bewerbungsportal hochladen. Wir freuen uns darauf, dich kennenzulernen!

Deine Initiativbewerbung bei PLANET 33

Wie schön, dass du den Weg zu PLANET 33 gefunden hast und dich bewerben möchtest. Hier kannst du deine persönlichen Daten und deine Bewerbungsunterlagen in unser Bewerbungsportal hochladen. Wir freuen uns darauf, dich kennenzulernen!

Unsere vielseitigen IT-Services für Ihre Operational Excellence

Wie können wir Ihr Unternehmen in Sachen IT unterstützen? Lassen Sie es uns besprechen. Hinterlassen Sie uns einfach Ihre Kontaktdaten und wir melden uns so schnell wie möglich bei Ihnen zurück.

Immer gut informiert mit dem PLANET 33 Newsletter

Erhalten Sie relevante Neuigkeiten aus der IT-Branche direkt in Ihre Inbox: mit dem PLANET 33 Newsletter. Hinterlassen Sie uns einfach Ihre E-Mail-Adresse und freuen Sie sich auf die nächste Ausgabe.

Datenschutzerklärung

Erfahren Sie mehr über unser Partnernetzwerk

Sie haben eine Frage zu unserem Partnernetzwerk? Hinterlassen Sie uns einfach Ihr E-Mail-Adresse und wir melden uns in Kürze bei Ihnen zurück. Wir freuen uns darauf, Sie kennenzulernen.

Busylight, die smarte "Bitte-Nicht-Stören"-Lampe

Dank Busylight können Teams die tägliche Kommunikation im Büro verbessern und Konzentrationsphasen ungestört nutzen. Teilen Sie uns Ihre Anforderungen mit und wir melden uns zeitnah mit einem passenden Angebot bei Ihnen zurück.

Filesharing ohne Sorgen? DRACOON macht's möglich.

Lernen Sie das beeindruckende Filesharing Produkt DRACOON besser kennen. Hinterlassen Sie uns einfach Ihre Fragen und Kontaktdaten und wir melden uns in Kürze bei Ihnen zurück.

Microsoft Teams: Zusammenarbeit neu gedacht

Finden Sie heraus, wie Sie und Ihre Kollegen effizienter und agiler zusammenarbeiten können. Erzählen Sie uns von Ihren individuellen Anforderungen und lassen Sie uns Ihnen die Potenziale dieses leistungsstarken Tools vorstellen.

Sicherheit so einfach wie nie. Mit YubiKey.

Finden Sie heraus, wie Yubikey Ihre IT-Sicherheit maßgeblich erhöhen kann. Schreiben Sie uns. Wir beantworten sie gerne.

Sicher in die Zukunft mit Netwrix

Finden Sie heraus, wie die Produkte von Netwrix sich in Ihre IT-Sicherheit-Strategie integrieren lassen. Stellen Sie uns Ihre Fragen hier. Wir beraten Sie gern.

Heben Sie Ihre IT-Sicherheit auf das nächste Level

Möchten Sie mehr über Ihre individuellen Möglichkeiten im Bereich IT-Sicherheit erfahren? Gemeinsam finden wir die Lösungen, die auf Ihre Bedürfnisse zugeschnitten sind. Hinterlassen Sie uns einfach Ihre Kontakdaten und wir melden uns in Kürze bei Ihnen zurück.

Die ideale Internetanbindung für Ihr Unternehmen

Internet ist nicht gleich Internet. Egal wie anspruchsvoll Ihre Anforderungen sein mögen, unsere Experten stehen Ihnen kompetent zur Seite. Hinterlassen Sie uns hier Ihre Kontaktdaten und wir melden uns so schnell wie möglich zurück. 

Gemeinsam zur passenden Lösung für Ihre Unternehmens-IT

Jedes Unternehmen hat in Sachen IT ganz unterschiedliche Anforderungen. Um Sie bestmöglich zu beraten, lassen Sie uns über Ihre sprechen. Unverbindlich und persönlich. Hinterlassen Sie uns Ihre Kontaktdaten und wir melden uns in Kürze bei Ihnen zurück.

Fragen zur Cloud? Unsere Experten beantworten Sie.

Welche Potenziale birgt die Coud für Ihr Unternehmen? Finden wir es heraus! Hinterlassen Sie uns Ihre Kontaktdaten und wir melden uns so schnell wie möglich bei Ihnen zurück.