Eine EU-Flagge vor einem stilisierten dunkelblauen Hintergrund mit den Zahlen 1 und 0 stellvertretend für Digitales.

NIS2-Richtlinie

Neues IT-Sicherheitsgesetz nimmt Unternehmen in die Pflicht

Telekommunikation / IT-Security / NIS2-Richtlinie

Stärkung der Cybersicherheit in Europa

NIS2: Für wen jetzt dringender Handlungsbedarf besteht

Ein Thema, das Unternehmen von 2024 bis 2026 stark beschäftigen wird, ist die neue EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2). Sie soll das Cybersicherheitsniveau in der Europäischen Union vereinheitlichen und anheben. 

Ab wann gilt die NIS2-Richtlinie?


Die EU-Mitgliedstaaten haben bis 18. Oktober 2024 Zeit, die NIS-2-Richtlinie in nationales Recht umzusetzen. Danach bleiben den betroffenen Unternehmen zwei Jahre Zeit, um alle Sicherheitsmaßnahmen und Prozesse aus der Richtlinie (u.a. Meldung von Sicherheitsvorfällen) zu implementieren.

Eine Frau mit Tablet im Hochregallager

Wer ist von der NIS-2-Richtlinie betroffen?

Die NIS2-Richtlinie gibt vor, welche öffentlichen und privaten Einrichtungen aus 18 verschiedenen Sektoren wegen ihrer Bedeutung für die Versorgung von Bevölkerung und Wirtschaft erhöhten Anforderungen an die IT-Sicherheit unterliegen. Dabei wird zwischen „wesentlichen“ und „wichtigen“ Einrichtungen unterschieden. Mit der Neufassung wird der Anwendungsbereich auf deutlich mehr Einrichtungen ausgeweitet als in der Vergangenheit.

Eine Frau und zwei Männer in einem bläulich erleuchteten Besprechungsraum mit Bildschirmen im Hintergrund

Was kommt auf die betroffenen Einrichtungen zu?

Wesentliche und wichtige Einrichtungen müssen eine Reihe neuer Maßnahmen zum Schutz ihrer IT-Infrastruktur und ihrer Daten einführen. Dazu gehören neben (technischen) Cybersicherheitsvorkehrungen auch organisatorische Maßnahmen. Diese regeln beispielsweise Verantwortlichkeiten und etablieren Prozesse für den Umgang mit Sicherheitsvorfällen. Darüber hinaus regelt die NIS2-Richtlinie auch, dass Cybersicherheitsvorfälle direkt an die Behörden gemeldet werden müssen.

EWE unterstützt Sie bei der Umsetzung der Vorgaben für mehr IT-Sicherheit.

Ein Richterhammer auf einem Gesetzbuch, im Hintergrund eine EU-Flagge

Welche Sanktionen drohen bei Nichteinhaltung der NIS2-Richtlinie?

Bei Nichteinhaltung von NIS2 können Unternehmen mit sehr hohen Geldstrafen belegt werden. Die genauen Sanktionen variieren je nach Schwere des Verstoßes. Sie können beispielsweise auch behördliche Maßnahmen wie die Aussetzung von Diensten umfassen.

Alle wichtigen Details im Überblick

Was ist NIS2 und welche Ziele verfolgt diese Richtlinie?

NIS2 steht für Netzwerk- und Informationssicherheit 2. NIS2 ist eine EU-Richtlinie, die darauf abzielt, die Sicherheit kritischer Infrastrukturen zu stärken. Sie legt Standards und Verpflichtungen fest, um gegen Cyberbedrohungen vorzugehen. Dadurch soll die Widerstandsfähigkeit von Netzwerken und Informationssystemen verbessert werden.

Welche Einrichtungen sind von NIS2 betroffen? Gibt es Ausnahmen?

NIS2 betrifft Einrichtungen aus verschiedenen Sektoren, insbesondere Anbieter von wesentlichen Diensten und digitale Diensteanbieter. Ausnahmen können je nach Größe und Art der Einrichtung gelten. Aber im Allgemeinen sind Einrichtungen, die Schlüsseldienste erbringen, verpflichtet, NIS2 einzuhalten.

Welche spezifischen Verpflichtungen haben betroffene Einrichtungen gemäß NIS2?

Sie müssen angemessene Sicherheitsmaßnahmen implementieren, Sicherheitsvorfälle melden, Risikobewertungen durchführen und Strategien zur Wiederherstellung entwickeln. Die genauen Verpflichtungen variieren je nach Art und Größe der Einrichtung.

Welche Sanktionen drohen Einrichtungen bei Nichteinhaltung von NIS2?

Bei Nichteinhaltung von NIS2 können Einrichtungen mit sehr hohen Geldstrafen belegt werden. Die genauen Sanktionen variieren je nach Schwere des Verstoßes. Sie können auch behördliche Maßnahmen wie die Aussetzung von Diensten umfassen.

Welche sind die ersten Schritte, um die NIS2-Compliance in meinem Unternehmen zu initiieren.

Die ersten Schritte umfassen eine gründliche Analyse der NIS2-Anforderungen für Ihr Unternehmen. Dazu gehört die Identifizierung von kritischen Diensten, die Ernennung eines Verantwortlichen für die Netzwerk- und Informationssicherheit. Darüber hinaus ist ein Umsetzungsplan und eine Schulungsstrategie zu entwickeln.

Kann mein Unternehmen externe Dienstleister für die Umsetzung von NIS2-bezogenen Maßnahmen engagieren?

Ja, Unternehmen können externe Dienstleister für die Unterstützung bei der Umsetzung von NIS2-bezogenen Maßnahmen engagieren. Es ist jedoch wichtig sicherzustellen, dass diese Dienstleister über das erforderliche Fachwissen und die Erfahrung im Bereich der Netzwerk- und Informationssicherheit verfügen.

Wie kann ich auf dem Laufenden bleiben bezüglich Änderungen oder Aktualisierungen von NIS2?

Um auf dem Laufenden zu bleiben, empfehlen wir regelmäßige Überprüfungen offizieller Veröffentlichungen der EU und nationaler Behörden. Melden Sie sich auch für Updates und Newsletter von relevanten Organisationen im Bereich Netzwerk- und Informationssicherheit an.

Kostenloses Factsheet

Laden Sie sich alle wichtigen Informationen zur NIS2-Richtlinie in unserem kostenlosen Factsheet herunter.

Haben Sie Fragen oder wünschen eine Beratung?

Geben Sie einfach Ihre Kontaktdaten ein und wir werden uns umgehend bei Ihnen melden.

Hinweise zum Datenschutz: Informationen zur Erhebung Ihrer Daten finden Sie hier.

 

Alle mit Sternchen (*) markierten Felder sind Pflichtfelder.