Was bedeutet NIS2 für ihr Unternehmen?

In den letzten Jahren hat die Zahl der Cyber-Angriffe und -Vorfälle in Europa stark zugenommen. Vor allem Phishing, Malware und Ransomware sind ein großes Problem. Cyberangriffe können erhebliche Auswirkungen auf die Gesellschaft haben, da wir sowohl auf geschäftlicher als auch auf privater Ebene stark auf eine gut funktionierende digitale Infrastruktur angewiesen sind. Da wir alle hauptsächlich digital arbeiten, ist Cybersicherheit eher eine Grundvoraussetzung als eine Option.

Um die Cybersicherheit in ganz Europa zu stärken, stimmte das Europäische Parlament für die Verabschiedung der überarbeiteten Richtlinie 2022/0383 über Netz- und Informationssysteme, die gemeinhin als "NIS2" bezeichnet wird. Die NIS2 soll die Umsetzung des bestehenden EU-Rahmens für Cybersicherheit erweitern, stärken und harmonisieren. Sie ist ein wichtiger Bestandteil der EU-Strategie für Cybersicherheit und steht im Einklang mit der Priorität der Europäischen Kommission, Europa für das digitale Zeitalter fit zu machen. Für welche Sektoren gilt sie? Und was bedeutet ihre Umsetzung für Ihr Unternehmen? Nomios Germany gibt Ihnen hier die Antworten.

Was ist die NIS2-Richtlinie?

Im Jahr 2016 führte die EU die Richtlinie zur Netz- und Informationssicherheit (NIS) ein. Diese NIS1 legt strenge Cybersicherheitsanforderungen für sogenannte "wesentliche Unternehmen" fest. Das sind zum Beispiel Wasser-, Energie- und Telekommunikationsunternehmen. Die NIS2 ergänzt und erweitert die Richtlinie, indem sie weitere Unternehmen als wesentliche Unternehmen ausweist. Insgesamt betrifft sie rund 160.000 Organisationen in ganz Europa.

Die wichtigsten NIS2-Bestandteile:

  • Mit ihrer wirtschaftlichen und sozialen Bedeutung deckt die neue Richtlinie mehr Sektoren ab und hat die Klassifizierung von Unternehmen optimiert. Mittlere und große Unternehmen aus bestimmten Sektoren werden nun in den Vorschlag einbezogen. Gleichzeitig wird den Mitgliedstaaten eine gewisse Flexibilität eingeräumt, um kleinere Unternehmen mit einem hohen Risikoprofil zu ermitteln.

  • Den Leitungsorganen von Unternehmen, die in den Anwendungsbereich fallen, sollte mehr Aufmerksamkeit geschenkt werden, wobei die Mitgliedstaaten dafür sorgen sollten, dass diese Organe für Verstöße des Unternehmens gegen die Bestimmungen zu diesen Maßnahmen haftbar gemacht werden können.

  • Die Richtlinie verschärft die Sicherheitsanforderungen für Unternehmen, indem sie einen Risikomanagement-Ansatz vorschreibt und die wichtigsten Cybersicherheitsmaßnahmen festlegt, die alle unter den Anwendungsbereich fallenden Unternehmen umsetzen müssen.

  • In der NIS2 wird nicht mehr zwischen Betreibern kritischer Dienste und Anbietern digitaler Dienste unterschieden. Die Unternehmen werden nach ihrer Bedeutung klassifiziert und in wesentliche und wichtige Kategorien eingeteilt, so dass sie unterschiedlichen Aufsichtsregelungen unterworfen sind.

  • Die Anforderungen an das Incident Reporting sind erheblich geändert und die Sanktionen bei Nichteinhaltung verschärft.

  • Einzelne Unternehmen müssen sich mit Sicherheitsrisiken in ihren Lieferketten und Lieferbeziehungen auseinandersetzen.

  • Es wird stärkere Aufsichtsmaßnahmen für die nationalen Behörden, strengere Anforderungen für die Durchsetzung von Sicherheitsmaßnahmen und eine Harmonisierung der Sanktionsregelungen und Meldepflichten in den Mitgliedstaaten sowie eine verbesserte Zusammenarbeit mit den Behörden geben.

Wann und für wen gilt die NIS2?

Die NIS2 gilt für alle Organisationen, die in der EU tätig sind oder Tätigkeiten ausüben, die eine wesentliche Dienstleistung für die Verbraucher erbringen (d. h. sie entsprechen der Beschreibung einer "wesentlichen" oder "wichtigen" Organisation in einer festgelegten Liste von Sektoren). Beispiele hierfür sind Internetanbieter, Energieversorger, Trinkwasserversorger, Abfallverwerter, Banken, Transportunternehmen, Gesundheitseinrichtungen und Fabriken, die Lebensmittel oder wichtige Haushaltsgegenstände herstellen. Ausgenommen sind kleinere Unternehmen, die als wesentlich angesehen werden könnten, aber eine bestimmte Größenordnung nicht erreichen (voraussichtlich 10 Mio. EUR Jahresumsatz und/oder weniger als 50 Beschäftigte), sowie andere Einrichtungen, die von den Mitgliedstaaten ausdrücklich ausgeschlossen wurden.

Die NIS2 kann Organisationen entweder als wesentlich oder als wichtig einstufen - für sie gelten dieselben Anforderungen an das Cybersicherheitsmanagement und die Meldepflicht für Vorfälle im Rahmen der NIS2. Was ist der größte Unterschied zwischen wesentlichen und wichtigen Organisationen? Die Überwachung der Einhaltung der Vorschriften. Bei wichtigen Anbietern, vor allem in wichtigen Sektoren, muss die Überwachung streng proaktiv sein und sich deutlich in ihren Prozessen widerspiegeln. Das bedeutet, dass die Regulierungsbehörden überprüfen, ob diese Organisationen die Vorschriften korrekt anwenden und einhalten. Bei kritischen Anbietern erfolgt die Überwachung reaktiv, wenn es Anzeichen für einen Cybervorfall gibt.

Die neue Gesetzgebung hat einen größeren Anwendungsbereich (mehr Sektoren und mehr Organisationen) als die NIS1-Richtlinie und zielt darauf ab, die digitale Widerstandsfähigkeit in allen EU-Mitgliedstaaten anzugleichen und zu erhöhen. NIS2 wird voraussichtlich spätestens im September 2024 in Kraft treten. "Für viele KMU wird NIS2 keine Auswirkungen haben, es sei denn, sie sind unverzichtbar. Dann muss man sich zertifizieren lassen und bekommt häufiger Besuch von einer Aufsichtsbehörde", erklärte Bart Groothuis, Mitglied des Europäischen Parlaments.

Placeholder for From NIS to NIS2From NIS to NIS2

Welche Auswirkungen haben die neuen Rechtsvorschriften?

Wurde Ihre Organisation als wesentlich eingestuft? Und erfüllen Sie die Anforderungen der NIS2 nicht? Dann drohen Ihnen Geldbußen von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes. Personen mit entsprechenden Befugnissen oder (Führungs-)Aufgaben im Bereich der Cybersicherheit können persönlich für die Nichteinhaltung der Vorschriften verantwortlich gemacht werden.

Wie Nomios hilft

Nomios Germany ist im Verbund mit den mehr als 400 europäischen Experten der Nomois Group in der Lage, die standardisierten NIS2-Anforderungen passgenau für Ihr Unternehmen zu erfüllen. Und das bereits in Tagen. Dafür analysieren wir den Reifegrad Ihrer Organisation und bringen die bestehenden internen Ressourcen in Einklang mit unseren Lösungen. Hierbei setzen wir auf die Mischung aus echten Menschen, führendste Hersteller-Lösungen sowie Automation.

icon  Money time

Bietet Ihr Unternehmen einen wichtigen Dienst für Verbraucher an? Wenn ja, müssen Sie bis zum 17. Oktober 2024 Ihre Cybersicherheitsangelegenheiten in Ordnung bringen. Unsere Experten helfen gerne dabei, den Stand der Cybersicherheit Ihres Unternehmens zu überprüfen, um dann gemeinsam mit Ihren Teams die nächsten Schritte zu gehen.

Hilfe bei NIS2

Eine Auswahl unserer Dienstleistungen und Lösungen

Sprechen sie mit unseren experten

Unser Team ist bereit für Sie

Möchten Sie mehr über dieses Thema erfahren? Hinterlassen Sie eine Nachricht oder Ihre Telefonnummer und wir rufen Sie zurück. Wir freuen uns darauf, Ihnen weiterzuhelfen.