parallax background
 
 

NIS2 - Network and Information Systems Directive 2


IT-Sicherheit im Fokus für Unternehmen

Die Informationen auf dieser Seite beruhen auf den bisherigen Bearbeitungsständen zu NIS2. Das Gesetz liegt dabei als Referentenentwurf vor und muss noch die Gesetzgebung auf Bundesebene durchlaufen. Hierdurch ergeben sich stetig Änderungen im laufenden Verfahren. Unseren Überblick versuchen wir stets aktuell zu halten, können hierfür jedoch keine Gewähr übernehmen. Ebenso gibt es noch Definitionslücken und ähnliches.

 

 
 

Hier geht es direkt zu Ihrem Themenbereich

 
 
 

Interessiert? Kontaktieren Sie uns oder nutzen Sie direkt unseren Vergleichsrechner.


Cyber-Versicherung: Schützen Sie Ihre IT ab 200€/Jahr!

 
parallax background
 

NIS2-Richtlinie:

 

Wer ist betroffen?

Grundsätzlich wird zwischen “Besonders wichtige Einrichtung” und “Wichtige Einrichtung” unterschieden, die von der NIS2-Richtlinie betroffen sind.Die Betroffenheit ergibt sich dabei aus der Branche / des Sektors sowie der Unternehmensgröße.

Besonders wichtige Einrichtung (Anlage 1)

  • Energie
  • Luft-, Schienen-, Straßen- und Schiffsverkehr
  • Bankwesen / Finanzwesen
  • Gesundheit (Dienstleistung, Referenzlabore, F&E, Pharma, Medizinprodukte)
  • Trinkwasser
  • Abwasser
  • IT und TK (IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services)
  • Raumfahrt (Bodeninfrastruktur)

Wichtige Einrichtung (Anlage 2)

  • Anbieter von Post- und Kurierdiensten
  • Abfallwirtschaft
  • Chemie (Herstellung, Handel, Produktion)
  • Lebensmittel (Großhandel, Produktion, Verarbeitung)
  • Forschungseinrichtungen
  • Hersteller
  • Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Verarbeitendes Gewerbe (Medizin/Diagnostika; DV, Elektro, Optik (NACE C Abt. 26 und 27); Maschinen­bau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30))
 
 

Besonders wichtige Einrichtungen

werden nach Größe des Unternehmens in den Sektoren aus Anlage 1 identifiziert:

 
 

Wichtige Einrichtungen

werden nach Größe des Unternehmens in den Sektoren aus Anlage 1 und 2 identifiziert:

 
 

Darüber hinaus

gibt es zwei weitere wichtige Punkte die bei der Beurteilung der Betroffenheit berücksichtigt werden sollten.

Lieferketten

Lieferketten

Ein ganz wichtiger Punkt. Der Anwendungsbereich wird beispielsweise nicht mehr nur auf den Energierzeuger beschränkt sein, sondern dann auch Unternehmen wie Windturbinen-Hersteller oder Betreiber von Ladestationen für Elektroautos oder oder oder betreffen.
Cloud

Kleinunternehmen

Wir weisen explizit darauf hin, dass die oben unter den Punkten 3 aufgeführten Ausnahmen zur Zuordnung als besonders wichtige oder wichtige Einrichtung automatisch führt, wenn Sie einen dieser Dienste anbieten. Somit sind auch Kleinunternehmen in den Bereichen Vertrauensdienstleister (z.B. elektronische Signaturen), Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste, TLD-Namenregister , DNS-Dienstanbieter, alleinige Anbieter eines essentiellen Services für die Aufrechterhaltung kritischer gesellschaftlicher / wirtschaftlicher Aktivitäten, usw. stets von den NIS2-Richtlinien betroffen und haben je nach Zuordnung (Anlage 1 oder 2) die Auflagen, / Maßnahmen / Pflichten zu erfüllen.
 
 

 

NIS2-Richtlinie:

 

Strafen und Haftung

 
 
NIS2 Geschäftsleitung

Geschäftsleitung

Die Geschäftsleitung darf sich eines Dritten bedienen, um die Umsetzung der Risikomanagementmaßnahmen zu überwachen. Eine explizite Geschäftsführerhaftung gibt es nicht (mehr), die Binnenhaftung im Unternehmen hat natürlich bestand.

 
 
NIS2 Unternehmensstrafen

Unternehmensstrafen

2% des Jahresumsatzes oder bis zu 10 Mio € bei “besonders wichtigen Einrichtungen”. 1,4% des Jahresumsatzes oder 7 Mio € bei “wichtigen Einrichtungen”. Es entscheidet immer der jeweils höhere Betrag. Proaktive Kontrollen bei “Besonders wichtigen Einrichtungen” - aktuell alle 3 Jahre. Reaktive Kontrollen bei “wichtigen Einrichtungen” (nur bei Verdacht)

 
 
 

 

NIS2-Richtlinie:

 

Geforderte Maßnahmen

 
  • Durchführung einer Risikoanalyse hinsichtlich Sicherheit der Informationssysteme

 

  • Ausarbeitung eines Planes zu Prävention, Detektion und Bewältigung von Sicherheitsvorfällen (Incident Management)

 

  • Sicherstellung der Geschäftskontinuität durch Backup Management, Notfall-Wiederherstellung und Krisenmanagement

 

  • Sicherheit der Lieferkette und Sicherheitsmaßnahmen bei der Beschaffung und Wartung von IT und Netzwerk-Systemen

 

  • Maßnahmen zur Messung von Cyber- und Risikomaßnahmen

 

  • Ausarbeitung von Vorgaben bzgl. Kryptografie und Verschlüsselung für alle wesentlichen Bereichen

 

  • Überwachung aller Zugänge und Protokollierung

 

  • Implementierung eines Information-Security-Management-Systems mit Verfahren, Methoden und Tools, um die Informationssicherheit erhöhen (z.B. ISO 27001).

 

  • Einsatz von Multi-Faktor-Authentifizierung und Single-Sign-On

 

  • Einsatz gesicherter Notfall-Kommunikations-Systeme

 

 
 

 

NIS2-Richtlinie:

 

Meldepflichten

 
 
 

 

Erfahren Sie mehr zu

IT-Security

IT-Security

Arten von Cyberangriffen

Arten von Cyberangriffen

Cyber-Versicherung 2

Cyber-Versicherung

 
 
 

Interessiert? Kontaktieren Sie uns oder nutzen Sie direkt unseren Vergleichsrechner.


Cyber-Versicherung: Schützen Sie Ihre IT ab 200€/Jahr!