HM-Consult IT-Management GmbH

T +49.431.97449.803
E info@hm-consult.de

NIS-2

Was ist die NIS-2-Richtlinie?

Die europäische NIS-2-Richtlinie trat im Dezember 2022 in Kraft und soll bis Oktober 2024 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt werden.

Aktuell gibt es drei Referentenentwürfe (Dezember 2023, Mai 2024 und Juni 2024.Das Gesetz soll im Oktober 2024 in Kraft treten.

Bestimmte Organisationen sind verpflichtet, angemessene technische, operative und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten und die Folgen von Sicherheitsvorfällen zu minimieren oder zu vermeiden.

Es wird ein umfassender Ansatz verfolgt, bei dem alle möglichen Gefahren und deren Wechselwirkungen berücksichtigt werden müssen.

Wer fällt unter die NIS-2-Richtlinie?

Betroffene Unternehmen

Mittlere Unternehmen, die als "Important Entities" bezeichnet werden, sind von der NIS2-Richtlinie betroffen. Diese Unternehmen beschäftigen zwischen 50 und 249 Mitarbeitende, erzielen einen Jahresumsatz zwischen 10 und 50 Millionen Euro und haben eine Bilanzsumme unter 43 Millionen Euro. Großunternehmen, die als "Essential" oder "Important Entities" klassifiziert sind, fallen ebenfalls unter die NIS2-Richtlinie. Diese Unternehmen beschäftigen über 250 Mitarbeitende, erzielen einen Jahresumsatz von mehr als 50 Millionen Euro oder haben eine Bilanzsumme von mehr als 43 Millionen Euro.

Kritische Infrastrukturen (KRITIS)

Die bestehenden Schwellenwerte für KRITIS-Anlagen bleiben unverändert. Diese kritischen Infrastrukturen werden unabhängig von der Unternehmensgröße als "besonders wichtige Einrichtungen" eingestuft und müssen die Vorgaben der NIS-2-Richtlinie einhalten. Unternehmen, die kritische Infrastrukturen betreiben, sind somit automatisch Teil der NIS-2-Richtlinie.

Sonderfälle und Unternehmen von besonderem öffentlichem Interesse

Einzelne Betreiber, auch als "sole provider" bezeichnet, die für die nationale Gesellschaft und Wirtschaft essenziell sind, fallen ebenfalls unter die NIS-2-Richtlinie. Betreiber, deren Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit oder Gesundheit haben könnte, sind betroffen. Dies gilt auch für Betreiber, die aufgrund spezieller nationaler oder regionaler Bedeutung als kritisch eingestuft werden. Dazu gehören Hersteller von Rüstungs- und IT-Produkten für staatliche Zwecke sowie Betreiber von Betriebsbereichen der oberen Klasse, die mit Gefahrstoffen umgehen.

Die Maßnahmen müssen mindestens die folgenden Bereiche abdecken:

  • Durchführung einer Risikoanalyse und Gewährleistung der Sicherheit für Informationssysteme
  • Handhabung und Reaktion auf Sicherheitsvorfälle
  • Sicherstellung der Kontinuität und Wiederherstellung, Verwaltung von Backups und Krisenmanagement
  • Sicherheit der Lieferketten, Schutz zwischen Einrichtungen und Sicherheitsmanagement für Dienstleister
  • Sicherheitsaspekte in der Entwicklung, Beschaffung und Wartung sowie Schwachstellenmanagement
  • Evaluierung der Wirksamkeit von Cybersicherheitsmaßnahmen und Risikomanagement
  • Durchführung von Schulungen zu Cybersicherheit und Cyberhygiene
  • Einsatz von Kryptografie und Verschlüsselungstechniken
  • Sicherheitsmaßnahmen für das Personal, Zugangskontrolle und Verwaltung von Anlagen
  • Implementierung von Multi-Faktor-Authentifizierung und kontinuierlicher Authentifizierung
  • Gewährleistung sicherer Kommunikation (Sprach-, Video- und Textnachrichten)
  • Sicherstellung einer sicheren Kommunikation im Notfall

Information

Wir präsentieren Ihnen das Thema NIS2 und beleuchten die wichtigsten Aspekte.

Gemeinsam erarbeiten wir erste konkrete Schritte und definieren klare Ziele, um Ihre Organisation optimal auf die neuen Anforderungen vorzubereiten.

Introduction 

Wir führen Sie intensiv in das Thema ein und bieten dazu maßgeschneiderte Schulungen an. 

Unser Ziel ist es, dass Sie stets auf dem neuesten Stand bleiben. Deshalb überprüfen wir regelmäßig gemeinsam mit Ihnen die aktuelle Situation und passen unsere Schulungsinhalte kontinuierlich an.

So stellen wir sicher, dass Sie und Ihr Team immer bestens informiert und vorbereitet sind.

Meldepflichten

Unternehmen und Organisationen kritischer Infrastrukturen müssen nach Verordnung der NIS-2-Directive alle erheblichen Sicherheitsvorfälle (schwerwiegende Betriebsstörungen) der nationalen Behörde sowie Empfängern der eigenen Dienste unverzüglich melden.  

Frühwarnung innerhalb von 24h nach Problemerkenntnis: Vorfall ist rechtswidrig, beruht auf böswilligen Handlungen oder führt zu grenzübergreifenden Auswirkungen  
 
Ausführlicher Bericht innerhalb von 72h nach Problemerkenntnis: Erste Einschätzung des Sicherheitsvorfalls, einschließlich der Einschätzung des Schweregrads, der Auswirkungen und eventueller Hinweise auf eine Kompromittierung. 
 
Zwischen-/Abschlussbericht ein Monat nach Vorfallsmeldung: Ausführliche Beschreibung des Vorfalls, Art der Bedrohung oder Ursache, Abhilfemaßnahmen und eventuelle grenzüberschreitende Auswirkungen.  

Verantwortlichkeit

Als Geschäftsführer müssen Sie im Rahmen der neuen EU-Richtlinie NIS-2 die Umsetzung der notwendigen Maßnahmen überwachen und können persönlich haftbar gemacht werden, wenn es zu Verstößen kommt. 

Mit NIS2 müssen CEOs an Schulungen teilnehmen und diese auch ihren Angestellten zur Verfügung stellen 

Für Schulungen & Hygiene zur Cybersicherheit und den neuen Anforderungen der NIS-2 Directive sind wir gern für Sie da. 

Wer kontrolliert?

Wesentliche Einrichtungen werden proaktiv, regelmäßig von Behörden geprüft. Bei wichtigen Einrichtungen findet eine reaktive Prüfung statt, also erst, wenn es Hinweise auf Verstöße gibt.

Strafen

Gemäß der EU-Richtlinie NIS-2 unterscheidet sich die Höhe der Geldbuße je nach Einstufung (wesentlich/wichtig, groß/mittel/klein). Der Höchstbetrag liegt bei 10 Mio € oder 2% des weltweiten Umsatzes.

 

Registrierung

Nach Vorschriften der NIS-2-Directive müssen sich alle betroffenen Unternehmen bei der nationalen Behörde registrieren. Das genaue Vorgehen zur Registrierung ist jedoch noch nicht festgelegt.

Ihr Ansprechpartner

Andreas Kreft

Tel:+49 (431) 97449-2573

E-Mail:andreas.kreft(at)dierck.de