Die NIS2-Richtlinie ist am 16.01.23 in Kraft getreten und muss bis spätestens Oktober 2024 von den Mitgliedstaaten umgesetzt werden. Sie enthält verschärfte Anforderungen an die Cyber- und Informationssicherheit von Unternehmen und Organisationen.
Welche Neuerungen kommen und was es zu beachten gilt, erfährst Du in unserem Beitrag.
Was ist die NSI-2-Richtlinie?
Die NIS2-Richtlinie („Network and Information Security Directive”) ist am 16.01.2023 in Kraft getreten und muss bis spätestens Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Seit Juli 2023 liegt ein Referentenentwurf des Bundesinnenministeriums zur Umsetzung vor.
Die NIS2-Richtlinie beruht auf der NIS-Richtlinie, die erstmals Anforderungen an die Cyber- und Informationssicherheit von Unternehmen und Institutionen stellt. Sie erweitert den Kreis der Organisationen, die in den Anwendungsbereich fallen und verschärft die Anforderungen an die Cybersicherheit sowie die damit verbundenen Sanktionen.
Wer ist von der NIS2-Richlinie betroffen?
Die Richtlinie unterscheidet zwischen wesentlichen /wichtigen Einrichtungen und mittleren/großen Unternehmen.
Wesentliche Einrichtungen:
Energie
Luft-, Schienen-, Straßen- und Schiffsverkehr
Bank- und Finanzwesen
Gesundheit
Wasser
Digitale Infrastruktur und IT-Dienste
Öffentliche Verwaltung
Raumfahrt
Wichtige Einrichtungen:
Chemische Erzeugnisse
Abfallwirtschaft
Post- und Kurierdienste
Lebensmittel
Hersteller
Digitale Anbieter
Forschungseinrichtungen
Mittlere Unternehmen: 50-249 Mitarbeiter, 10-50
Mio. Euro Umsatz, Bilanz < 49 Mio. Euro
Große Unternehmen: 250+ Mitarbeiter, 50+ Mio.
Euro Umsatz, Bilanz > 49 Mio. Euro
Anforderungen an die Cybersicherheit
Zu den Anforderungen an die Cybersicherheit gehören unter anderem:
Umgang mit Sicherheitsvorfällen
Richtlinien zur Risikoanalyse und zur Sicherheit von Informationssystemen
Richtlinien für den Einsatz von Kryptographie und Verschlüsselung
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum
Risikomanagement im Bereich der CybersicherheitPraktiken der Cyber-Hygiene und Schulungen im Bereich der Cybersicherheit
Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in Bezug auf die
Beziehungen zwischen jeder Einrichtung und ihren Lieferanten oder DienstleisternSicherheitskonzepte bei der Beschaffung, Entwicklung und Wartung von Netzen und
Informationssystemen, einschließlich des Umgangs mit und der Offenlegung von
SchwachstellenSicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von
AnlagenEinsatz von Multifaktor-Authentifizierung oder anderen Authentifizierungslösungen
Meldepflicht von Sicherheitsvorfällen
Unternehmen müssen ihrer Aufsichtsbehörde Sicherheitsvorfälle unverzüglich melden. In Deutschland ist das BSI die zuständige Behörde.
Frühwarnung innerhalb von 24 Stunden nach Bekanntwerden eines bedeutenden Vorfalls.
Vollständige Meldung nach 72 Stunden mit einer ersten Bewertung des Vorfalls.
Abschlussbericht spätestens einen Monat nach Übermittlung der Vorfallsmeldung.Dieser
sollte eine detaillierte Beschreibung des Vorfalls enthalten.
Haftungs- und Sanktionsmöglichkeiten
Bei wesentlichen Einrichtungen können die Bußgelder bis zu 10 Mio. Euro oder einen Höchstbetrag von mindestens 2 Prozent des weltweiten Jahresumsatzes betragen.
Bei wichtigen Einrichtungen ist der Bußgeldrahmen auf 7 Mio. Euro oder ein Höchstbetrag von mindestens 1,4 Prozent des weltweiten Jahresumsaztzes gedeckelt.
Es wird eine Regelung eingeführt, die Führungskräfte für Verstöße gegen die Richtlinie persönlich haftbar macht.
Die Sanktionsmöglichkeiten der DSGVO bleiben von der NIS-2-Richtlinie unberührt.
Fragen offen? Du brauchst Unterstützung?
Unser Team besteht aus Juristen, Datenschutzbeauftragten, Auditoren, IT-Sicherheitsberatern und Risk Managern, die im gesamten Bundesgebiet und in Luxemburg für Dich tätig werden. Als spezialisierte Unternehmensberater unterstützen wir Dich ganzheitlich bei den Themen Datenschutz, IT-Recht und Cybersicherheit. Komm jederzeit für ein unverbindliches Erstgespräch auf uns zu.