Die NIS2-Richtlinie verlangt umfassende technische und organisatorische IT-Sicherheitsmaßnahmen von Unternehmen in kritischen Sektoren. Dazu gehören Risikomanagement, Incident Response, Business-Continuity-Planning, Cybersecurity-Governance und Lieferkettenüberwachung. Die Anforderungen gelten ab Oktober 2024 und unterscheiden sich je nach Unternehmensgröße und Sektor.
Was ist die NIS2-Richtlinie und wen betrifft sie?
Die NIS2-Richtlinie ist die überarbeitete EU-Verordnung zur Netz- und Informationssicherheit, die im Januar 2023 in Kraft getreten ist. Sie ersetzt die ursprüngliche NIS-Richtlinie und erweitert deren Anwendungsbereich erheblich. NIS2 zielt darauf ab, die Cybersicherheit in der gesamten EU zu stärken und ein einheitliches Sicherheitsniveau zu schaffen.
Die Richtlinie betrifft Unternehmen in 18 Sektoren, darunter Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur, Finanzdienstleistungen und öffentliche Verwaltung. Neu hinzugekommen sind Sektoren wie Abwassermanagement, Raumfahrt, Post- und Kurierdienste sowie digitale Dienste.
Im Vergleich zu NIS1 erfasst NIS2 deutlich mehr Unternehmen. Während die ursprüngliche Richtlinie nur etwa 1.000 Organisationen betraf, fallen unter NIS2 schätzungsweise über 160.000 Unternehmen europaweit. Die Klassifizierung erfolgt in „wesentliche Einrichtungen“ und „wichtige Einrichtungen“, basierend auf Unternehmensgröße und Bedeutung für die kritische Infrastruktur.
Welche konkreten IT-Sicherheitsmaßnahmen schreibt NIS2 vor?
NIS2 fordert ein ganzheitliches Cybersecurity-Management mit zehn spezifischen Maßnahmenbereichen. Diese umfassen sowohl technische Schutzmaßnahmen als auch organisatorische Prozesse zur Risikominimierung.
Die technischen Anforderungen beinhalten:
- Richtlinien zur Risikoanalyse und Informationssystemsicherheit
- Incident Handling und Business-Continuity-Management
- Lieferkettenüberwachung und Sicherheitsmaßnahmen
- Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
- Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
Auf organisatorischer Ebene verlangt NIS2:
- Grundlegende Cyberhygiene-Praktiken und Cybersicherheitsschulungen
- Kryptografie und Verschlüsselungsverfahren
- Personalsicherheit, Zugangskontrollen und Asset-Management
- Verwendung von Multi-Faktor-Authentifizierung
- Notfall- und Business-Continuity-Verfahren
Besonders wichtig ist die Einrichtung eines 24/7-Monitoring-Systems zur kontinuierlichen Überwachung der IT-Infrastruktur und zur schnellen Erkennung von Sicherheitsvorfällen.
Wie unterscheiden sich die Anforderungen für verschiedene Unternehmensgrößen?
NIS2 unterscheidet zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ mit unterschiedlichen Verpflichtungsgraden. Die Klassifizierung erfolgt primär nach Unternehmensgröße und Bedeutung für die kritische Infrastruktur.
Wesentliche Einrichtungen unterliegen strengeren Anforderungen:
- Umfassende Aufsicht durch nationale Behörden
- Detaillierte Berichtspflichten bei Sicherheitsvorfällen
- Regelmäßige Sicherheitsaudits und Bewertungen
- Höhere Bußgelder bei Verstößen (bis zu 2 % des weltweiten Jahresumsatzes)
Wichtige Einrichtungen haben reduzierte Verpflichtungen:
- Grundlegende Aufsichtsmaßnahmen
- Vereinfachte Berichterstattung
- Geringere Bußgelder (bis zu 1,4 % des weltweiten Jahresumsatzes)
Kleine und mittlere Unternehmen (KMU) sind grundsätzlich von NIS2 ausgenommen, es sei denn, sie sind die einzigen Anbieter einer Dienstleistung in einem Mitgliedstaat oder ihre Dienstleistung ist für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten von zentraler Bedeutung.
Bis wann müssen Unternehmen NIS2-konform sein und was passiert bei Verstößen?
Die Umsetzungsfrist für NIS2 endet am 17. Oktober 2024. Bis zu diesem Datum müssen alle betroffenen Unternehmen die geforderten Sicherheitsmaßnahmen implementiert und dokumentiert haben. Die nationalen Aufsichtsbehörden werden ab diesem Zeitpunkt mit der Überwachung und Durchsetzung beginnen.
Unternehmen sollten bereits jetzt mit der Umsetzung beginnen, da die Implementierung umfassender Sicherheitsmaßnahmen mehrere Monate in Anspruch nehmen kann. Eine Gap-Analyse zur Bewertung des aktuellen Sicherheitsniveaus ist der erste wichtige Schritt.
Bei Verstößen gegen NIS2 drohen erhebliche Sanktionen:
- Wesentliche Einrichtungen: Geldstrafen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: Geldstrafen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
- Zusätzliche Maßnahmen wie Anordnungen zur Behebung von Mängeln
- Öffentliche Bekanntmachung von Verstößen
Darüber hinaus können Führungskräfte persönlich haftbar gemacht werden, wenn sie ihren Sorgfaltspflichten nicht nachkommen.
Wie unterstützt CCVOSSEL bei der NIS2-Umsetzung?
Wir bieten End-to-End-Beratung für die vollständige NIS2-Compliance – von der initialen Gap-Analyse bis zur laufenden Überwachung. Unser erfahrenes Team unterstützt Sie dabei, alle geforderten Sicherheitsmaßnahmen fristgerecht und effizient zu implementieren.
Unsere NIS2-Compliance-Services umfassen:
- Umfassende Bewertung Ihrer aktuellen IT-Sicherheitslandschaft
- Entwicklung maßgeschneiderter Sicherheitskonzepte und technischer sowie organisatorischer Maßnahmen
- Implementierung von 24/7-Security-Monitoring und Incident-Response-Systemen
- Durchführung von Penetrationstests zur Identifikation von Schwachstellen
- Schulungen und Awareness-Programme für Ihre Mitarbeitenden
- Laufende Betreuung und Aktualisierung Ihrer Sicherheitsmaßnahmen
Mit unserer jahrzehntelangen Erfahrung in kritischen Infrastrukturen und ISO-27001-Zertifizierung stellen wir sicher, dass Ihr Unternehmen nicht nur die NIS2-Anforderungen erfüllt, sondern auch optimal vor Cyberbedrohungen geschützt ist.
Kontaktieren Sie uns über unser Expertenteam für eine kostenlose Erstberatung und erfahren Sie, wie wir Sie bei der termingerechten NIS2-Umsetzung unterstützen können.