Grafik mit der Aufschrift 'NIS 2-Richtlinie' und einem Warnsymbol auf schwarzem Hintergrund.
 
 

NIS2 - Network and Information Systems Directive 2

IT-Sicherheit im Fokus für Unternehmen

Die Informationen auf dieser Seite beruhen auf den bisherigen Bearbeitungsständen zu NIS2. Das Gesetz liegt dabei als Referentenentwurf vor und muss noch die Gesetzgebung auf Bundesebene durchlaufen. Hierdurch ergeben sich stetig Änderungen im laufenden Verfahren. Unseren Überblick versuchen wir stets aktuell zu halten, können hierfür jedoch keine Gewähr übernehmen. Ebenso gibt es noch Definitionslücken und ähnliches.

 
 
 

Hier geht es direkt zu Ihrem Themenbereich

Wer ist betroffen?

Strafen & Haftung

Maßnahmen

Meldepflichten

 
 
 

Interessiert? Kontaktieren Sie uns oder nutzen Sie direkt unseren Vergleichsrechner.

Cyber-Versicherung: Schützen Sie Ihre IT ab 200€/Jahr!

E-Mail

Telefon

Vergleich

Termin buchen

 
Grafik mit digitalen Schlössern und dem Text 'Cyber Attack' in leuchtenden Farben.
 

NIS2-Richtlinie:

 

Wer ist betroffen?

Grundsätzlich wird zwischen “Besonders wichtige Einrichtung” und “Wichtige Einrichtung” unterschieden, die von der NIS2-Richtlinie betroffen sind.Die Betroffenheit ergibt sich dabei aus der Branche / des Sektors sowie der Unternehmensgröße.

Besonders wichtige Einrichtung (Anlage 1)

  • Energie
  • Luft-, Schienen-, Straßen- und Schiffsverkehr
  • Bankwesen / Finanzwesen
  • Gesundheit (Dienstleistung, Referenzlabore, F&E, Pharma, Medizinprodukte)
  • Trinkwasser
  • Abwasser
  • IT und TK (IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services)
  • Raumfahrt (Bodeninfrastruktur)

Wichtige Einrichtung (Anlage 2)

  • Anbieter von Post- und Kurierdiensten
  • Abfallwirtschaft
  • Chemie (Herstellung, Handel, Produktion)
  • Lebensmittel (Großhandel, Produktion, Verarbeitung)
  • Forschungseinrichtungen
  • Hersteller
  • Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Verarbeitendes Gewerbe (Medizin/Diagnostika; DV, Elektro, Optik (NACE C Abt. 26 und 27); Maschinen­bau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30))
 
 

Besonders wichtige Einrichtungen

werden nach Größe des Unternehmens in den Sektoren aus Anlage 1 identifiziert:

Rote Grafik mit einer großen Zahl 1 in einem weißen Kreis auf rotem Hintergrund.
Unternehmen ab 250 Mitarbeitern oder
Rotes Symbol mit einer weißen, runden Fläche, die die Zahl zwei zeigt.
Unternehmen ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio. EUR
Runde rote Form mit der Nummer 3 in der Mitte auf einem neutralen Hintergrund.
Sonderfälle: qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen, Zentralregierung
 
 

Wichtige Einrichtungen

werden nach Größe des Unternehmens in den Sektoren aus Anlage 1 und 2 identifiziert:

Rote Grafik mit einer großen Zahl 1 in einem weißen Kreis auf rotem Hintergrund.
Unternehmen ab 50 Mitarbeitern oder
Rotes Symbol mit einer weißen, runden Fläche, die die Zahl zwei zeigt.
Unternehmen ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR
Runde rote Form mit der Nummer 3 in der Mitte auf einem neutralen Hintergrund.
Vertrauensdienste
 
 

Darüber hinaus

gibt es zwei weitere wichtige Punkte die bei der Beurteilung der Betroffenheit berücksichtigt werden sollten.

Bunte Versandcontainer in verschiedenen Farben, gestapelt auf einem Lagerplatz.

Lieferketten

Ein ganz wichtiger Punkt. Der Anwendungsbereich wird beispielsweise nicht mehr nur auf den Energierzeuger beschränkt sein, sondern dann auch Unternehmen wie Windturbinen-Hersteller oder Betreiber von Ladestationen für Elektroautos oder oder oder betreffen.
Blaues Cloud-Symbol in der Mitte einer Anordnung von Servern mit grünen Lichtern.

Kleinunternehmen

Wir weisen explizit darauf hin, dass die oben unter den Punkten 3 aufgeführten Ausnahmen zur Zuordnung als besonders wichtige oder wichtige Einrichtung automatisch führt, wenn Sie einen dieser Dienste anbieten. Somit sind auch Kleinunternehmen in den Bereichen Vertrauensdienstleister (z.B. elektronische Signaturen), Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste, TLD-Namenregister , DNS-Dienstanbieter, alleinige Anbieter eines essentiellen Services für die Aufrechterhaltung kritischer gesellschaftlicher / wirtschaftlicher Aktivitäten, usw. stets von den NIS2-Richtlinien betroffen und haben je nach Zuordnung (Anlage 1 oder 2) die Auflagen, / Maßnahmen / Pflichten zu erfüllen.
 
 
 

NIS2-Richtlinie:

 

Strafen und Haftung

 
 
Grafische Darstellung eines anonymen Geschäftsführers in einem Anzug mit Krawatte.

Geschäftsleitung

Die Geschäftsleitung darf sich eines Dritten bedienen, um die Umsetzung der Risikomanagementmaßnahmen zu überwachen. Eine explizite Geschäftsführerhaftung gibt es nicht (mehr), die Binnenhaftung im Unternehmen hat natürlich bestand.

 
 
Schwarz-weiße Grafik von mehreren modernen Bürogebäuden mit Fenstern und Eingangsbereich.

Unternehmensstrafen

2% des Jahresumsatzes oder bis zu 10 Mio € bei “besonders wichtigen Einrichtungen”. 1,4% des Jahresumsatzes oder 7 Mio € bei “wichtigen Einrichtungen”. Es entscheidet immer der jeweils höhere Betrag. Proaktive Kontrollen bei “Besonders wichtigen Einrichtungen” - aktuell alle 3 Jahre. Reaktive Kontrollen bei “wichtigen Einrichtungen” (nur bei Verdacht)

 
 
 
 

NIS2-Richtlinie:

 

Geforderte Maßnahmen

 
  • Durchführung einer Risikoanalyse hinsichtlich Sicherheit der Informationssysteme

 

  • Ausarbeitung eines Planes zu Prävention, Detektion und Bewältigung von Sicherheitsvorfällen (Incident Management)

 

  • Sicherstellung der Geschäftskontinuität durch Backup Management, Notfall-Wiederherstellung und Krisenmanagement

 

  • Sicherheit der Lieferkette und Sicherheitsmaßnahmen bei der Beschaffung und Wartung von IT und Netzwerk-Systemen

 

  • Maßnahmen zur Messung von Cyber- und Risikomaßnahmen

 

  • Ausarbeitung von Vorgaben bzgl. Kryptografie und Verschlüsselung für alle wesentlichen Bereichen

 

  • Überwachung aller Zugänge und Protokollierung

 

  • Implementierung eines Information-Security-Management-Systems mit Verfahren, Methoden und Tools, um die Informationssicherheit erhöhen (z.B. ISO 27001).

 

  • Einsatz von Multi-Faktor-Authentifizierung und Single-Sign-On

 

  • Einsatz gesicherter Notfall-Kommunikations-Systeme

 

 
 
 

NIS2-Richtlinie:

 

Meldepflichten

 
Ein einfaches Symbol mit der Aufschrift '24 Stunden' in einem kreisförmigen Design.

Frühwarnung

Symbol für einen Zeitrahmen von 72 Stunden mit einem Pfeil und einem Ziffernkreis.

Offizielle Meldung

Ein einfaches schwarzes Kalender-Icon mit der Aufschrift '1 MONAT'.

Abschlussbericht

 
 
 

Erfahren Sie mehr zu

Person, die an einem Laptop arbeitet, während digitale Sicherheitsgrafiken angezeigt werden.

IT-Security

Person in Kapuzenpullover hält einen Laptop, umgeben von Cybersecurity-Symbolen und Datenmustern.

Arten von Cyberangriffen

Grafik mit dem Text 'Cyber Versicherung' und digitalen Sicherheitssymbolen in einem hexagonalen Muster.

Cyber-Versicherung

 
 
 

Interessiert? Kontaktieren Sie uns oder nutzen Sie direkt unseren Vergleichsrechner.

Cyber-Versicherung: Schützen Sie Ihre IT ab 200€/Jahr!

E-Mail

Telefon

Vergleich

Termin buchen