SPRECHEN SIE MIT UNS

NIS2 – EU-Richtlinie

NIS2UmsuCG

Wir unterstützen Sie dabei, die gesetzlichen Anforderungen zu erfüllen.

Stellen Sie sicher, dass Ihr Unternehmen alle relevanten Gesetze, Vorschriften und Mindestanforderungen einhält, wodurch Strafen und rechtliche Probleme vermieden werden.

Präventive Sicherheitsmaßnahmen sorgen dafür, dass Geschäftsprozesse nicht durch Cyberangriffe oder technische Ausfälle unterbrochen werden. Dies sichert die Kontinuität und Produktivität Ihres Unternehmens.

Stärken Sie Ihr Unternehmensimage und Ihren Wettbewerbsvorteil durch Risikominimierung.

Lassen Sie uns sprechen

Komplett kostenlos und unverbindlich

Was bedeutet NIS2 und wer ist betroffen?

Unternehmen und Organisationen (Sektoren) müssen sich unter anderem mit den Themen:

Risikomanagementmaßnahmen im Bereich der Cybersicherheit. Ausmaß der Risikoexposition der Einrichtung, die  Größe der Einrichtung und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen, gebührend zu berücksichtigen.

Betreffende Unternehmen müssen erhebliche Sicherheitsvorfälle unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme melden.
Unverzüglich, in jedem Fall aber innerhalb von 72 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, eine Meldung über den Sicherheitsvorfall, in der gegebenenfalls die unter Buchstabe a genannten Informationen aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden.

wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;

einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern; einschließlich der Sicherheit ihrer Entwicklungsprozesse

Geltungsbereich

Neu ist, dass die Zahl der betroffenen Unternehmen und Organisationen erhöht wurde, die in den Anwendungsbereich fallen.  Hierzu gehören mittlere und große Unternehmen aus den definierten Sektoren:

  • Mittlere Unternehmen : 50-250 Beschäftigte, 10-50 Mio. Euro Umsatz, < 43 Mio. Euro Bilanz
  • Große Unternehmen: >250 Beschäftigte, > 50 Mio. Euro Umsatz, > 43 Mio. Euro Bilanz

 

Die Sektoren werden zusätzlich unter wesentlichen und wichtigen unterschieden.
Der Hauptunterschied zwischen den beiden Sektoren besteht darin, dass sie unterschiedlich hoch sanktioniert werden. Unternehmen, die in den Bereich der wesentlichen Sektoren fallen (KRITIS) unterstehen außerdem der behördlichen Aufsicht.

Anhang I (=Sektoren mit hoher Kritikalität)Anhang II (=sonstige kritische Sektoren)
Energie (Elektrizität, Fernwärme/Kälte, Öl, Gas und Wasserstoff)Post- und Kurierdienste
Verkehr (Luft, Schiene, Schifffahrt, StraßeAbfallbewirtschaftung
BankwesenChemie (Herstellung und Handel)
FinanzmarktinfrastrukturenLebensmittel (Produktion, Verarbeitung, Vertrieb)
Gesundheitswesen
(Gesundheitsdienstleister, EU-Referenzlaboratorien, Forschung und Herstellung von pharmazeutischen und medizinischen Produktion und Geräte)
Verarbeitendes / Herstellendes Gewerbe (Medizinprodukte; Datenverarbeitungs-, elektronische und optische Geräte und elektronische Ausrüstungen; Maschinenbau; Kraftwagen und Kraftwagenteile und sonstiger Fahrzeugbau)
TrinkwasserAnbieter digitaler Dienste (Suchmaschinen, Online-Marktplätze und soziale Netzwerke
AbwasserForschung
Digitale Infrastruktur
(IXP, DNS, TLD, Cloud-Computing, Rechenzentren, CDN, TSP und Anbieter öffentlicher elektronischer Kommunikationsnetze- und dienste)
 
Verwaltung von IKT-Diensten (B2B) 
Öffentliche Verwaltung 
Weltraum 
 Rot = Neuerungen gegenüber der NIS1

Was ändert sich?

Durch den erweiterten Anwendungsbereich sind viele Unternehmen und Organisationen betroffen.

Die betroffenen Unternehmen und Organisationen müssen ein wirksames Informationssicherheitsmanagementsystem (ISMS) aufbauen. Neben dem Rahmenwerk (bspw. ISO/IEC 27001:2022 gehören definierte Maßnahmen zur Erhöhung der betriebliche Resilienz, ein funktionierendes Risikomanagement und ein etabliertes Berichtswesen dazu.

Es gilt das Business Continuity Management und die Sicherheit in der Lieferkette sicherzustellen.