Ein Überblick über die NIS2-Richtlinie

Die NIS2-Richtlinie (Network and Information Security Directive 2) der Europäischen Union zielt darauf ab, die Cybersicherheit und die Widerstandsfähigkeit kritischer Infrastrukturen in den Mitgliedstaaten zu stärken.

Sie erweitert und aktualisiert die Anforderungen der ursprünglichen NIS-Richtlinie, indem sie einen breiteren Anwendungsbereich, strengere Sicherheitsmaßnahmen und verbesserte Meldepflichten für Cybervorfälle einführt. Ziel ist es, eine höhere Sicherheitsstufe in der EU zu gewährleisten und auf die sich verändernde Bedrohungslage im digitalen Bereich zu reagieren

Worum geht es bei der NIS2?

• Die Richtlinie zielt darauf ab, die Cybersicherheit in kritischen Wirtschaftssektoren zu verbessern und die Auswirkungen von Cyberangriffen zu minimieren.
• Die wichtigsten Anforderungen der NIS2 umfassen Vorgaben zur Risikoanalyse und Informationssicherheit, Umgang mit Vorfällen, Geschäftskontinuität, Lieferkettensicherheit, Sicherheit bei Erwerb, Entwicklung und Wartung von Netzwerk- und Informationssystemen sowie Verschlüsselungsrichtlinien.
• Unternehmen müssen bestimmte Vorfälle innerhalb von 24 Stunden melden und innerhalb von 72 Stunden eine detaillierte Meldung abgeben.
• Wesentliche Einrichtungen unterliegen einer strengeren Aufsicht, einschließlich Vor-Ort-Inspektionen und regelmäßigen Sicherheitsaudits.
• Wichtige Einrichtungen können ebenfalls Inspektionen und Sicherheitsaudits unterliegen, aber in einem geringeren Umfang als wesentliche Einrichtungen.
• Bei Nichteinhaltung der Richtlinie können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden.

Wer ist davon betroffen?

• Die NIS2-Richtlinie gilt für mittlere und große Unternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Millionen Euro sowie jede Einrichtung der öffentlichen Verwaltung.
• Sie gilt auch für Organisationen, die der alleinige Anbieter eines Dienstes in einem Mitgliedstaat sind, potenziell Auswirkungen auf die öffentliche Sicherheit, Sicherheit oder Gesundheit haben könnten, systemische Risiken hervorrufen könnten oder grenzüberschreitende Auswirkungen haben könnten, sowie für kritische Einrichtungen auf regionaler oder nationaler Ebene.
• Zu den wesentlichen Einrichtungen, die von der Richtlinie erfasst werden, gehören Unternehmen der Sektoren Energie, Transport, Banken, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur und öffentliche Verwaltung.
• Wichtige Einrichtungen sind unter anderem in den Bereichen Post- und Kurierdienste, Abfallwirtschaft, Chemieproduktion und -verteilung sowie Lebensmittelproduktion und -verteilung tätig.

Wann trat die NIS2-Richtlinie in Kraft?

Die NIS2-Richtlinie trat am 16 Januar 2023 in Kraft. Die Mitgliedsstaaten müssen die Bestimmungen der Richtlinie in nationales Recht bis zum 17. Oktober 2024 umsetzen. Darüber hinaus muss jeder Mitgliedsstaat bis zum 17. April 2025 eine Liste der wesentlichen und wichtigen Einrichtungen erstellen, welche regelmäßig zu überprüfen und zu aktualisieren ist.

Achtung: Bereits jetzt sollten betroffenen Unternehmen mit der Implementierung der erforderlichen Prozesse sowie der notwendigen technischen und organisatorischen Maßnahmen beginnen.

Unsere Spezialist*innen beraten Sie zu Fragen des digitalen Marktes. Klicken Sie hier, um Vadim zu kontaktieren.