NIS 2

IT-Security

NIS 2

By Tobias Kohler 0

NIS2-Richtlinie: Neue EU-weite Cybersicherheitsstandards

Im Dezember 2022 ist die NIS2-Richtlinie (Richtlinie (EU) 2022/2555 über Massnahmen zur Gewährleistung eines hohen gemeinsamen Cybersicherheitsniveaus in der Union) in Kraft getreten. Sie löst die bisherige NIS-Richtlinie ab und erweitert den Anwendungsbereich erheblich, um ein höheres und einheitlicheres Cybersicherheitsniveau in der gesamten Europäischen Union zu gewährleisten. Die Mitgliedstaaten müssen die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen.

In Deutschland ist das Ziel die übernahme in nationales Recht bis zum 17. Oktober verfehlt worden. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) muss es noch den regulären Gesetzgebungsprozess auf Bundesebene durchlaufen, einschliesslich Beratungen in Bundestag und Bundesrat.

Es kann mit einer Verzögerung bis März 2025 gerechnet werden.

Was bedeutet NIS2 für Unternehmen?

NIS2 betrifft eine breitere Palette von Unternehmen als die ursprüngliche NIS-Richtlinie. Sie unterscheidet zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ und legt je nach Kategorie unterschiedliche Anforderungen fest. Dazu gehören unter anderem:

  • Sektoren: NIS2 erstreckt sich auf kritische Sektoren wie Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur, Finanzwesen, öffentliche Verwaltung, Raumfahrt, Lebensmittelproduktion und -verarbeitung, Abfallbewirtschaftung, Chemie, Herstellung von Medizinprodukten, elektronische Kommunikation und digitale Dienste.
  • Grösse: Neben grossen Unternehmen sind nun auch mittlere Unternehmen (mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von mindestens 10 Millionen Euro) in bestimmten Sektoren betroffen.
  • Risikomanagement: Unternehmen müssen angemessene technische, operative und organisatorische Massnahmen zum Risikomanagement im Bereich der Cybersicherheit ergreifen. Dies beinhaltet u.a.:
    • Risikoanalysen und Sicherheitsbewertungen
    • Richtlinien für Cybersicherheit
    • Vorfallsmanagement
    • Business Continuity und Disaster Recovery
    • Sicherheit der Lieferkette
    • Schulungen zur Cybersicherheit
  • Meldepflichten: Unternehmen müssen Sicherheitsvorfälle unverzüglich den zuständigen Behörden melden.
  • Aufsicht und Sanktionen: Die Mitgliedstaaten sind verpflichtet, Aufsichtsbehörden einzurichten, die die Einhaltung der NIS2-Anforderungen überwachen. Bei Verstössen können erhebliche Geldbussen verhängt werden (bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen und bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes bei wichtigen Einrichtungen).

Die Tobiko GmbH unterstützt Sie bei der Umsetzung von NIS2:

  • GAP-Analysen: Wir analysieren den aktuellen Stand Ihrer Cybersicherheitsmassnahmen und identifizieren Handlungsbedarf im Hinblick auf NIS2.
  • Risikobewertungen: Wir führen eine umfassende Risikobewertungen durch, um potenzielle Schwachstellen in Ihrer IT-Infrastruktur zu identifizieren.
  • Implementierung von Sicherheitsmassnahmen: Wir unterstützen Sie bei der Implementierung der notwendigen technischen, operativen und organisatorischen Sicherheitsmassnahmen.
  • Erstellung von Dokumentationen: Wir helfen Ihnen bei der Erstellung der erforderlichen Dokumentationen, wie z.B. Sicherheitsrichtlinien und Vorfallshandbücher.
  • Schulungen und Awareness-Trainings: Wir schulen Ihre Mitarbeiter im Bereich Cybersicherheit und sensibilisieren sie für potenzielle Gefahren.

Fazit:

Die NIS2-Richtlinie stellt neue und erweiterte Anforderungen an die Cybersicherheit von Unternehmen in der EU. Ich stehe Ihnen als kompetenter Partner zur Seite, um diese Anforderungen effektiv umzusetzen. Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch, um zu erfahren, wie wir Sie auf dem Weg zur NIS2-Konformität unterstützen können.

Kontakt