Mit heyData die IT und Netzwerksicherheit einhalten

Die NIS-2-Richtlinie – Alles, was du wissen musst

Mit der NIS-2-Richtlinie hat die EU ihre Anforderungen an die Cybersicherheit von Unternehmen und Institutionen erhöht. Ziel ist es, ein höheres Maß an Schutz vor Cyberangriffen zu gewährleisten. Die Richtlinie betrifft zahlreiche Branchen und schreibt strengere Maßnahmen zur Cyber-Risikomanagement und zum Vorfallsmanagement vor. In diesem Artikel werden wir die wichtigsten Änderungen dieser Richtlinie und die davon Betroffenen durchgehen.

Beratungstermin anfordern!

Inhaltsverzeichnis

Die NIS-2-Richtlinie („Network and Information Security Directive“) regelt die Cyber- und Informationssicherheit von Institutionen und Unternehmen. Sie ist am 16. Januar 2023 in Kraft getreten und wurde am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht. Bis zum 17. Oktober 2024 müssen die EU-Länder diese in nationales Recht umsetzen. Das Bundesministerium des Innern hat ab Juli 2023 einen Gesetzentwurf vorgelegt, der als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) bezeichnet wird.

Zur Harmonisierung und Verbesserung des Sicherheitsniveaus in den Mitgliedstaaten erweitert die NIS-2-Richtlinie die Anforderungen und Sanktionen im Bereich der Cybersicherheit und enthält strengere Anforderungen für bestimmte Sektoren. Cyber-Risikomanagement, Kontrolle und Überwachung, Vorfallsmanagement und Geschäftskontinuität sind einige der Aufgaben, die Unternehmen und Organisationen zu bewältigen haben. Außerdem erhöht die Richtlinie die Anzahl der in ihren Anwendungsbereich fallenden Branchen. Das Management dieser Organisationen unterliegt strengeren Rechenschaftspflichtvorschriften.

Wer ist von der NIS-2-Richtlinie betroffen?

Die NIS-2-Richtlinie gilt für Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz von mehr als 10 Millionen Euro und einer Bilanz von weniger als 43 Millionen Euro. Laut dem letzten NIS-2UmsuCG reicht es bereits, wenn eine der beiden Bedingungen erfüllt ist. Besonders betroffen sind große Unternehmen mit mehr als 250 Beschäftigten, einem Jahresumsatz von mehr als 50 Millionen Euro. 

Wichtig für Konzernunternehmen: Wenn du die IT-Infrastruktur innerhalb deiner Gruppe teilst, werden deine Beschäftigten und dein Umsatz zusammengerechnet!

Welche Branchen fallen unter die NIS-2-Richtlinie?

Die NIS-2-Richtlinie gilt für Unternehmen und öffentliche Einrichtungen, die den obengenannten Schwellenwerten entsprechen und in einem der betroffenen Sektoren aktiv sind.
Zu den betroffenen Sektoren gehören

  • Energie (Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff)
  • Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
  • Bankwesen (Kreditinstitute)
  • Finanzmarktinfrastrukturen (Handelsplätze, zentrale Gegenparteien)
  • Gesundheitswesen (Gesundheitsdienstleister, EU-Referenzlaboratorien, Forschung im Bereich Arzneimittel, Pharmaunternehmen, Hersteller kritischer Medizinprodukte)
  • Trinkwasser (Wasserversorgung)
  • Abwasser (Kommunales, häusliches, industrielles Abwasser)
  • Digitale Infrastruktur (Internetknoten, DNS-Dienste, TLD-Namenregister, Cloud-Computing, Rechenzentren, Inhaltszustellnetze, elektronische Kommunikationsdienste)
  • Verwaltung von IKT-Diensten (Business-to-Business-Dienste, Sicherheitsdienste)
  • Öffentliche Verwaltung (Zentrale und regionale Verwaltungseinrichtungen)
  • Weltraum (Bodeninfrastrukturen für weltraumgestützte Dienste)
  • Post- und Kurierdienste (Postdienste, Kurierdienste)
  • Abfallbewirtschaftung (Unternehmen für Abfallmanagement)
  • Produktion, Herstellung und Handel mit chemischen Stoffen (Chemikalienproduktion und -handel)
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln (Lebensmittelherstellung und -verarbeitung)
  • Verarbeitendes Gewerbe/Herstellung von Waren (Medizinprodukte, elektronische Geräte, elektrische Ausrüstungen, Maschinenbau, Kraftwagen- und Fahrzeugbau)
  • Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerkplattformen)
  • Forschung (Forschungseinrichtungen)

Auch Unternehmen in der Lieferkette der obengenannten Sektoren sind indirekt als Dienstleister betroffen.

Was sind die Anforderungen der NIS-2-Richtlinie?

Um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten, verpflichtet die NIS-2-Richtlinie die betroffenen Unternehmen, technische, organisatorische und betriebliche Maßnahmen zu ergreifen. Die Verwaltung dieser Aufgaben soll auf der höchsten Managementebene angesiedelt sein, was bedeutet, dass die EU-Richtlinie NIS-2 Chefsache ist.
Zu den wichtigsten Anforderungen gehören

  1. Risikomanagement: Unternehmen müssen Risikoanalysen durchführen und Sicherheitsmaßnahmen entwickeln, um die Bedrohungen für ihre Informationssysteme zu minimieren.
  2. Umgang mit Sicherheitsvorfällen: Unternehmen müssen Reaktionspläne entwickeln, um die Auswirkungen von Sicherheitsvorfällen zu begrenzen und die Kontinuität der Dienste zu gewährleisten.
  3. Geschäftskontinuität: Unternehmen müssen Maßnahmen wie Backup-Management, Disaster Recovery und Krisenmanagement umsetzen, um den Geschäftsbetrieb aufrechtzuerhalten.
  4. Sicherheit der Lieferkette: Unternehmen müssen sicherstellen, dass auch ihre Zulieferer und Dienstleister die Sicherheitsstandards einhalten, um die gesamte Lieferkette zu schützen.
  5. Schwachstellenmanagement: Sicherheitslücken müssen systematisch überwacht, gemeldet und behoben werden.
  6. Schulung und Cyberhygiene: Regelmäßige Mitarbeiter:innen- und Managementschulungen sind Pflicht, um sicherzustellen, dass jeder über aktuelle Bedrohungen und Sicherheitsmaßnahmen Bescheid weiß. Dazu gehören auch grundlegende Sicherheitspraktiken wie Software-Updates und Passwortmanagement.
  7. Verschlüsselung und Authentifizierung: Der Einsatz von Verschlüsselungstechnologien und Multi-Faktor-Authentifizierung ist zum Schutz sensibler Daten obligatorisch.

Melde- und Berichtspflichten

Ein essenzieller Bestandteil der NIS-2-Richtlinie ist die Verpflichtung, erhebliche Sicherheitsvorfälle schnell zu melden. Unternehmen müssen sicherstellen, dass sie in der Lage sind, Vorfälle zeitnah zu melden und darauf zu reagieren. Zu den Meldepflichten gehören:

  • Frühwarnung innerhalb von 24 Stunden: Sicherheitsvorfälle müssen, sobald sie bekannt sind, gemeldet werden.
  • Erste Bewertung innerhalb von 72 Stunden: Es muss eine erste Bewertung des Vorfalls und seiner Auswirkungen vorgenommen werden.
  • Abschlussbericht nach einem Monat: Ein detaillierter Bericht muss erstellt werden, welcher den Vorfall, die Ursachen und die getroffenen Maßnahmen beschreibt.

Sorgenfreie NIS2- Compliance - mit heyData!

Vermeide teure Datenschutzfehler und baue das Vertrauen deiner Kunden auf. Lass uns gemeinsam sicherstellen, dass dein Marketing DSGVO-konform bleibt.

Nimm Kontakt auf!

Klassifizierung nach NIS-2

Eswird zwischen „besonders wichtigen Einrichtungen“ (das sind Unternehmen mit mindestens 250 Mitarbeiter:innen oder einem Umsatz von über 50 Mio. EUR oder einer Bilanz 43 Mio. EUR) und „wichtigen Einrichtungen“ (Unternehmen mit mindestens 50 Mitarbeiter:innen oder einem Umsatz bzw. einer Bilanz von 10 Mio. EUR) unterschieden:

  • Besonders wichtige Einrichtungen: Sie unterliegen einer proaktiven behördlichen Aufsicht und können mit einer Geldstrafe von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist.
  • Wesentliche Einrichtungen: Sie werden reaktiv überwacht, d.h. die Inspektionen finden in der Regel nach Hinweisen auf Verstöße statt. Die Geldbußen können bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
     

Konsequenzen bei Nichteinhaltung

Werden die Anforderungen der NIS-2-Richtlinie nicht eingehalten, müssen Unternehmen mit erheblichen Strafen rechnen. Darüber hinaus können von den Aufsichtsbehörden Inspektionen vor Ort durchgeführt und Beweise verlangt werden. Während besonders wichtige Anlagen proaktiv und regelmäßig kontrolliert werden, werden wichtige Anlagen reaktiv überwacht, in der Regel nach Hinweisen auf Verstöße.

Haftung der Unternehmensleitung

Ein wesentlicher Aspekt der NIS-2-Richtlinie ist die persönliche Haftung der Unternehmensleitung. Für die Einhaltung der Sicherheitsmaßnahmen sind die Führungskräfte verantwortlich. Sollten sie ihre Pflichten verletzen, dann sind können sie persönlich für den entstandenen Schaden haftbar gemacht werden. Die Obergrenze für diese Haftung liegt bei 2 % des weltweiten Jahresumsatzes des Unternehmens.

Wie heyData die Umsetzung von NIS-2-Anforderungen unterstützt

heyData bietet umfassende Unterstützung bei der Umsetzung der NIS-2-Richtlinie, von der Risikoanalyse über Schulungen bis hin zur Dokumentation und Berichterstattung. Mit maßgeschneiderten Lösungen hilft heyData deinem Unternehmen, die Anforderungen der NIS-2-Richtlinie zu erfüllen und die Cybersicherheit zu stärken.

  • Audit: Jährliche Compliance-Analyse zur Risikobewertung
  • Dokumentation: Erstellung von Dokumentationen wie Risikobewertungen und Richtlinien
  • Schulungskurse: IT-Sicherheitsschulungen für alle Mitarbeiter:innen und das Management
  • Expertenunterstützung: Fachkundige Beratung zu allen Compliance-Fragen

Verlass dich auf heyData, um sicherzustellen, dass dein Unternehmen NIS-2-konform und optimal gegen Cyber-Bedrohungen geschützt ist. 

Nimm noch heute Kontakt mit uns auf!

Höre es von unseren Kunden

"heyData hat uns mit ihrer digitalen Software-Lösung und Fachkompetenz überzeugt. Wie auch wir ist heyData digitaler Vorreiter in einer eher traditionellen und wenig digitalen Industrie. heyData ist ein starker Partner für die BRZ-Gruppe."

Markus Schobert

Leiter Kundenservice bei BRZ Gruppe

"heyData ist eine große Hilfe für uns und macht das Thema Datenschutz wirklich einfach. Mit dem digitalen Audit, den Online-Trainings und dem Kundensupport sind wir sehr zufrieden."

Leonard von Kleist

CTO und Co-Founder bei Hive Technologies GmbH

"Ich schätze diese Funktion für ihre Fähigkeit, die Bewertung von Lieferantenrisiken zu vereinfachen. Es ist ein unverzichtbares Werkzeug für jeden, der sich mit Datenkonformität in der Europäischen Union und der Schweiz befasst."

Jan Stephan

Head of Legal Affairs bei Learnship

“Als Kunde haben wir nur gute Erfahrungen mit dem Support und der Kommunikation von heyData gemacht. Fragen wurden ausführlich beantwortet, die Antworten kamen immer prompt und auch der persönliche 1-1-Support ist kein Problem.“

Roman Georgi

Director Of Customer Support bei AMBOSS

"Was heyData auszeichnet, ist die Reaktionsfähigkeit und die schnelle Umsetzung."

Sandra Scherzer

Rechtsabteilung bei Bioland

“Wir werden von heyData immer kompetent und zeitnah beraten und konnten bisher zu jeder Fragestellung in Bezug auf die DSGVO bzw. Datenschutz allgemein eine zufriedenstellende Lösung finden.”

Nikolai

CTO bei Instaffo GmbH

Logo_OMR-Reviews.svgWeitere Bewertungen lesen

FAQ

Die NIS-2-Richtlinie ist eine EU-Cybersicherheitsrichtlinie, die am 16. Januar 2023 wirksam geworden ist. Sie folgt der NIS-Richtlinie, die im Jahr 2016 eingeführt wurde. Network and Information Security, auch bekannt als NIS, ist die Abkürzung für diese Begriffe. Die NIS-2-Richtlinie, wie auch ihre Vorgängerin, zielt darauf ab, große und mittelgroße Einrichtungen in vielen Sektoren in den Mitgliedstaaten der EU zu verpflichten, sich vor Cyberangriffen zu schützen und ein einheitliches Schutzniveau in ganz Europa zu etablieren.  

Die NIS-2-Richtlinie führt neue Anforderungen und Pflichten für Organisationen in vier übergreifenden Bereichen ein: Risikomanagement, Unternehmensverantwortung, Berichtspflichten und Geschäftskontinuität. Dies dient der Stärkung der Widerstandsfähigkeit Europas gegen gegenwärtige und zukünftige Cyberbedrohungen.

Große und mittlere Unternehmen aus den folgenden Branchen sind betroffen:

Branchen mit hoher Kritikalität:

Energie
Verkehr
Bankwesen
Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser
Abwasser
Digitale Infrastruktur
Verwaltung von IKT-Diensten B2B
öffentliche Verwaltung
Weltraum

Andere kritische Bereiche:

Post- und Kurierdienste
Abfallbewirtschaftung
Chemie
Lebensmittel
verarbeitendes/herstellendes Gewerbe
Anbieter digitaler Dienste
Forschung

Unternehmen müssen den zuständigen Behörden innerhalb von 24 Stunden nach deren Entdeckung erhebliche Vorfälle im Bereich der Cybersicherheit mitteilen. Dazu zählt zunächst eine Ankündigung, gefolgt von detaillierten Updates, sobald weitere Informationen vorliegen. Um eine umfassende Dokumentation und Reaktion zu gewährleisten, legt die Richtlinie auch Zwischen- und Abschlussberichte über Vorfälle fest.
​​
Es kann ratsam sein, einen Experten wie heyData an deiner Seite zu haben, um im Fall des Falles schnell und kompetent reagieren zu können.

Um sich auf die Einhaltung der NIS-2-Richtlinie und deren nationale Umsetzung vorzubereiten, sollten Organisationen:

  1. Feststellen, ob sie in den Geltungsbereich der Richtlinie fallen.
  2. Eine umfassende Risikoanalyse durchführen.
  3. Verbindliche Cybersicherheitsmaßnahmen umsetzen.
  4. Einen Plan zur Reaktion auf Vorfälle entwickeln.
  5. Sicherstellen, dass die oberste Führungsebene einbezogen wird und Verantwortung übernimmt.
  6. Stärkung der Sicherheitspraktiken in der Lieferkette.

Eine uneingeschränkte Verfügbarkeit und ein hohes Schutzniveau wichtiger Dienste sollen durch die hohen Anforderungen an Netzwerk- und IT-Sicherheit gewährleistet werden. Bewohnern und Unternehmen in der EU sollte gewährleistet sein, dass die IT-Infrastruktur eine hohe Vertraulichkeit und Integrität bietet. Die Standardisierung der Anforderungen erleichtert es Unternehmen, sie zu erfüllen und sich für eine Kooperation zu entscheiden. Auf diese Weise unterstützt dies die Förderung von Innovation, Stabilität und Wettbewerbsfähigkeit in der EU und verhindert wirtschaftliche Schäden. 

Die zweite Version der NIS-2-Richtlinie (Richtlinie über Netzwerk- und Informationssicherheit) trat Anfang 2023 in der gesamten EU in Kraft. Die Richtlinie muss bis zum 17. Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Schon jetzt hat das Bundesinnenministerium in Deutschland einen Referentenentwurf zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vorgelegt.