NIS‑2 „Network and Information Security“ Richtlinie

Mit der NIS-2-Richtlinie gelten ab Oktober 2024 für viele Unternehmen und Organisationen in 18 kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten. Darunter finden sich auch viele KMU, die bisher nicht betroffen waren. Diese NIS2 ersetzt die NIS Directive aus dem Jahr 2016 mit dem Ziel, ein besseres gemeinsames Cybersicherheitsniveau in der EU zu erreichen. 

Im Vergleich zur vorigen NIS Directive erweitert NIS‑2 stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Bei Verstößen gegen die NIS2 Directive drohen hohe sogar Geldstrafen.

Wer ist betroffen? 

Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme. Alle diese Einrichtungen üben ihre Tätigkeiten in der EU aus. Außerdem fallen noch folgende Einrichtungen, unabhängig von ihrer Größe, unter die NIS2 Directive:

  • Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
  • Vertrauensdiensteanbieter
  • TLD-Namensregistrierungen und DNS-Dienstanbieter (außer Betreiber von Root-Namenservern)
  • Alleinige Anbieter, die essenziell für Gesellschaft und Wirtschaft sind
  • Einrichtungen, deren Ausfall einen großen Effekt auf öffentliche Ordnung, Sicherheit oder Gesundheit hätte
  • Einrichtungen, deren Ausfall zu einem Systemrisiko mit grenzübergreifenden Folgen führen könnte
  • Einrichtungen, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind
  • Vom EU-Mitgliedstaat definierte Einrichtung der öffentlichen Verwaltung der Zentralregierung oder kritische Einrichtung der öffentlichen Verwaltung auf regionaler Ebene
  • Kritische Infrastrukturen gemäß Richtlinie (EU) 20222557
  • Einrichtungen, die Domänennamenregistrierungsdienste erbringen
Sektoreneinteilung

Zusätzlich gilt die neue Richtlinie indirekt auch für Dienstleister und Lieferanten von betroffenen Einrichtungen.

Cybersecurity-Maßnahmen ein MUSS

Folgende Cybersecurity-Maßnahmen müssen von den Unternehmen ausgeführt werden:

  • Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
  • Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
  • Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
  • Supply Chain: Sicherheit in der Lieferkette
  • Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme, einschließlich Management und Offenlegung von Schwachstellen
  • Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
  • Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
  • Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
  • Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
  • Kommunikation: Sichere Sprach‑, Video- und Text-Kommunikation, ggf. auch im Notfall

KRITIS

NIS‑2 ist eine Weiterentwicklung bestehender Sicherheitsmaßnahmen, die durch ISO-Normen-Gesetze wie die KRITIS-Verordnung oder das Sicherheitsgesetz 2.0 bereits in vielen Unternehmen verankert sind. Mit der Einführung von NIS2 wird nun eine europaweite Harmonisierung dieser Standards erreicht, die auf den bereits getätigten Anstrengungen und Investitionen der Unternehmen aufbaut.

Auch wenn Sie als KMU nicht betroffen sein sollten, ist Cybersecurity ein Thema, das bei der Geschäftsführung prioritär behandelt werden sollte: Denn als Geschäftsführer stehen Sie in der Haftung und als kleines und mittleres Unternehmen genauso vor der kniffligen Aufgabe, das richtige Maß an Investitionen in entsprechende Infrastrukturen zu tätigen.

Wie steht es um die Cybersicherheit in Ihrem Unternehmen?

Aktuelle Beiträge


  • Google entfernt 2,36 Millionen gefährliche Apps
    Die Ergebnisse zeigen, dass Unternehmen 2025 auf Cyber-Angriffe und Betriebsunterbrechungen besonders vorbereitet sein müssen. Proaktive Maßnahmen sind entscheidend!
  • 2025 bleiben Cyber-Attacken TOP Risiko
    Die Ergebnisse zeigen, dass Unternehmen 2025 auf Cyber-Angriffe und Betriebsunterbrechungen besonders vorbereitet sein müssen. Proaktive Maßnahmen sind entscheidend!
  • Großes Microsoft Sicherheitsupdate
    Microsoft beginnt das neue Jahr mit einem riesigen Sicherheitsupdate. Das Unternehmen hat insgesamt 161 Schwachstellen in seinen Softwareprodukten behoben!
  • DORA tritt in Kraft
    Am 17. Januar war es soweit: DORA — Digital Operation Resilience ACT — ist verbindlich! Wie können Sie sich vorbereiten? Hier drei wichtige Schritte.
  • Die Evolution der Cyberkriminalität
    Mit KI-gestützten Werkzeugen erschaffen Cyberkriminelle täuschend echte Phishing-Kampagnen, die präzise formuliert und kulturell angepasst sind.

Wollen Sie wissen, wie sicher Ihr Unternehmen ist? Probieren Sie es aus! Klicken Sie hier für eine Testinstallation der DEFENDERBOX.
Das Kennenlernangebot gilt bis
30. Dezember 2024.