Kurzbeschreibung
Dieser Leitfaden zur NIS2-Richtlinie bietet eine Einführung in die NIS2-Richtlinie, die die Cybersicherheit und den Schutz kritischer Infrastrukturen stärkt. Die Richtlinie erweitert den Anwendungsbereich und die Anforderungen der ursprünglichen NIS und zielt darauf ab, ein hohes Cybersicherheitsniveau zu gewährleisten. Der Leitfaden enthält auch eine NIS2-Compliance-Checkliste, um Unternehmen bei der Umsetzung zu unterstützen.
NIS2 für Unternehmen: Ein umfassender Leitfaden
Was ist NIS2?
Was ist NIS2? Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Regulierung, die darauf abzielt, die Cybersicherheit und den Schutz kritischer Infrastrukturen innerhalb der Europäischen Union zu stärken. Sie baut auf der ursprünglichen NIS-Richtlinie von 2016 auf und erweitert deren Geltungsbereich und Anforderungen erheblich. Die NIS2-Richtlinie wurde am 27. 12. 2022 im Amtsblatt der Europäischen Union veröffentlicht und muss bis zum 17. 10. 2024 in nationales Recht umgesetzt werden.
Was ist das Ziel von NIS2?
Das Hauptziel der NIS2-Richtlinie ist es, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU zu gewährleisten. Dies soll durch die folgenden Maßnahmen im Unterscheid zu NIS1 erreicht werden:
Merkmal |
NIS1 |
NIS2 |
Geltungsbereich |
Fokus auf kritische Sektoren wie Energie, Transport, Gesundheit |
Erweiterung auf 18 Sektoren, einschließlich öffentlicher Verwaltung und digitaler Dienste |
Geltungsbereich |
Keine spezifischen Größenanforderungen |
Richtet sich an mittlere und große Unternehmen mit über 50 Mitarbeitenden und einem Umsatz von >10 Mio. EUR |
Sicherheitsanforderungen |
Grundlegende Sicherheitsmaßnahmen |
Strengere und detaillierte Sicherheitsanforderungen für Netz- und Informationssysteme |
Kooperation |
Grundlegende Zusammenarbeit zwischen Mitgliedsstaaten |
Intensivierte Kooperation und Informationsaustausch zwischen den EU-Staaten und betroffenen Unternehmen |
Sanktionen |
Geringe Strafen |
Höhere Strafen von bis zu 7 bzw. 10 Mio. EUR (abhängig vom jeweiligen Sektor) |
Für welche Unternehmen gelten die Richtlinien von NIS2?
Die NIS2-Richtlinie gilt für eine breite Palette von Unternehmen und Organisationen, die in den folgenden 18 Sektoren tätig sind:
- Energie
- Transport
- Banken
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasserversorgung und -verteilung
- Abwasserentsorgung
- Digitale Infrastruktur
- Öffentliche Verwaltung
- Raumfahrt
- Lebensmittelproduktion und -verarbeitung
- Chemische Industrie
- Herstellung von pharmazeutischen Produkten
- Herstellung von medizinischen Geräten
- Post- und Kurierdienste
- Abfallwirtschaft
- Forschung
- Soziale Netzwerke
Die Richtlinie richtet sich insbesondere an mittlere und große Unternehmen, die mehr als 50 Mitarbeiter beschäftigen und einen Jahresumsatz von über 10 Millionen EUR haben. Auch bestimmte Betreiber digitaler Infrastrukturen und öffentliche Verwaltungen fallen unabhängig von ihrer Größe unter die Richtlinie.
Beispiele für Unternehmen, für die NIS2 unabhängig von ihrer Größe gilt
Qualifizierte Vertrauensdienste
Diese Unternehmen sind zentral für die Sicherheit und Vertrauenswürdigkeit digitaler Transaktionen innerhalb der EU (Elektronische Signaturen, Zeitstempel, Website-Zertifikate …).
Top Level Domain-Registries (TLD) und Domain Name System-Dienste (DNS)
Diese Dienste spielen wesentliche Rolle bei der Verwaltung und Auflösung von Domainnamen, was die Grundlage für das Funktionieren des Internets bildet.
Anbieter von digitalen Diensten
Hierzu zählen Anbieter von Online-Marktplätzen, Suchmaschinen und sozialen Plattformen. Diese Dienste sind für die digitale Wirtschaft von zentraler Bedeutung.
Unternehmen in kritischen Sektoren
Unternehmen, die in Sektoren wie Energie, Wasser, Gesundheit, Abfallbewirtschaftung, Lebensmittelproduktion und Chemikalienproduktion tätig sind, wenn sie als besonders kritisch eingestuft werden.
Checkliste zur Einhaltung der NIS2-Richtlinien
Um festzustellen, ob Ihr Unternehmen den NIS2-Richtlinien entspricht, können Sie die folgende Checkliste verwenden:
NIS2-Compliance – Checkliste für Unternehmen
Selbsteinstufung und Registrierung
Risikomanagement
Sicherheitsmaßnahmen