NIS2 – Wer muss wann was machen?
Was ist NIS2?
NIS2 ist die europäische Antwort auf die steigende Gefährdung durch Cyber-Angriffe auf Unternehmen und Einrichtungen der Europäischen Union.
In Form einer Richtlinie beschreibt NIS2 Maßnahmen, wie sich Organisationen besser auf Cyberbedrohungen vorbereiten und vor Cyberangriffen schützen und ihre IT-Infrastruktur stärken können.
Nach der offiziellen Veröffentlichung Ende 2022 haben die Mitgliedstaaten bis zum 17. Oktober 2024 Zeit, um die Vorgaben der Richtlinie in der nationalen Gesetzgebung konkret umzusetzen.
Wer ist von NIS2 betroffen?
In der aktuellen Fassung sind Unternehmen und Organisationen aus 18 Branchen betroffen, die wiederum in zwei Sektoren aufgeteilt werden. Nämlich in „Wesentliche Einrichtungen“ (11 Sektoren mit hoher Kritikalität) und „Wichtige Einrichtungen“ (7 weiter kritische Sektoren). Im Vergleich zur NIS1 unterliegen nun deutlich mehr Unternehmen den gesetzlichen Vorlagen. Betroffen sind Unternehmen ab 50 Mitarbeiter und 10 Mio. Euro Umsatz.
Alle Einrichtungen in diesen Bereichen, die unter die NIS2-Anforderungen fallen, müssen die Rechtsvorschriften einhalten.
Was fordert NIS2?
Die Einführung NIS2-Richtlinie bringt für Unternehmen eine Vielzahl neuer Pflichten und Anforderungen mit sich. Zunächst sind die Unternehmen gefordert, sich eigenständig in die entsprechenden Sektoren („Wesentliche“ Einrichtung oder „wichtige“ Einrichtung) einzuordnen und sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. „Wesentliche“ Einrichtungen müssen darüber hinaus am Informationsaustausch über die zentrale Plattform des BSI teilnehmen.
Die NIS2-Richtlinie stellt ferner weitergehende Anforderungen an die Cybersicherheit von Organisationen und Unternehmen. So müssen sich Unternehmen und Organisationen unter anderem mit den Themen Cyber-Risikomanagement, Kontrolle und Überwachung sowie Umgang mit Zwischenfällen und Geschäftskontinuität befassen.
Was heißt das konkret?
- Es muss ein NIS2-konformes Risikomanagement für die Informationssicherheit aufgebaut werden.
- Sicherheitsvorfälle müssen gemeldet und angemessen behandelt werden.
- Der Informationssicherheitsstandard in der Lieferkette muss gewährleistet werden.
- Richtlinien und Policies für das Risikomanagement und Informationssicherheit müssen erstellt werden.
- Maßnahmen für ein funktionierendes Business Continuity Management müssen ausgearbeitet und umgesetzt werden.
- Kennzahlen müssen erarbeitet, eingeführt und überwacht werden.
- Die ITK-Resilienz (u.a. Kryptographie, Kommunikation, Authentifizierung, …) muss nachweislich erhöht werden.
- Cyber-Awareness in Form von z.B. Mitarbeiterschulungen müssen umgesetzt werden.
Die Leitung einer Organisation oder eines Unternehmens, also Geschäftsführer oder Vorstände, ist für die Einhaltung der NIS2-Vorgaben verantwortlich. Alle Organisationen, die unter die NIS2-Richtlinie fallen, müssen ihrer Sorgfaltspflicht nachkommen. Für die Geschäftsleitung der betroffenen Organisationen werden strengere Haftungsregeln gelten.
Wie ist das nun umzusetzen? Was muss ich tun und was muss ich beachten?
Auf diese Fragen haben wir die Antwort!
Lassen Sie uns diesen Weg gemeinsam gehen, wir helfen Ihnen dabei!