NIS-2-Richtlinie
im Überblick
Neue EU- Vorgaben für mehr Cybersicherheit
Mit der NIS-2-Richtlinie (EU) 2022/2555 gelten ab Oktober 2024 für viele Unternehmen und Organisationen in 18 Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten – auch für viele, die bisher nicht betroffen waren.
Was ist die NIS - 2 - Richtlinie?
NIS = Netzwerk- und Informationssicherheit
Ziel: hohes gemeinsames Cybersicherheitsniveau innerhalb der EU
Gibt Mindeststandard vor, d. h. Länder dürfen strengere Vorschriften erlassen
Ab wann gilt NIS - 2 ?
Seit 2023 auf EU- Ebene in Kraft
Bis zum 17. Oktober 2024 in nationales Recht umzusetzen
Deutsches NIS2- Umsetzungsgesetz liegt als Referentenentwurf vor
Wen betrifft NIS - 2 ?
Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanz.
Einige unabhängig von ihrer Größe (z.B. Teile der digitalen Infrastruktur und öffentlichen Verwaltung, alleinige Anbieter, KRITIS)


Was müssen betroffene Unternehmen tun?
Maßnahmen zum Risikomanagement für Cybersicherheit umsetzen:
Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
Prävention, Erkennung und Bewältigung von Sicherheitsvorfällen
Business Confinuity (z. B. Backup Management) und Krisenmanagement
Sicherheit in der Lieferkette
Sicherheit bei Einkauf, Entwicklung und Wartung der IT- Systeme
Bewertung der Wirksamkeit der Maßnahmen
Cyberhygiene (z. B. Patchmanagement/ Updates) und Schulung in Cybersicherheit
Kryptografie und Verschlüsselung
Personalsicherheit, Zugriffskontrolle und Asset Management
Multi- Faktor- Authentifizierung oder kontinuierliche Authentifizierung
Gesicherte Sprach-. Video- und Textkommunikation
ENTWURF deutsches Gesetz: nur zertifizierte IKT- Produkte und - Dienste dürfen genutzt werden

Verantwortung der Geschäftsführung
muss Umsetzung der Maßnahmen überwachen und haftet persönlich für Verstöße
muss an Schulungen teilnehmen und diese den Beschäftigten anbieten

Erhebliche Sicherheitsvorfälle Behördlich melden
innerhalb von 24h ab Kenntnis Frühwarnung an die Behörde
innerhalb von drei Tagen ein ausführlicher Bericht
nach einem Monat ein Fortschritts-/ Abschlussbericht
Weitere Informationen finden Sie hier: NIS-2 Whitepaper
Anmeldung G-DATA Academy: Cyber Defense Awareness Trainings (gdata.de)