Zum Inhalt springen

NIS-2-Richtlinie

NIS-2

Anforderungen an IT-Sicherheit

Die NIS-2-Richtlinie ist der europäische Rechtsrahmen für Betreiber Kritischer Infrastrukturen (KRITIS) und legt Mindeststandards an die Cyber Security innerhalb der EU fest. Auf dieser Seite finden Sie alles, was Sie rund um NIS-2 wissen müssen.

Was ist die NIS-2-Richtlinie?

Die EU-Richtlinie NIS-2 („The Network and Information Security Directive“)  zielt darauf ab, die Widerstandsfähigkeit von Kritischen Infrastrukturen (KRITIS) gegenüber Cyberbedrohungen zu stärken und das Cybersicherheitsniveau innerhalb der EU zu erhöhen

Mit NIS-2 kommen auf viele Unternehmen und Organisationen neue Verpflichtungen sowie umfangreiche Sicherheitsmaßnahmen zu. Betroffen sind in erster Linie kritische Infrastrukturen und digitale Dienste in der EU, die eine Reihe an Mindestanforderungen erfüllen müssen, um die eigenen Systeme und Netzwerke gegen Cyberangriffe abzusichern.

Kostenloses NIS-2-Whitepaper

Inhalte des Whitepapers: 

  • Ist mein Unternehmen von der NIS-2-Richtlinie betroffen?
  • Welche Pflichten habe ich als betroffenes Unternehmen?
  • Welche Sanktionen könnten auf mein Unternehmen zukommen?
  • Wer kontrolliert die Umsetzung der NIS-2-Richtlinie?
  • Wie mache ich mein Unternehmen NIS-2 konform?
Zum Whitepaper

Wer ist von NIS-2 betroffen?

NIS-2 gilt für Firmen ab 50 Mitarbeitenden und 10 Mio. Euro Umsatz in 18 festgelegten Sektoren. Entscheidend dafür, ob ein Unternehmen von der Richtlinie betroffen ist, sind demnach die beiden Kriterien Unternehmensgröße und Unternehmenssektor. Darüber hinaus gibt es einige Sonderfälle.

Wesentliche Einrichtungen

  • Unternehmen ab 250 Mitarbeitenden oder
  • Unternehmen über 50 Mio. EUR Umsatz und Bilanz über 43 Mio. EUR
  • Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber)
  • Sonderfälle, z.B. qualifizierte Vertrauensdienste, DNS oder TK-Anbieter

Wichtige Einrichtungen

  • Unternehmen ab 50 Mitarbeitenden oder
  • Unternehmen über 10 Mio. EUR Umsatz und Bilanz über 10 Mio. EUR
  • Spezielle Einrichtungen, z.B. Vertrauensdienste

Betroffene Sektoren:

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von ITK-Diensten (B2B)
  • Öffentliche Verwaltung
  • Weltraum

Betroffene Sektoren:

  • Post- & Kurierdienste
  • Abfallbewirtschaftung
  • Chemikalien (Produktion, Herstellung und Handel)
  • Lebensmittel (Produktion, Verarbeitung und Vertrieb)
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschung

NIS-2 aufs Ohr: Das Wichtigste in 15 Minuten

#82 Entdeckt. Erklärt. Erzählt
Zum Podcast

Für mehr Cybersicherheit in der EU

Strengere Richtlinien mit NIS2: Jacques Kruse Brandao im Interview

Gemäß NIS-2-Richtlinie müssen betroffene Unternehmen mindestens die folgenden Maßnahmen umsetzen, um ihre Widerstandsfähigkeit gegenüber Angriffen zu erhöhen und Sicherheitsvorfälle möglichst zu verhindern bzw. deren Auswirkungen gering zu halten.

Anforderungen nach NIS-2 für betroffene Unternehmen

Risikomanagement

Überwachung von Maßnahmen zur Minimierung von Cyberrisiken

Verantwortlichkeit des Managements

Sicherstellung der Umsetzung von rechtlichen Anforderungen

Policies

Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme

Vorfallbewältigung

Prävention, Detektion und Bewältigung von Sicherheitsvorfällen

Einkauf

Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen

Business Continuity

Aufrechterhaltung des Betriebs (wie Backup-Management und Wiederherstellung nach einem Notfall) und Krisenmanagement

Wirksamkeit

Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen

Supply Chain

Ausfallsicherheit der Lieferkette

Schulungen

Cyberhygiene und Schulungen im Bereich der Cybersicherheit

Kryptografie

Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung

Personal, Zugriff & Asset-Management

Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Assets

Authentifizierung & Kommunikation

Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin
Zu den Beratungsleistungen Kontakt aufnehmen
Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen
Zu den Prüfangeboten Kontakt aufnehmen

Mit diesen Leistungen unterstützen wir Sie, die NIS-2-Anforderungen zu erfüllen

Hängebrücke in einem grünen Dschungel

Ist Ihr Unternehmen NIS-2 betroffen?

Überblick im Dschungel der IT-Regulierung & Gesetzgebung
Brüssel stärkt die Resilienz gegen Cyberangriffe. Und das mit einer komplexen und anspruchsvollen Agenda in der Regulierung. Die Anforderungen wachsen und ebenso die Strafen bei Missachtung. Ist Ihr Unternehmen betroffen? Wir klären auf.

- Erstberatung
Eine Frau mitteln in Flug beim Weitsprung

Von NIS-1 auf NIS-2

Wie groß muss Ihr Sprung sein?
Als bereits NIS-1 betroffenes KRITIS-Unternehmen sind Sie gut in Fragen IT-Sicherheit aufgestellt. Ab Oktober 2024 gelten jedoch die teils deutlich erhöhten Anforderungen der NIS-2. Was steht auf der Habenseite und was gilt es noch zu tun? Wir wissen es.

- Deltaprüfungen
- Voraudits
Eine Person macht Klimmzüge

Langstreckenqualtäten gefragt

Rechtzeitig vorbereiten und durchhalten!
Die Maßnahmenimplementierung benötigt Zeit und viel Eigenengagement. Wir begleiten wir Sie:

- §8a und §10 Audits
- ISO 27001, auch auf Basis von IT-Grundschutz
- Business Continuity Management (ISO 22301)
- EUCS/ISO 27001 für Cloud
- Vorfallbewältigung
- NESAS
Schienen bei Nacht

Nur die halbe Miete

Auf die Lieferkette kommt es an
IT-Systeme, Devices und Komponenten müssen so entwickelt und gefertigt werden, dass sie die hohen Anforderungen an IT-Sicherheit erfüllen.

- BSZ
- Audits nach IEC 62443-X
- SQ (EN303645 od. harmonisierter Standard)
- Common Criteria (EU CC)
- CSC (EN303645 + Cloud)
- GSMA NESAS

Verschärfung der Sanktionen

Die NIS-2-Richtlinie bringt verschärfte Strafen und Sanktionen mit sich. Diese orientieren sich an der EU-Datenschutz-Grundverordnung (EU-DSGVO). 

  • Für wesentliche Einrichtungen können die Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen (abhängig davon, welcher Betrag höher ist)
  • Bei wichtigen Einrichtungen liegt das maximale Bußgeld bei 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

Geschäftsleitungen müssen die Einhaltung der IT-Sicherheitsmaßnahmen überwachen. Werden Pflichten verletzt, droht eine Binnenhaftung der Geschäftsleitung gegenüber der Einrichtung. 

Zudem sind staatliche Kontrollen vorgesehen, um die Einhaltung zu überprüfen. 

Meldepflicht von Sicherheitsvorfällen

Erhebliche Sicherheitsvorfälle müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Es gelten folgende Fristen: 

  • Innerhalb von 24 Stunden: Erstmeldung des Sicherheitsvorfalls mit der Angabe, ob der Vorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenz­überschreitende Auswirkungen haben könnte
  • Innerhalb von 72 Stunden: Bestätigung bzw. Aktualisierung der Erstmeldung, inklusive einer Bewertung des Vorfalls (Schweregrad, Auswirkungen, Kompromittierung)
  • Innerhalb eines Monats: Abschlussbericht mit ausführlicher Beschreibung sowie Angaben zu Ursachen, Maßnahmen und grenzüberschreitenden Auswirkungen
Die Umsetzung der neuen NIS-2-Richtlinie bietet KRITIS-Betreibern und der öffentlichen Hand die Chance, sich in Fragen IT-Sicherheit robust aufzustellen. TÜV NORD GROUP begleitet sie auf diesem Weg. Europaweit!

Axel Lange

Leiter Marketing & Sales bei TÜVIT

NIS-2: Stand der Umsetzung

Berlin

Die europäische NIS-2-Richtlinie wird in Deutschland mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in der nationalen Gesetzgebung verankert – am 24.06.2024 wurde für dieses Gesetz der mittlerweile 4. Referentenentwurf des Bundesinnenministeriums (BMI) publik.

Wien

Bei der parlamentarischen Abstimmung im Nationalrat zum Informationssystemsicherheitsgesetz 2024 (NISG 2024) am 03.07.2024 konnte nicht die notwendige Zweidrittelmehrheit erzielt werden. Das Gesetz wurde daher vorerst nicht beschlossen.

Madrid

In Spanien ist das Ministerium für die digitale Transformation und den öffentlichen Dienst für die Umsetzung der NIS-2-Richtlinie zuständig. Die Umsetzung der Richtlinie ist bislang noch nicht erfolgt und wird gegenwärtig noch erarbeitet. Derzeit gibt es in den Medien kaum Hinweise auf den genauen Stand.