3 minProzess­automationVeröffentlicht am 18. September 2024

NIS2-Richtlinie: Ab 2025 drohen Sanktionen

Gefällt mir
Bookmark
Intro

Die NIS2 Richtlinie zur Cybersicherheit der kritischen Infrastruktur und wichtiger Dienste tritt in Kraft. Sie erhöht die Anforderungen an Unternehmen deutlich und weitet den Kreis der Betroffenen aus. Außerdem verschärft sie die Sanktionen.

Wann tritt die NIS2 in Kraft?

Die NIS2-Richtlinie (Network and Information Security Directive) ist am 16. Januar 2023 in Kraft getreten. Diese neue Richtlinie ist eine Weiterentwicklung der ursprünglichen NIS 1-Richtlinie, die im Juli 2016 verabschiedet wurde und bis Mai 2018 von den Mitgliedstaaten in nationales Recht umgesetzt werden musste. Die NIS2-Richtlinie wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und trat am 16. Januar 2023 in Kraft. Sie zielt darauf ab, die Mängel und Schwächen der NIS1-Richtlinie zu beheben und ein noch höheres Maß an Cybersicherheit der EU-Mitgliedstaaten zu gewährleisten. Die Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Vorschriften der NIS2-Richtlinie in nationales Recht umzusetzen.

Was ist die NIS2-Richtlinie?

Das NIS2 Umsetzungsgesetz ist eine Rechtsvorschrift der Europäischen Union, die darauf abzielt, ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der gesamten EU zu gewährleisten. Sie stellt eine Weiterentwicklung der ursprünglichen NIS1-Richtlinie dar und wurde eingeführt, um die sich ständig weiterentwickelnden Bedrohungen im Bereich der Cybersicherheit besser zu adressieren.

NIS2: Wer ist betroffen?

Sie fragen sich: Wer muss die NIS2 umsetzen? Wir sagen es Ihnen!

Die NIS2 Anforderungen betreffen mehrere Kategorien von Unternehmen und Organisationen, die als kritische Infrastruktur betrachtet werden. Zu den betroffenen Sektoren gehören:

1.

Energie z.B. Stromversorgung, Ölversorgung

2.

Transport z.B. Luftverkehr, Straßentransport

3.

Bankwesen z.B. Kreditinstitute

4.

Finanzmarktinfrastrukturen z.B. Handelsplätze, zentrale Gegenparteien (Clearingstellen)

5.

Gesundheitswesen z.B. Krankenhäuser, Primärversorgungseinrichtungen

6.

Trinkwasserversorgung und -entsorgung

7.

Anbieter digitaler Dienste z.B. Online-Marktplätze, Online-Suchmaschinen

Durch NIS2 wurden außerdem Sektoren wie öffentliche Verwaltungen, Weltraum, Post- und Kurierdienste und Abfallwirtschaft hinzugefügt. Im Allgemeinen sind kleinere und mittlere Unternehmen von der NIS2-Richtlinie ausgenommen, es sei denn, sie sind als Anbieter wesentlicher und wichtiger Einrichtungen oder digitaler Dienste tätig.

Diese Sektoren werden als kritisch betrachtet, weil sie essenziell für das Funktionieren der Gesellschaft und der Wirtschaft sind. Ihre Störung oder der Ausfall hätte weitreichende und schwerwiegende Auswirkungen auf das öffentliche Leben, die Sicherheit und die wirtschaftliche Stabilität.

Sie wollen wissen, ob Ihre Branche von der NIS2 betroffen ist? Dann klicken sie hier.

Welche Auswirkungen hat die NIS2 auf Ihr Unternehmen?

Betroffene Unternehmen müssen höhere Sicherheitsstandards einhalten, einschließlich technischer und organisatorischer Maßnahmen zum Schutz von Netzwerken und Informationssystemen. Die Multi-Faktor-Authentifizierung ist eine technische Maßnahme, die die Sicherheit erhöht, indem sie zusätzliche Verifizierungsschritte erfordert. Dadurch kann das zentrale Ziel der NIS2-Richtlinie erreicht werden.

Zudem hat die NIS2-Richtlinie einen erheblichen Einfluss auf digitale Infrastrukturen, da sie darauf abzielt, ein hohes Maß an Cybersicherheit zu gewährleisten.

Ein formelles Risikomanagementverfahren muss implementiert werden, um Risiken für die Netzwerksicherheit zu identifizieren und zu mindern.

Es wird zudem strenge Durchsetzungsmaßnahmen und Sanktionen für die Nichteinhaltung der Richtlinie geben. Die Meldung von Sicherheitsvorfällen muss schnell und effektiv geschehen. Die Richtlinie verlangt von Unternehmen, sicherheitsrelevante Vorfälle innerhalb von 24 Stunden an die zuständigen Behörden zu melden und innerhalb von 72 Stunden detaillierte Informationen bereitzustellen.

Vorgehen beim Melden von Zwischenfällen

Mitarbeiter des Unternehmens müssen hinsichtlich der neuen Sicherheitsanforderungen und Verfahren geschult werden, um sicherzustellen, dass sie die Richtlinie verstehen und umsetzen können.

Hier finden Sie eine NIS2 Checkliste zur Einhaltung der Vorschriften

Welche Maßnahmen müssen Unternehmen ergreifen?

Welche technischen und organisatorischen Maßnahmen Sie umsetzen müssen, erfahren Sie hier.

In einer spannenden Folge des PROCESS-Podcasts spricht Richard Biala, Cyber Security Portfolio Manager bei ABB, über die Cybersecurity und die NIS2-Richtlinie.

Zum Podcast