Liebe Hüter der IT-Sicherheit,
mit der NIS2-Richtlinie reagiert die EU auf die zunehmenden Gefahren durch Cyberangriffe und entwickelt die bisher geltende NIS-Richtlinie (Network and Information Security-Richtlinie) von 2016 weiter. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten die neue Richtlinie in nationales Recht umsetzen. Auf viele Unternehmen in Deutschland kommen damit zahlreiche neue Pflichten und erhöhte Bußgelder im Zusammenhang mit IT-Sicherheit zu.
Wer fällt unter NIS2?
Ob öffentliche und private Einrichtungen in den Anwendungsbereich der NIS2-Richtlinie fallen, hängt maßgeblich von zwei Kriterien ab:
- Sie gehören einer von 18 in der Richtlinie festgelegten Branchen an.
- Sie übersteigen eine bestimmte Unternehmensgröße.
Besonders wichtige Einrichtungen mit hoher Kritikalität:
Zu den wesentlichen Einrichtungen gehören Unternehmen und Betreiber aus den folgenden Bereichen:
- Öffentliche Verwaltung
- Energie
- Transport und Verkehr
- Bankensektor
- Finanzmarkt
- Gesundheitswesen
- Trinkwasserversorgung
- Abwasserwirtschaft
- Digitale Infrastruktur
- IKT
- Raumfahrt
Weitere wichtige Einrichtungen:
Zu den wichtigen Einrichtungen gehören Unternehmen und Betreiber, die in einem der folgenden Bereiche tätig sind:
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Produktion und Vertrieb von chemischen Stoffen
- Herstellung, Produktion und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe (inkl. Medizinprodukte)
- Digitale Dienstleistungen
- Forschung
Ab welcher Unternehmensgröße gilt NIS2?:
Die NIS2-Richtlinie gilt für wichtige Unternehmen,
die mehr als 50 Mitarbeiter beschäftigen, oder
deren Jahresumsatz 10 Millionen Euro übersteigt, oder
eine Jahresbilanzsumme von mehr als 43 Millionen Euro haben.
Warum von NIS2 betroffene Unternehmen jetzt handeln müssen
Ab Oktober 2024 müssen mehr Unternehmen als zuvor – darunter Cloud-Anbieter und zahlreiche digitale Dienstleister – Maßnahmen zum Schutz vor Cyberattacken ergreifen. Verstoßen Unternehmen gegen diese Pflicht, haften unter der neuen Richtlinie auch Führungskräfte und Verantwortliche für die Auswirkungen eines Angriffs.
Damit Geschäftsführer nicht in die Security-Falle tappen, die mit empfindlichen Bußgeldern für sie verbunden ist, verpflichtet die NIS2 Führungskräfte dazu, Cybersicherheitsschulungen für ihre Mitarbeiter anzubieten und selbst daran teilzunehmen.
Die NIS2-Richtlinie bedeutet für Unternehmen verschärfte Sicherheitsanforderungen. Bei Nichtbeachtung drohen höhere Bußgelder als in der alten Richtlinie und ein Haftungsrisiko für Geschäftsführer. Außerdem sind erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an Behörden zu melden.
Bereiten Sie sich jetzt auf NIS2 vor
NIS2 hat weitreichende Auswirkungen auf die Compliance und IT-Sicherheitsmaßnahmen von Unternehmen und nimmt künftig mehr Organisation als zuvor samt ihren Verantwortlichen in die Pflicht. Um ihre IT-Sicherheit ganzheitlich auf die bevorstehenden Änderungen anzupassen und um herauszufinden, welche Anforderungen konkret auf Ihr Unternehmen zukommen, beraten wir Sie gern.