NIS-2 – was ist das und wen betrifft das?

Die NIS-2 ist eine Richtlinie der EU und führt verpflichtende Sicherheitsmaßnahmen und Meldepflichten für Unternehmen und Organisatoren in 18 kritischen Sektoren ein. Dadurch soll die Wirksamkeit des IT-Sicherheitsschutzes erhöht und das Risiko eines erfolgreichen Cyberangriffs reduziert werden. NIS-2 bedeutet “Network and Information Security“ und definiert einen neuen Mindeststandard für IT-Sicherheit, welcher durch die Umsetzung verschiedener Anforderungen in vorgegebenen Anforderungsgruppen der IT-Sicherheit erreicht wird.

Die NIS-2-Richtlinie wurde am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht. Deutschland muss die Inhalte bis zum 17. Oktober 2024 in nationales Recht umgesetzt haben. Aktuell liegt ein Referentenentwurf in der vierten Version vor (Stand Mai 2024), der noch weiter ausgearbeitet wird.

Von dieser Richtlinie sind mindestens 30.000 Unternehmen in Deutschland aus folgenden Sektoren betroffen:

 

Hochkritische Sektoren: Energie, Gesundheit, Trink-/Abwasser, Bankwesen, Weltraum, Verkehr, Finanz, Digitale Infrastruktur, Öffentliche Verwaltung, IKT
• Sonstige kritische Sektoren: Digitale Dienste, Forschung, Industrie, Abfallbewirtschaftung, Post- und Kurierdienste, Lebensmittel, Chemikalien

Dazu zählen:

• Mittlere Unternehmen ab 50 Mitarbeiter und einem Jahresumsatz von 10 bis 50 Mio. EUR oder einer Jahresbilanz bis 43 Mio. EUR
• Große Unternehmen ab 250 Mitarbeiter und einem Jahresumsatz ab 50 Mio. EUR oder einer Jahresbilanz ab 43 Mio. EUR

Die Unternehmen müssen verschiedene Anforderungen umsetzen, die von einer Risikoanalyse, Bewältigung von Sicherheitsvorfällen, über Backup-Management, Awareness-Schulungen bis zu sicheren Kommunikationswegen reichen.

Es gibt keine Zertifizierungsmöglichkeit für eine offizielle NIS-2 Konformität. Es gibt jedoch IT-Sicherheitsstandards, wie die VdS 10000, DIN ISO 27001, TISAX usw., welche die Erfüllung von NIS-2 Anforderungen bestätigen können.

Auch wenn noch kein ausgearbeitetes Gesetz vorliegt, können Unternehmen bereits vorab Maßnahmen umsetzen, welche die Erfüllung der Anforderungen in Zukunft vereinfachen.

Gerne unterstützen wir Sie auf diesem Weg und freuen uns über Ihre Kontaktaufnahme für ein unverbindliches Erstgespräch.