EU-Richtlinie NIS2

WORUM GEHT ES UND WEN BETRIFFT ES?

JETZT AKTIV WERDEN:

DIE EU-NIS2-RICHTLINIE
FÜR MEHR IT-SICHERHEIT KOMMT!

Sie möchten die Security-Resilienz in Ihrem Unternehmen erhöhen und wissen nicht, wie Sie die EU-Network-and-Information-Security-Richtlinie 2.0 – kurz NIS2 – souverän umsetzen können, da auch Ihr Unternehmen verpflichtet ist? Dann haben Sie hier die ersten Antworten und mit dem Netzlink-Team als Ihren IT-Partner bzw. mit unserem IT-Consulting die richtigen Ansprechpartner*innen.

Cyberbedrohungen nehmen täglich drastisch zu, Grund für die EU für unserer aller Schutz, ein Regelwerk und einen neuen Standard für Unternehmen, Lieferketten und IT-Infrastrukturen aufzusetzen und damit allgemeingültige Rahmenbedingungen samt strengere Umsetzungskontrollen, Pflichten oder Sanktionen bei Rechtsverstößen einzuführen. Die NIS2-Richtlinie ergänzt und ersetzt in Teilen die NIS1, die bislang nur für KRITIS-Unternehmen – Betreiber von kritischen Infrastrukturen – galt. Mit der NIS2-Regelung sind nun weitaus mehr Unternehmen und Organisationen betroffen. Das NIS-Umsetzungsgesetz soll im Frühjahr 2024 verkündet werden und dann wie geplant im Oktober 2024 in Deutschland in Kraft treten. Bis Oktober 2024 sind rechtzeitig vielfältige und umfassende Security-Anpassungen in der IT-Infrastruktur einzuführen, fest zu verankern und anzuwenden.

Wir schaffen das!

Ermitteln Sie Ihren Handlungsbedarf, bereiten Sie Ihr Unternehmen wirksam vor und sichern Sie Ihr Fachwissen und die IT Ihres Unternehmens richtig ab!

IST MEIN UNTERNEHMEN BETROFFEN?

WER IST KONKRET GEFORDERT
UND WAS IST NUN ZU TUN?

Gehört Ihr Unternehmen zu einem der im Folgenden aufgeführten Einrichtungen, werden unterschiedliche Auflagen und Verpflichtungen rechtsbindend.
(Neue Sektorendefinition Stand 01.10.2023 für NIS2 und NIS2UmsuCG – weitere Informationen unter nis2-navigator.de)

Wesentliche Einrichtungen

Unternehmen mit

mind. 250 Mitarbeitenden
oder
mehr als 50 Mio. € Jahresumsatz

Sektoren mit hoher Kritikalität

Energie
Verkehr
Bank- und Finanzwesen
Gesundheitswesen
Wasserversorgung
Digitale Infrastruktur
ITK-Dienste
Öffentliche Verwaltung
Weltraum

Wichtige Einrichtungen

Unternehmen mit

50 – 249 Mitarbeitenden
oder
mehr als 10 Mio. € Jahresumsatz

Sektoren mit hoher Kritikalität

Energie
Verkehr
Bank- und Finanzwesen
Gesundheitswesen
Wasserversorgung
Digitale Infrastruktur
ITK-Dienste
Öffentliche Verwaltung
Weltraum

Sonstige kritische Sektoren

Post- und Kurierdienste
Abfallwirtschaft
Chemie
Ernährung
Herstellung von Waren
Digitale Dienste
Forschung

VON MINDESTVORGABEN BIS ZU ZWINGENDEN AUFLAGEN UND MELDEPFLICHTEN

WAS UMGESETZT WERDEN MUSS

Prioritäten setzen
Risiken managen

Die Einrichtungen unterscheiden sich in Umfang und Inhalt des gesetzlich vorgeschriebenen Umsetzungsgrades und der Nachweispflichten:

  • Generell gilt, es müssen Mindestvorgaben für ein Incident Management zur Vorbeugung, Erkennung und Behandlung von Sicherheitsvorfällen umgesetzt und eingehalten werden.
  • Prüfen Sie für Ihr Unternehmen, ob weitere Maßnahmen entsprechend einem Gefahren-übergreifenden Ansatz für physische IT-Sicherheit z. B. für den Schutz vor Diebstahl, Feuer, Stromausfall auf Basis einer Risikobewertung anhand von Richtlinien-Vorgaben stattfinden muss.
  • Ein Großteil der von NIS2 betroffenen Unternehmen wird auf Organisationsebene eine fortlaufende Risikoanalyse oder ein Risikomanagementsystem einführen müssen. Darüber hinaus ist ein Information Security Management Systems (ISMS) mit einem unternehmensspezifischem Notfallhandbuch aufzubauen – und –  mehr noch ein Business Continuity Management (BCM) z. B. mit Backup-Management und Disaster Recovery einzubinden.
  • Operative und technische Pflichten stehen ggf. in Ihrem Unternehmen an, beispielsweise ausgearbeitete Konzepte und Verfahren für den Einsatz von Kryptografie und für den Einsatz von Hash- und Verschlüsselungsstandards, für die Nutzung von Prozessen mit Multi-Faktor-Authentifizierung (MFA) sowie nachgewiesene Maßnahmen zur Cyberhygiene, z. B. Passwortsicherheitsrichtlinien..
  • Für viele wird ein Krisenmanagement speziell für IT-Sicherheit obligatorisch und manche Sektoren werden zur Auditierung und Testung für die Effektivitätsmessung von IT-Sicherheitsmaßnahmen verpflichtet sein.
  • Die IT-Sicherheit in der Systemakquisition, -entwicklung und -wartung wird in manchen Organisationen ebenso bindend wie Zugriffskontrollen, Asset Management oder sichergestellte Zero-Trust-Zugriffe von interner versus externer und Remote-Benutzeraktivitäten auf allen Ihren Anwendungen für Identitätssicherheit. On-Premise und Cloud-basierte Ressourcen erhalten eine strengere Zugriffskontrolle.
  • Die IT-Sicherheit liegt stärker denn je in der Verantwortung aller Mitarbeitenden, wofür Security-Awareness-Trainings notwendig werden.
  • Mit NIS2 muss IT-Sicherheit auch innerhalb von Lieferketten gewährleistet sein, was eine koordinierte Risikobewertung direkter Lieferketten bedeutet. Damit müssen Sie ggf. Ihre Lieferanten und Diensteanbieter zur Informationssicherheit verpflichten, da dies in Überprüfungen und Audits mit abgefragt wird.
  • Mit der NIS2 kommen Meldepflichten bei jeglichen Sicherheitsvorfällen. Dafür müssen Meldungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) geleistet werden:  innerhalb von 24 Stunden muss als Frühwarnung als etwaige Verdachtsmeldung, innerhalb von 72 Stunden als Meldung mit einer ersten konkreten Bewertung der Lage sowie anschließend innerhalb eines Monats diese Bewertung durch einen Abschlussbericht inklusive einer Planung von Abhilfemaßnahmen eingereicht werden.

Sie sehen, es gibt viel zu beachten und zu planen! Wir helfen Ihnen dabei!

SCHÜTZEN SIE IHR UNTERNEHMEN VOR KÜNFTIGEN STRAFEN

BEI NICHTEINHALTUNG DER AUFLAGEN
DROHEN SANKTIONEN

Unternehmen, die die Maßnahmen nicht nachweisen können oder Meldefristen überschreiten, drohen Bußgelder in empfindlicher Höhe. Für wesentliche Einrichtungen werden Bußgelder bis 10 Millionen EUR bzw. 2 % des Jahresumsatzes fällig. Wichtigen Einrichtungen drohen Strafen bis 7 Millionen Euro bzw. 1,4 % des Jahresumsatzes. Zudem gibt es einen erweiterten Bußgeldrahmen für Verstöße. Die Geschäftsleitung hat die Pflicht, die Umsetzung der Maßnahmen zu billigen und zu überwachen. Bei Verstoß gegen diese Pflicht ist sie persönlich haftbar (Binnenhaftung, Stand 27.09.2023). Die Möglichkeit des Unternehmens, die Geschäftsführung von dieser Haftung zu entbinden, besteht ausdrücklich nicht. Insbesondere die wesentlichen Einrichtungen unterliegen erweiterten Aufsichts- und Durchsetzungsmaßnahmen der zuständigen Behörden. Dies geht mit zusätzlichen Pflichten zur Registrierung von Dienstleistern mit Cloudangeboten, Rechenzentrums-Dienstleistern und Telekommunikations-Dienstleistern einher.

Achtung Bußgelder
Ihr persönlicher NIS2 Workshop

Bei allen Fragen rund um Ihrem Handlungsbedarf stehen Ihnen
die NIS2-Expert*innen von Netzlink beratend zur Seite.