NIS2-Richtlinie: Was Sie wissen müssen

Was Sie über die europäische NIS2-Richtlinie für mehr Cybersicherheit wissen müssen und wen die neuen Standards betreffen, erfahren Sie hier.

In diesem Artikel:

• Was ist die NIS2-Verordnung?
• Wen betrifft NIS2?
• Welche Maßnahmen müssen betroffene Unternehmen ergreifen?
• Gut vorbereitet mit einer effektiven Sicherheitslösung

Was ist die NIS2-Richtlinie?

NIS bedeutet Netz- und Informationssicherheit. Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des allgemeinen Cybersicherheitsniveaus innerhalb der EU.

Die NIS2-Richtlinie aktualisiert die 2016 eingeführten EU-Vorschriften zur Cybersicherheit (NIS). Sie wurde Ende 2022 im Amtsblatt der Europäischen Union veröffentlicht und trat Mitte Januar 2023 in Kraft. Die Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen.

Die NIS2-Richtlinie modernisiert den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich entwickelnden Bedrohungslandschaft für Cybersicherheit Schritt zu halten. Durch die Ausweitung des Anwendungsbereichs der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen wird die Resilienz und Reaktionsfähigkeit öffentlicher und privater Einrichtungen, der zuständigen Behörden und der EU insgesamt weiter verbessert.

Die NIS2-Verordnung ist eine wichtige Maßnahme, um die Cybersicherheit in Europa zu stärken. Sie hilft Unternehmen und Organisationen dabei, ihre Anwendungen und Daten vor Cyberbedrohungen zu schützen. Die Verordnung legt Sicherheitsanforderungen fest, denen Unternehmen entsprechen müssen, um ihre Systeme sicherer zu machen. Dazu gehört beispielsweise der Schutz vor Malware und unautorisiertem Zugriff auf sensible Informationen. Auch Mitarbeiter müssen sensibilisiert sein für die Gefahren von Cyberangriffen und entsprechend geschult werden.

Es ist wichtig für Unternehmen und Organisationen, sich über die NIS2-Verordnung zu informieren und Best Practices zur Umsetzung von Cybersicherheit zu entwickeln. Eine wirksame Umsetzung kann dazu beitragen, dass das Unternehmen gegenüber Kunden und Partnern als vertrauenswürdig wahrgenommen wird und es langfristig erfolgreich bleibt.

Wen betrifft die NIS2-Richtlinie?

Welche Unternehmen ganz genau betroffen sind, lässt sich erst beantworten, wenn das deutsche Umsetzungsgesetz, das NIS2UmsuCG, in Kraft tritt. Das soll im Oktober 2024 ohne Übergangsfrist eintreten. Bereits bekannt ist, dass NIS2 die gesetzlichen Anforderungen an Unternehmen verschärft, die folgenden Kriterien entsprechen:

Sektor der Unternehmenstätigkeit

In den Entwürfen zur Umsetzung sind folgende “Sektoren besonders wichtiger und wichtiger Einrichtungen” genannt:

Daneben gibt es weitere wichtige Sektoren, die von NIS2 betroffen sind. Darunter fallen:

• Post- und Kurierdienste
• Abfallbewirtschaftung
• Produktion, Herstellung und Handel mit chemischen Stoffen
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Verarbeitendes Gewerbe/Herstellung von Waren
• Anbieter digitaler Dienste
• Forschung

Unternehmensgröße

Außerdem muss das Unternehmen mindestens 50 Mitarbeiter beschäftigten und mehr als 10 Millionen Euro Jahresumsatz erwirtschaften. Aber Achtung: Auch wenn diese Faktoren nicht zutreffen können Unternehmen betroffen sein. Stichwort Lieferkette: Die Anforderungen der NIS2-Richtlinie kann nämlich auch auf die Lieferanten der betroffenen Firmen ausgeweitet werden, sodass auch diese Nachweise über ihren Umgang mit Risiken der Cybersicherheit erbringen müssen.

Welche Maßnahmen müssen betroffene Unternehmen ergreifen?

NIS2 soll sicherstellen, dass Unternehmen und Organisationen ihre IT-Systeme schützen und geeignete Risikomanagementmaßnahmen ergreifen. Dazu gehören zum Beispiel Konzepte zur Risikoanalyse und Sicherheit in der Informationstechnik, zur Bewältigung von Sicherheitsvorfällen oder zur Aufrechterhaltung des Betriebs.

Sicherheitsmaßnahmen wie Verschlüsselungen und Multi-Faktor-Authentifizierung sind ebenso genannt wie ein funktionierendes Schwachstellenmanagement, um die eigenen Daten und Systeme vor unbefugtem Zugriff zu bewahren. Darüber hinaus sollen Unternehmen sicherstellen, dass ihre Mitarbeiter entsprechend geschult sind, um sich vor Cyberbedrohungen zu schützen und ein Bewusstsein für die Gefahren zu entwickeln.

Das Umsetzungsgesetz legt außerdem Meldepflichten für Sicherheitsvorfälle fest, die besonders wichtige und wichtige Einrichtungen verpflichten, bestimmte Informationen an eine spezielle Meldestelle weiterzugeben sowie im Falle von Einrichtungen der Bundesverwaltung zusätzlich der jeweiligen Aufsichtsbehörde.

Gut vorbereitet mit einer effektiven Sicherheitslösung

Es ist an der Zeit, die eigene IT-Landschaft aufzurüsten. Denn bereits im Oktober 2024 soll NIS2 ins deutsche Gesetz verankert werden. Auch wenn die Details noch nicht komplett geklärt sind, lassen die gewünschten Maßnahmen bereits viele Ähnlichkeiten zu einem effektiven Informations-Managementsystem erkennen.

Optimalen Schutz liefern darüber hinaus Softwarelösungen, die automatisiert und fortlaufend die IT-Infrastruktur und -Systeme monitoren und mögliche Schwachstellen frühzeitig erkennen und melden. Die actago GmbH bietet mit ihrer Security Suite eine funktionierende All-in-One-Security-Lösung. Risikomanagement und Sicherheitsanalyse in einem – und alles mit nur einem Klick installiert. Erfahren Sie hier mehr über die Security Suite.