NIS2-Richtlinie
Unterstützung bei der Erfüllung der Anforderungen der NIS2-Richtlinie für Unternehmen in kritischen Sektoren. Die Richtlinie gilt seit 17. Oktober 2024 in Deutschland und erweitert die Cybersicherheitsanforderungen erheblich.
NIS2-Richtlinie im Überblick
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) erweitert die Cybersicherheitsanforderungen für Unternehmen in kritischen Sektoren erheblich. Sie ersetzt die bisherige NIS-Richtlinie und gilt seit 17. Oktober 2024 in Deutschland.
Betroffene kritische Sektoren
- Energie (Strom, Gas, Öl, Fernwärme)
- Transport (Luft, Schiene, Wasser, Straße)
- Banken
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser- und Abwasseraufbereitung
- Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren)
- IKT-Dienstmanagement (Managed Service Provider)
- Öffentliche Verwaltung
- Raumfahrt
Anforderungen nach Unternehmensgröße
Kleine Unternehmen1-50 Mitarbeiter
Anforderungen:
- Grundlegende Risikomanagement-Maßnahmen
- Meldepflichten bei Vorfällen einhalten
- Basis-Sicherheitsmaßnahmen implementieren
Mittelständische Unternehmen51-250 Mitarbeiter
Anforderungen:
- Risikomanagement
- Incident-Response-Pläne und -Prozeduren
- Business Continuity Management
- Regelmäßige Sicherheitsbewertungen
- Schulung der Mitarbeiter
- Meldepflichten bei Vorfällen (24h/72h)
Große Unternehmen250+ Mitarbeiter
Anforderungen:
- Alle Anforderungen für mittelständische Unternehmen
- Lieferketten-Sicherheit auch für Zulieferer
- Sicherheitsaudits
- Nachweis der Compliance gegenüber Behörden
- Dokumentation aller Maßnahmen
- Kontinuierliche Überwachung und Verbesserung
Wichtige Anforderungen im Detail
Risikomanagement und Sicherheitsmaßnahmen
Unternehmen müssen Risikomanagement-Systeme implementieren und Sicherheitsmaßnahmen nach dem Stand der Technik umsetzen. Dies umfasst technische, organisatorische und personelle Maßnahmen.
Incident-Response-Pläne
Unternehmen müssen detaillierte Incident-Response-Pläne erstellen, die Verfahren zur Erkennung, Reaktion und Wiederherstellung nach IT-Sicherheitsvorfällen definieren.
Meldepflichten bei Vorfällen
Frühe Warnung innerhalb von 24 Stunden nach Erkennung eines Vorfalls, Zwischenbericht nach 72 Stunden und abschließender Bericht innerhalb eines Monats. Die Meldungen müssen an die zuständige Behörde erfolgen.
Business Continuity Management
Unternehmen müssen Business Continuity Management implementieren, um die Kontinuität kritischer Geschäftsfunktionen auch bei IT-Sicherheitsvorfällen sicherzustellen.
Lieferketten-Sicherheit
Unternehmen müssen auch die Sicherheit ihrer Lieferketten überwachen und sicherstellen, dass Zulieferer angemessene Sicherheitsmaßnahmen implementiert haben.
Schulung und Sensibilisierung
Regelmäßige Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter sind verpflichtend, um das Bewusstsein für Cybersicherheit zu stärken.
Konsequenzen bei Verstößen
Bußgelder
Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). Dies sind sehr hohe Bußgelder im Bereich IT-Sicherheit.
Haftung
Schadensersatzansprüche bei Datenpannen oder Systemausfällen, die auf mangelnde Cybersicherheit zurückzuführen sind. Geschäftsführer können persönlich haftbar gemacht werden.
Geschäftsführer-Haftung
Geschäftsführer können bei Verstößen gegen die NIS2-Richtlinie persönlich haftbar gemacht werden, einschließlich temporärer Amtsenthebung.
Weiterführende Informationen – BSI
Offizielle Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI):
NIS2-Compliance prüfen
Unser interaktiver Compliance-Check hilft Ihnen dabei, Ihren aktuellen Status bezüglich der NIS2-Richtlinie zu bewerten und konkrete Handlungsempfehlungen zu erhalten.