NIS-2
NIS 2

Wer fällt unter NIS2?

Laut einer Statistik der EU betrifft die NIS2-Richtlinie 18 Sektoren in Deutschland. Diese Regelung gilt ab 50 Mitarbeitern und 10 Millionen Euro Umsatz pro Jahr. Sie zeigt, wie wichtig Cybersicherheit ist und wie viele Firmen betroffen sind.

Die NIS2-Richtlinie will kritische Infrastrukturen sicherer machen. Dazu gehören Unternehmen in Bereichen wie Energie und Gesundheit. Ihr Schutz ist notwendig, um Gesellschaft, Sicherheit und Wirtschaft zu sichern.

Wichtigste Erkenntnisse:

  • Die NIS2-Richtlinie betrifft Unternehmen in 18 verschiedenen Wirtschaftssektoren.
  • Reguliert werden Unternehmen ab 50 Mitarbeitern und einem Jahresumsatz von über 10 Millionen Euro.
  • Kritische Infrastrukturen wie Energie, Verkehr, Finanzen und Gesundheitswesen stehen besonders im Fokus.
  • Verstöße gegen NIS2 können zu hohen Strafen von bis zu 10 Millionen Euro oder 2% des Umsatzes führen.
  • Unternehmen müssen umfangreiche Sicherheitsmaßnahmen, Risikoanalysen und Meldepflichten erfüllen.

Einführung zur NIS2-Richtlinie

In der Europäischen Union ist die Netzwerk- und Informationssystemsicherheit ein großes Thema. Sie schützt uns vor Online-Gefahren. Die NIS2-Richtlinie fand 2016 ihren Anfang. Sie baut die Cybersicherheitsstandards weiter auf. Ihr Fokus liegt auf starken Cyberresilienz kritischer Infrastrukturen in der EU.

Am 27. Dezember 2022 wurde die NIS2-Richtlinie offiziell. Ab dem 16. Januar 2023 war sie gültig. Bis zum 17. Oktober 2024 müssen alle Mitgliedsstaaten sie in ihre eigenen Gesetze umwandeln.

Was ist NIS2?

Die NIS2-Richtlinie verbessert die Erste aus 2016. Sie gilt für noch mehr Bereiche. Digitale Dienstleister zählen jetzt auch dazu. Cybersicherheit in Europa soll so besser werden. Wir wollen standhaft gegenüber Cyberangriffen sein.

Ziele der NIS2-Richtlinie

  • Erhöhung des allgemeinen Cybersicherheitsniveaus in der EU
  • Stärkung der Cyberresilienz kritischer Infrastrukturen
  • Unternehmen müssen sich besser vor Cyberangriffen schützen
  • Sicherheitsstandards und aktuelle Systeme werden gefordert
  • Es gibt Vorgaben zur Meldung von Sicherheitsvorfällen
  • Diese Anforderungen gelten in der ganzen EU

Durch die NIS2-Richtlinie soll Europa digital sicherer werden. Wir schützen uns so besser vor Cyberangriffen.

Unternehmen, die unter NIS2 fallen

Die EU hat mit der NIS2-Richtlinie Regeln aufgestellt. Diese zeigen, welchen Unternehmen sie entsprechen müssen. Es geht um die Unternehmensgröße und den Unternehmenssektor.

Kriterium 1: Unternehmensgröße

Ein Betrieb zählt nach der NIS2, wenn er über 50 Mitarbeiter hat und mehr als 10 Millionen Euro Umsatz macht. Doch auch kleinere Firmen könnten drunter fallen. Wichtig ist, wenn sie kritische Aufgaben erledigen oder die öffentliche Sicherheit gefährden.

Kriterium 2: Unternehmenssektor

Unternehmen müssen nicht nur groß sein, sondern auch zu den 18 wichtigen Sektoren gehören. Diese Bereiche wie Energie, Verkehr und Gesundheit nennt man kritische Infrastruktur. Zugleich zählen Wasser, Digitale Infrastruktur und öffentliche Verwaltung dazu.

Die NIS2-Richtlinie betrifft viele Firmen in der EU, auch in Deutschland. Wer unter die Regeln fällt, muss sie beachten. Andernfalls drohen hohe Strafen, bis zu 10 Millionen Euro oder 2% des globalen Umsatzes.

Unternehmen unter NIS2

„Die NIS-2-Richtlinie zielt darauf ab, ein europaweites Cybersicherheitsniveau in kritischen Bereichen wie Gesundheit, Energie, und Finanzmärkten zu etablieren.“

Die 18 relevanten Sektoren nach NIS2

Die NIS2-Richtlinie wurde entwickelt, um das Thema Cybersicherheit in der EU voranzutreiben. Sie fokussiert sich auf 18 Sektoren, die als kritische Infrastruktur gelten. Diese Sektoren sind ähnlich denen, die in Deutschland als wichtig für die Gesellschaft und Wirtschaft eingestuft werden.

Laut der NIS2-Richtlinie fallen diese 18 Sektoren unter kritische Infrastruktur:

  • Energie
  • Transport
  • Bankwesen
  • Finanzmärkte
  • Gesundheit
  • Wasser
  • Abwasser
  • Digitale Infrastruktur
  • IKT-Dienstleistungsmanagement
  • Öffentliche Verwaltung
  • Weltraum
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemikalien
  • Lebensmittelproduktion
  • Produzierende Industrie
  • Digitale Anbieter

Warum wurden diese Sektoren gewählt? Sie sind lebenswichtig für unser gesellschaftliches und wirtschaftliches Funktionieren. Unternehmen in diesen Bereichen müssen sich auf die NIS2-Richtlinie vorbereiten. So können sie ihre Cybersicherheit verbessern und Störungen vorbeugen.

„Die NIS2-Richtlinie führt zu einem breiteren Schutz der EU-Kritischen Infrastrukturen. Firmen in diesen 18 Sektoren sollen mehr in Cybersicherheit investieren.“

NIS 2 und KRITIS-Betreiber

Die NIS-2-Richtlinie betrifft Betreiber kritischer Infrastrukturen in Deutschland stark. Diese Infrastrukturen sind essenziell für die Gesellschaft, die Sicherheit des Landes und die Wirtschaft. Ein Ausfall könnte große Störungen verursachen.

Definition von Kritischen Infrastrukturen

Das Bundesamt für Katastrophenschutz bestimmt, welche Sektoren kritisch sind. Energie, Wasser, Verkehr, Finanzen, Gesundheit und IT gelten als solche. Die Größe der Unternehmen spielt dabei keine Rolle.

Sektoren der Kritischen Infrastrukturen

  • Energie
  • Wasser
  • Verkehr
  • Finanzwesen
  • Gesundheit
  • Informationstechnik

Rund 30.000 Unternehmen müssen die NIS-2-Richtlinie befolgen, darunter 2.000 KRITIS-Unternehmen. Sie haben Zeit bis zum 18.10.2024, um ihre IT-Sicherheit zu verbessern.

Kritische Infrastrukturen

Die Maßnahmen beinhalten spezifische Sicherheitsregeln. Neben der Sicherheit müssen KRITIS-Betreiber auch IT-Probleme melden. Alle zwei Jahre müssen sie ihre IT-Sicherheit auf den neuesten Stand bringen.

Sonderregelungen und Ausnahmen bei NIS2

Die NIS2-Richtlinie der EU startete am 16. Januar 2023. Sie bietet Sonderregelungen für manche Unternehmen. Diese Regeln gelten unabhängig von Größe und Umsatz.

Bestimmte Bereiche wie Verteidigung und Sicherheit sind ausgenommen. Auch Justiz und Zentralbanken müssen sich nicht an NIS2 halten.

In manchen EU-Ländern könnte die Richtlinie lokal gelten. Das heißt, dort entscheidet man, ob bestimmte Stellen die Regeln einhalten müssen.

Es gibt viele Sonderregelungen und Ausnahmen bei NIS2. Diese hängen von der Branche und Unternehmensgröße ab. Betroffene Firmen sollten sich gut informieren, um die Regeln richtig anzuwenden.

NIS2 Ausnahmen

Die NIS2 will Europa sicherer machen. Deshalb gibt es Sonderregelungen und Ausnahmen für verschiedene Gruppen. So passt man die Richtlinie an unterschiedliche Bedürfnisse an.

„Size-Cap“-Regel bei NIS2

Ein wichtiger Teil der NIS2-Richtlinie ist die „Size-Cap-Regel“. Diese Regel hilft, Unternehmen passend nach ihrer Größe zu überwachen. Kleine und mittlere Firmen (KMU) müssen nicht so hohe Kosten für Sicherheit bezahlen. Aber, größere Firmen müssen sichere Maßnahmen setzen.

Regulierung nach Unternehmensgröße

Die Regel soll für alle Firmen fair sein, egal wie groß sie sind. Es gibt klare Vorgaben, was eine Firma zur Gruppe der KMU, Mittelständler oder Großunternehmen bringt:

  • Unternehmen mit mehr als 249 Beschäftigten gelten als Großunternehmen.
  • KMU haben weniger als 250 Mitarbeiter und einen Umsatz von höchstens 50 Mio. EUR.
  • Auch wer nur 50 Mitarbeiter hat, kann unter diese Regeln fallen.

Bei der Einteilung in Größenklassen zählen nicht nur die Mitarbeiter. Auch Umsatz und Bilanzsumme sind wichtig. Partnerunternehmen sind nur relevant, wenn sie die IT-Sicherheit direkt beeinflussen.

Unternehmensgröße Mitarbeiter Jahresumsatz Jahresbilanzsumme
Großunternehmen ≥ 250 ≥ 50 Mio. EUR ≥ 43 Mio. EUR
Mittlere Unternehmen 50 – 249
Kleine Unternehmen

Die „Size-Cap-Regel“ ist wichtig, um alle Firmen zur Cybersicherheit zu verpflichten. Es soll aber auch sicherstellen, dass vor allem kleine und mittlere Firmen nicht zu schwer belastet werden.

NIS2 Size-Cap-Regel

Pflichten und Herausforderungen für Unternehmen

Die NIS2-Richtlinie hat viele neue Aufgaben für Unternehmen gebracht. Jetzt müssen sie Risiken managen und Cybervorfälle melden. Viele Unternehmen sind dabei aber überfordert.

Risikomanagementmaßnahmen

Unternehmen, die als „Netz- und Informationssystemdienst“ gelten, müssen Risiken managen. Sie sollen Schwachstellen finden und Gegenmaßnahmen ergreifen. Auch Penetrationstests und das Melden von Sicherheitsvorfällen sind Pflicht.

Berichts- und Meldepflichten

Laut NIS2 müssen Firmen auch Cybervorfälle melden. Bei schweren Vergehen können hohe Strafen drohen. Sie könnten bis zu 20 Millionen Euro oder 4 Prozent des Umsatzes zahlen müssen.

Viele Firmen kämpfen damit, die Regeln umzusetzen. Oft fehlen klare Verantwortlichkeiten und Risikobewertungen. Die neuen Anforderungen bedeuten auch ziemlich viel Arbeit und Kosten.

Pflicht Beschreibung Konsequenz bei Nichteinhaltung
Risikomanagementmaßnahmen Identifizierung von Schwachstellen und Implementierung von Gegenmaßnahmen Bis zu 20 Mio. Euro Bußgeld oder 4% des weltweiten Jahresumsatzes
Berichts- und Meldepflichten Zeitnahe Meldung von Cybervorfällen an zuständige Behörden Bis zu 20 Mio. Euro Bußgeld oder 4% des weltweiten Jahresumsatzes

„Die Implementierung der NIS-2-Richtlinie erfordert von Unternehmen, regelmäßige Penetrationstests durchzuführen und Systeme zur Meldung von Sicherheitsvorfällen einzurichten und zu überprüfen.“

Reaktionen der Unternehmen auf NIS2

Viele Firmen in Deutschland finden die NIS2-Richtlinie schwer umzusetzen. Rund 38% fühlen sich überfordert. Sie wissen nicht genau, wer für die IT- und OT-Sicherheit zuständig ist. 37% sagen, sie können die Risiken nicht gut genug bewerten.

Geräte und Systeme sind heute mehr miteinander verbunden. Das macht es einfach für Hacker, zuzugreifen. Die Umsetzung der NIS2 stellt daher eine große Herausforderung dar. Es braucht komplette Lösungen, um gegen Cyberangriffe gerüstet zu sein.

Unternehmen fühlen sich überfordert

  • 38% der Befragten geben an, dass es an klar definierten Verantwortlichkeiten und Zuständigkeiten in der IT- und OT-Sicherheit mangelt.
  • 37% der Unternehmen sehen eine unzureichende Bewertung der Cyberrisiken und deren Auswirkungen.
  • Die zunehmende Vernetzung von Geräten und Systemen erhöht die Angriffsfläche für Cyberrisiken.

„Die Umsetzung von NIS2 stellt eine erhebliche Compliance-Herausforderung dar, die ganzheitliche Lösungen zur Stärkung der Cyber-Resilienz erfordert.“

Unternehmensumsetzung NIS2

Um NIS2 einzuhalten, müssen Firmen in Deutschland viel in ihre IT-Sicherheit investieren. Sie müssen ihre Risiken kontrollieren und Mitarbeiter gut schulen. Nur so bleiben sie wettbewerbsfähig und vermeiden Strafen.

Vorbereitung auf NIS2

Die NIS2-Richtlinie ist eine große Herausforderung für Unternehmen. Es ist wichtig, sich rechtzeitig vorzubereiten. Dabei ist grundlegend, ein effektives Risikomanagement und Vorfallmanagement aufzubauen.

Einführung eines Risikomanagements

Risikomanagement ist entscheidend für NIS2-Richtlinie. Unternehmen müssen Schwachstellen und Bedrohungen erkennen. Dann können sie Maßnahmen ergreifen, um Cybersicherheit zu verbessern und gesetzlich konform zu sein.

Aufbau eines Vorfallmanagements

Ein starkes Vorfallmanagement ist auch notwendig. Es hilft, bei einem Angriff schnell und effektiv zu handeln. Mit Notfallplänen und klaren Meldewegen erfüllen Unternehmen ihre Meldepflichten termingerecht.

Die Vorbereitung auf NIS2 ist für den Erfolg und Wettbewerbsfähigkeit entscheidend. Risikomanagement und Vorfallmanagement sind der Schlüssel. Sie helfen Unternehmen, den Herausforderungen der Cybersicherheit zu begegnen und gesetzliche Anforderungen zu erfüllen.

„Die Umsetzungsfrist für die NIS2-Richtlinie endet am 17. Oktober 2024, was weniger als ein Jahr entfernt ist. Unternehmen müssen sich daher schnell auf die Änderungen vorbereiten, um wettbewerbsfähig zu bleiben und Strafen zu vermeiden.“

Technische und organisatorische Maßnahmen

Die NIS-2-Richtlinie verlangt, dass Firmen mehr tun als nur Risiken managen. Sie müssen auch spezielle Maßnahmen ergreifen, um ihre Cyber-Resilienz zu verbessern. Dadurch wird sichergestellt, dass sie im Notfall weiterarbeiten können und ihre Daten gesichert sind.

Erhöhung der Cyber-Resilienz

Unternehmen müssen ihre Technik gut schützen, um widerstandsfähiger gegen Angriffe zu werden. Dazu gehören:

  • Regelmäßige Sicherheitspatches und Updates
  • Der Einsatz moderner Sicherheitslösungen wie Firewalls und Antivirensoftware
  • Maßnahmen zur Kontrolle des Zugangs, z.B. durch Zwei-Faktor-Authentifizierung
  • Tests zur Erkennung von Schwachstellen und Schwachstellenanalysen
  • Einrichten von Systemen, um Sicherheitsvorfälle zu managen

Business Continuity und Backups

Es ist auch entscheidend, sich auf Ausnahmesituationen vorzubereiten und Daten richtig zu sichern. Dafür müssen Firmen:

  1. Ihre Daten regelmäßig sichern
  2. Notfallkonzepte entwickeln, um im Katastrophenfall schnell wieder arbeiten zu können
  3. Notfallpläne erstellen und darüber wachen, ob sie funktionieren
  4. Übungen durchführen, um bereit für einen Notfall zu sein

Alle diese Maßnahmen verbessern die Sicherheit und helfen, dass Firmen auch unter schwierigen Umständen weitermachen können.

„Ein guter Schutz gegen Cyberangriffe und wirksame Backup-Strategien halten Unternehmen stark, auch in der Krise.“

Unterstützung durch Cybersecurity-Berater

Viele Unternehmen haben Schwierigkeiten, die NIS-2-Richtlinie richtig anzuwenden. Cybersecurity-Berater sind hier sehr hilfreich. Sie kennen sich gut mit IT-Sicherheit und Compliance aus. So helfen sie, gutes Risikomanagement zu entwickeln. Sie finden Schwachstellen und empfehlen, wie man diese angehen kann.

Sie zeigen Firmen auch, wie sie die gesetzlichen Regeln am besten einhalten. Das ist wichtig, weil Strafen bei Nichterfüllung der NIS-2-Richtlinie drohen.

  1. Unterstützung beim Aufbau eines Informationssicherheitsmanagementsystems (ISMS), um NIS-2-Compliance sicherzustellen
  2. Identifizierung von Schwachstellen und Erarbeitung von Lösungen zur Stärkung der Cyber-Resilienz
  3. Beratung zur Umsetzung von Business Continuity und Backup-Strategien
  4. Entwicklung und Implementierung eines effektiven Vorfallmanagements

„Durch die einzigartige Kombination aus juristischem Fachwissen und Informationssicherheits-Know-how können wir Unternehmen dabei unterstützen, die Anforderungen der NIS-2-Richtlinie erfolgreich umzusetzen.“

Unsere Cybersecurity-Experten haben viel Erfahrung mit IT-Sicherheit, vor allem bei Kritischen Infrastrukturen (KRITIS). Sie sehen die ganzen Herausforderungen, die die NIS-2-Compliance mit sich bringt.

NIS2 in Deutschland

In Deutschland ist das Bundesamt für Katastrophenschutz (BBK) für die NIS2-Richtlinie zuständig. Das BBK gehört zum Bundesministerium des Innern und für Heimat. Es identifiziert kritische Infrastrukturen (KRITIS) in Deutschland. Darunter fallen Energie, Wasser, Verkehr, Finanzwesen, Gesundheit und IT.

Unternehmen, die entscheidend für Kritische Infrastrukturen (KRITIS) sind, müssen NIS2-Regeln befolgen. Etwa 30.000 Firmen in Deutschland sollen dies tun.

Rolle des Bundesamts für Katastrophenschutz

Das Bundesamt für Katastrophenschutz (BBK) bestimmt, welchen Firmen die KRITIS-Regeln gelten. Es unterstützt so die NIS2-Richtlinie in Deutschland.

Das BBK schützt Firmen mit gewissen Kriterien:

  • Wesentliche Einrichtungen: mehr als 249 Angestellte oder 50 Mio. € Umsatz und 43 Mio. € Bilanz
  • Wichtige Einrichtungen: 50 oder mehr Angestellte, oder 10 Mio. € Umsatz und 10 Mio. € Bilanz

Um Strafen zu vermeiden, müssen diese Firmen den NIS2-Regeln folgen. Bußgelder könnten bis zu 10 Millionen Euro betragen.

„Die NIS 2-Richtlinie soll bis zum 17. Oktober 2024 in nationales Recht in Deutschland umgesetzt werden.“

Das BBK kontrolliert, ob Firmen die NIS2-Regeln einhalten. Es kann hohe Strafen verhängen. Geschäftsführer sind oft persönlich verantwortlich.

Das BBK wird die Umsetzung der NIS2-Richtlinie stark vorantreiben. Es hilft Unternehmen, die Sicherheitsstandards zu befolgen. Denn ihre Unterstützung ist für den Schutz der kritischen Infrastruktur unerlässlich.

NIS 2

Die Abkürzung NIS steht für „Network and Information Security“. Es handelt sich um Maßnahmen zum Schutz von Netzwerken und Informationen. NIS2 ersetzt die NIS-1-Richtlinie von 2016. Sie wurde auf EU-Ebene verabschiedet. Bürger können sie online auf der Plattform EUR-Lex kostenlos einsehen.

Herkunft und Bedeutung des Begriffs

NIS2 hat das Ziel, den Cybersicherheitsschutz in der EU zu verbessern. Im Vergleich zur vorherigen Version wurde ihr Anwendungsbereich erweitert. Jetzt sind auch digitale Diensteanbieter und weitere Sektoren betroffen. Diese Unternehmen müssen Sicherheitsvorfälle melden, die wichtige Dienste beeinträchtigen könnten.

NIS2 auf EUR-Lex

Auf EUR-Lex finden wir die NIS2-Richtlinie in allen EU-Amtssprachen. Wir können dort die Ziele und Anforderungen für Unternehmen nachlesen. Diese Plattform ist entscheidend für Unternehmen, die NIS2 umsetzen müssen. Sie hilft ihnen, informiert zu bleiben.