Neue EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2)
Mit der überarbeiteten Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) schafft die Europäische Union EU-weit einheitliche Mindeststandards in Bezug auf die Widerstandsfähigkeit von Unternehmen und Behörden gegen Cyberangriffe. Voraussichtlich zum Oktober 2024 wird in Deutschland das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft treten, welches NIS2 in nationales Recht umsetzt.
Betroffene Einrichtungen: Wer fällt unter den Geltungsbereich der NIS2-Richtlinie?
Betroffen sind voraussichtlich alle Organisationen, die mindestens €10 Mio. Jahresumsatz und/oder mindestens 50 Mitarbeiter haben und in einer von 18 in der Richtlinie definierten Branchen aktiv sind. Damit geht der Anwendungsbereich von NIS2 weit über die bisherige Definition von „kritischen Infrastrukturen“ im Sinne der KRITIS-Gesetzgebung hinaus.
| Annex 1 | Annex 2 |
| Energie | Abfallwirtschaft |
| Transport | Chemikalien |
| Bankwesen | Lebensmittel |
| Finanzmärkte | Industrie |
| Gesundheit | Digitale Dienste |
| Trinkwasser | Forschung |
| Abwasser | |
| Digitale Infrastruktur | |
| ICT Service | |
| Management | |
| Öffentliche Verwaltung | |
| Weltraum |
Aus der Kombination der Größenklasse sowie der Branchen ergibt sich dann die Zuordnung zur Kategorie der Essential Entities (Wesentliche Einrichtungen) bzw. der Important Entities (Wichtige Einrichtungen). Zudem gibt es diverse Sonderfälle von Einrichtungen, die unabhängig von ihrer Größe von der Richtlinie erfasst werden – u.a. „Betreiber, deren Ausfall einen signifikanten Effekt auf öffentliche Sicherheit oder Gesundheit haben“.
Betroffene Unternehmen werden verpflichtet, sich innerhalb von 3 Monaten bei der Aufsichtsbehörde zu registrieren und dabei u.a. Informationen zu Kontaktdaten und IP-Adressbereichen zu übermitteln.
Die Kernanforderungen der NIS2-Richtlinie: Cyber-Sicherheit und Risikomanagement
NIS2 definiert grundlegende Anforderungen an die Cyber-Sicherheit. Die betroffenen Einrichtungen sind verpflichtet, die Risiken, die ihre Informationssysteme betreffen, zu kontrollieren. Darunter zählen, neben verschiedenen technischen Maßnahmen (u.a. regelmäßige Schwachstellenscans / Pentests, Backup, Angriffserkennung, Multi-Faktor-Authentifizierung) auch organisatorische Maßnahmen (u.a. Risikomanagement, IT-Notfallhandbuch, regelmäßige Schulungen für alle Mitarbeiter zum Thema Cybersicherheit).
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird als zuständige Aufsichtsbehörde in Einhaltung der Anforderungen überwachen. Zudem erhält das BSI die Befugnis, Unternehmen bei erheblichen Sicherheitsvorfällen zur Information an betroffene Kunden, Öffentlichkeit oder Datenschutzbehörden zu verpflichten.
Darüber hinaus verpflichtet die NIS2-Richtlinie die betroffenen Einrichtungen zu einer mehrstufigen Meldung bei erheblichen Sicherheitsvorfällen.
Konsequenzen von NIS2-Verstößen: Sanktionen und Verpflichtungen für Führungskräfte
Für Verstöße gegen Anforderungen von NIS2 sollen Geldbußen erlassen werden können bis zu einem Maximum von
- €10 Mio. oder 2% des weltweiten Umsatzes (Essential Entities)
- €7 Mio. oder 1,4% des weltweiten Umsatzes (Important Entities)
Die NIS2-Richtlinie erlegt außerdem Führungskräften (i.d.R. Geschäftsführung / Vorstand) verschiedene Verpflichtungen auf
- Billigung der ergriffenen Risikomanagement-Maßnahmen
- Überwachung der Umsetzung
- Regelmäßige Teilnahme an Schulungen zu Cybersicherheit
- Anbieten solcher Schulungen für alle Mitarbeitenden
Es gilt die persönliche Haftung von Geschäftsführern für entstandene Schäden (Bußgelder, Regressansprüche von Dritten); die Richtlinie untersagt dabei ausdrücklich den Verzicht der Gesellschaft auf die persönliche Haftung bzw. das Schließen von Vergleichen zur Begrenzung der persönlichen Haftung.
NIS2 – Cybersicherheit wird zur Chefsache
In unserem Webcast erfahren Sie, was die neuen Auflagen für Ihr Unternehmen bedeuten und wie Sie sie neuen Anforderungen in der Praxis umsetzen können. Dr.-Ing. Matthias Bender (Leiter Competence Center IT-Security bei IT-HAUS GmbH) gibt zunächst einen detaillierten Einblick in die NIS2-Richtlinie. Er zeigt auf, welche Unternehmen von der Richtlinie betroffen sind und welche Anforderungen die Richtlinie an die betroffenen Unternehmen und Behörden stellt.
Thomas Krause (Geschäftsführer der ForeNova Technologies GmbH) zeigt praxisnah auf, wie Sie schon heute die richtigen Weichen stellen: Profitieren Sie von erhöhter IT-Sicherheit und investieren Sie zielgerichtet und sinnvoll, um schon heute die wesentlichen Anforderungen von NIS2 zu erfüllen.
IT-TALK: NIS2 – Die neue EU-Richtlinie setzt Unternehmen unter Handlungsdruck
Wir werfen einen genauen Blick darauf, welche Unternehmen von der neuen EU-Richtlinie betroffen sind und was Unternehmer jetzt wissen müssen. Welche Konsequenzen drohen bei Nichteinhaltung? Welche Meldepflichten bestehen künftig und wer haftet bei Verstößen gegen die Richtlinie?
Unsere Experten, Rechtsanwalt Klemens Hellmann von der Martini Mogg Vogt PartGmbB und Dr. Matthias Bender, Leiter des Competence Center IT-Security bei der IT-HAUS GmbH, beantworten die wichtigsten Fragen und geben Ihnen einen klaren Überblick über den aktuellen Stand der NIS2-Richtlinie.
Fazit und weiterführende Maßnahmen: Proaktives Handeln zur Stärkung der IT-Sicherheit
Unternehmen sollten bereits heute mit geeigneten Maßnahmen auf die Steigerung Ihrer IT-Sicherheit hinarbeiten – und nicht das Inkrafttreten des NIS2UmsuCG abwarten. Mit unserem NIS2 Readiness-Workshop helfen wir Ihnen, die notwendigen Maßnahmen zu identifizieren, so dass die heute getätigten Investitionen bereits auf die Erfüllung der NIS2-Anforderungen hinarbeiten.
NIS2 Readiness Workshop
Wie gut sind Sie vorbereitet auf NIS2? Finden Sie es heraus!
Anhand eines Vorab-Fragebogens führen wir Sie durch die wesentlichen Anforderungen von NIS2. Im anschließenden gemeinsamen Workshop führen wir eine Gap-Analyse durch und entwickeln Ihre individuelle Roadmap zur NIS2-Readiness.
999,00 € (netto)
