Bereit für die europäische NIS-2-Richtlinie?
Wappnen Sie sich rechtzeitig, stellen Sie NIS-2-Compliance sicher und stärken Sie Ihre Cyberresilienz.
Mit der NIS-2-Richtlinie reagiert die Europäische Union auf die wachsende Zahl von Cyberbedrohungen: Die neue „Network and Information Security Directive“ führt strengere Vorschriften zur Cybersicherheit für mehr Sektoren und Unternehmen ein. Das Ziel bleibt gleich: Der Schutz von essentiellen, wichtigen Sektoren und (kritischen) Infrastrukturen, sowie eine höhere Widerstandsfähigkeit gegenüber Cyberangriffen.
Sind Sie betroffen, sollten Sie schnell handeln: Bis März 2025 müssen die EU-Mitgliedstaaten die Direktive in nationales Recht überführen, auf dessen Basis Unternehmen zur Umsetzung verpflichtet sind. Halten Sie die Mindestmaßnahmen nicht ein, drohen Strafen, die bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes reichen.
Bereiten Sie sich vor und setzen Sie die NIS-2-Anforderungen mit unserer Expertise um: Wir prüfen den Status Quo, stellen einen Fahrplan auf und begleiten Sie auf dem Weg zu einer konformen Organisation in Sachen Informations- und Cybersicherheit.
Bin ich von der NIS-2-Richtlinie betroffen?
Mit der NIS-2-Richtlinie wird Cybersicherheit für die breite Unternehmensmasse relevant: Experten schätzen, dass EU-weit rund 150.000 Unternehmen betroffen sind. Denn NIS-2 nimmt auch kleinere Firmen ab 50 Mitarbeitenden oder einem Jahresumsatz und Bilanzsumme von 10 Millionen Euro in den Fokus. Dazu wird die Anzahl der betroffenen Sektoren von elf auf 18 erhöht. Elf gelten als solche mit hoher Kritikalität (Essential Entities) und sieben als sonstige kritische Sektoren (Important Entities).
Die Zuordnung basiert auf Unternehmensgröße und Sektor: Als wesentlich (essential) gelten Einrichtungen, die in einem kritischen Sektor tätig sind und über 250 Mitarbeitende oder einen Umsatz von über 50 Millionen Euro und einer Bilanzsumme von 43 Millionen Euro verfügen.
- Energie: Elektrizität, Erdöl, Erdgas, Wasserstoff, Fernwärme und -kälte
- Transport: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
- Bankenwesen
- Finanzmarktinfrastruktur
- Gesundheitswesen: Krankenhäuser, Forschung, Pharmazie, Medizinprodukte
- Trinkwasser-Versorgung
- Abwasser-Aufbereitung
- Digitale Infrastruktur: Rechenzentren, DNS-Dienste, Cloud-Computing
- IKT-Dienstleister: Managed Service und Managed Security Service Provider
- Öffentliche Verwaltung: Behörden und Ämter auf nationaler und regionaler Ebene
- Weltraum: Betreiber von Bodeninfrastrukturen
Alle anderen Einrichtungen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz von mehr als 10 Millionen Euro zählen zu den wichtigen (important) Einrichtungen.
- Post- und Kurierdienste: Brief- und Paketzustellung
- Abfallwirtschaft: Abfallsammlung und -Verwertung
- Chemie: Produktion und Handel mit chemischen Stoffen
- Lebensmittel: Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Produktion: Hersteller von Medizinprodukten, Maschinen, Fahrzeugen, sowie elektrischen Geräten
- Digitale Dienste: Suchmaschinen, Marktplätze, soziale Netzwerke
- Forschung: Forschungseinrichtungen
Wichtig: Die EU-Mitgliedstaaten können die Anforderungen erweitern, wenn ein Unternehmen bestimmte Kriterien erfüllt, die auf eine Schlüsselrolle für die Gesellschaft, die Wirtschaft oder für bestimmte Sektoren oder Arten von Dienstleistungen hinweisen.
Welche Änderungen bringt NIS-2?
Die größte Änderung ist der erweiterte Unternehmensscope. Dazu steigen die Anforderungen an die Cybersicherheit: Betroffene Unternehmen müssen angemessene Maßnahmen nach „aktuellem Stand der Technik“ in Bereichen wie dem Risikomanagement, Business Continuity Management (BCM), der Sicherheit in der Lieferkette oder auch Reaktion auf Vorfälle ergreifen.
Hinzu kommen gestärkte Durchsetzungskräfte der nationalen Regulierungsbehörden, höhere Strafen für Verstöße und verschärfte Meldepflichten. Letztere sehen vor, dass Unternehmen Sicherheitsvorfälle unverzüglich, jedenfalls aber innerhalb von 24 Stunden nach Kenntnisnahme mit einer sogenannten Frühwarnung und innerhalb von 72 Stunden mit einer detaillierten Meldung bekanntgeben müssen.
Welche Strafen und Haftungsrisiken drohen?
Nicht nur die Anforderungen steigen, auch der Durchsetzungsdruck nimmt zu – etwa durch höhere Sanktionen und die persönliche Haftung der Managementebene. Bei Nichteinhaltung der NIS-2-Richtlinie drohen:
- Geldbußen in Höhe von bis zu 10 Millionen Euro bzw. 2 % des gesamten weltweiten Jahresumsatzes für wesentliche Unternehmen
- Geldbußen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes für wichtige Unternehmen
- Eine Haftung des Managements bei Verstößen gegen die Richtlinie
- Das Untersagen der ausgeübten Leitungsfunktion
- Eine vorübergehende Aussetzung von Dienstleistungen
Welche NIS-2-Anforderungen muss ich erfüllen?
Um NIS-2-konform zu sein, muss ein Sicherheitsprogramm mindestens folgende Anforderungen abdecken:
Jetzt ISMS einführen und NIS-2-Anforderungen erfüllen.
Mit einem zertifizierten Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 schaffen Sie eine solide Grundlage, um die spezifischen NIS-2-Anforderungen zu erfüllen.
Denn das ISMS unterstützt Sie dabei, Risiken zu erkennen und zu bewerten, passende Sicherheitsvorkehrungen zu treffen und deren Effektivität zu kontrollieren. Dazu fördert es einen vorausschauenden Ansatz zur Informationssicherheit durch regelmäßige Überprüfungen, Audits und kontinuierliche Verbesserungen.
Wie TÜV-Rheinland Sie in puncto NIS-2 unterstützt:
NIS-2 Quick Check
Finden Sie heraus, ob und wie die NIS-2-Richtlinie Ihr Unternehmen betrifft. Darüber hinaus identifizieren und priorisieren wir unternehmensspezifische Risiken und Handlungsfelder. Die daraus abgeleiteten Empfehlungen befähigen Ihr Unternehmen, die nächsten Schritte einzuleiten.
Umfassende Beratung
Nutzen sie unsere Beratungsleistungen, um die NIS-2-Richtlinien zu erfüllen. Sie reichen von detaillierten Gap Analysen bezüglich NIS-2, BCM, ISMS, Datenschutz und Compliance bis hin zu Reifegradbeurteilungen oder dem konzeptionellen Design von Sicherheitslösungen. Darüber hinaus prüfen und bewerten wir Ihre Sicherheitstechnologien zur Angriffsabwehr, -erkennung und -reaktion.
Implementierung und Betrieb
Gemeinsam stellen wir Ihr individuelles NIS-2-Maßnahmenpaket zusammen: Entweder erwerben Sie Ihre eigene Lösung oder beziehen sie als Managed Service mit variablen Modulen – von der Implementierung und Basisunterstützung bis zum vollständigen Betrieb inklusive SOC-Services.
Ihre Vorteile auf einen Blick:
- Gesetzliche Anforderungen erfüllen
- Kritische Geschäftsprozesse schützen
- IT-Risiken überblicken
- Gezielte Sicherheitsmaßnahmen einführen
- In die richtigen Maßnahmen investieren
- Persönliche Haftungsrisiken minimieren
- Informationssicherheit maximieren
Lassen Sie sich zur NIS-2-Compliance begleiten.
Sind Sie von der NIS-2 betroffen, sollten Sie jetzt handeln und sich auf den Weg zur Umsetzung der geforderten Maßnahmen machen. Wir begleiten Sie mit umfassender Beratung, individuellen Leistungsbausteinen und zuverlässiger Implementierung bis ans Ziel.
Kontakt
