NIS-2-Richtlinie

im Überblick

Neue EU- Vorgaben für mehr Cybersicherheit

Mit der NIS-2-Richtlinie (EU) 2022/2555 gelten ab Oktober 2024 für viele Unternehmen und Organisationen in 18 Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten – auch für viele, die bisher nicht betroffen waren.

Was ist die NIS - 2 - Richtlinie?

  • NIS = Netzwerk- und Informationssicherheit

  • Ziel: hohes gemeinsames Cybersicherheitsniveau innerhalb der EU

  • Gibt Mindeststandard vor, d. h. Länder dürfen strengere Vorschriften erlassen

Ab wann gilt NIS - 2 ?

  • Seit 2023 auf EU- Ebene in Kraft

  • Bis zum 17. Oktober 2024 in nationales Recht umzusetzen

  • Deutsches NIS2- Umsetzungsgesetz liegt als Referentenentwurf vor

Wen betrifft NIS - 2 ?

Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanz.

Einige unabhängig von ihrer Größe (z.B. Teile der digitalen Infrastruktur und öffentlichen Verwaltung, alleinige Anbieter, KRITIS)

Was müssen betroffene Unternehmen tun?

Maßnahmen zum Risikomanagement für Cybersicherheit umsetzen:

  • Konzepte für Risikoanalyse und Sicherheit für Informationssysteme

  • Prävention, Erkennung und Bewältigung von Sicherheitsvorfällen

  • Business Confinuity (z. B. Backup Management) und Krisenmanagement

  • Sicherheit in der Lieferkette

  • Sicherheit bei Einkauf, Entwicklung und Wartung der IT- Systeme

  • Bewertung der Wirksamkeit der Maßnahmen

  • Cyberhygiene (z. B. Patchmanagement/ Updates) und Schulung in Cybersicherheit

  • Kryptografie und Verschlüsselung

  • Personalsicherheit, Zugriffskontrolle und Asset Management

  • Multi- Faktor- Authentifizierung oder kontinuierliche Authentifizierung

  • Gesicherte Sprach-. Video- und Textkommunikation

  • ENTWURF deutsches Gesetz: nur zertifizierte IKT- Produkte und - Dienste dürfen genutzt werden

Verantwortung der Geschäftsführung

  • muss Umsetzung der Maßnahmen überwachen und haftet persönlich für Verstöße

  • muss an Schulungen teilnehmen und diese den Beschäftigten anbieten

Erhebliche Sicherheitsvorfälle Behördlich melden

  • innerhalb von 24h ab Kenntnis Frühwarnung an die Behörde

  • innerhalb von drei Tagen ein ausführlicher Bericht

  • nach einem Monat ein Fortschritts-/ Abschlussbericht

Weitere Informationen finden Sie hier: NIS-2 Whitepaper

Anmeldung G-DATA Academy: Cyber Defense Awareness Trainings (gdata.de)