Die neue NIS2-Richtlinie

Die Network and Information Security Directive (NIS) ist eine EU-Richtlinie, die darauf abzielt, die Cybersicherheit in der gesamten Europäischen Union zu stärken. Nach der Einführung von NIS 1 wurde im Jahr 2021 die NIS 2-Richtlinie verabschiedet, die eine Erweiterung und Aktualisierung der ursprünglichen Bestimmungen darstellt. Unternehmen, insbesondere solche im Bereich der kritischen Infrastrukturen und digitalen Dienstleistungen, sollten die Anforderungen von NIS 2 genau verstehen, um ihre Sicherheitspraktiken entsprechend anzupassen.

NIS 2 baut auf den Grundlagen von NIS 1 auf und erweitert den Anwendungsbereich auf neue Sektoren und Dienstleistungen. Die Richtlinie zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu stärken, indem sie klare Anforderungen an die Cybersicherheitsmaßnahmen von Unternehmen stellt. Zu den Hauptzielen von NIS 2 gehören die Verbesserung der Zusammenarbeit zwischen den Mitgliedstaaten, die Förderung von Cybersicherheitsinvestitionen und die Stärkung der Meldepflicht für Sicherheitsvorfälle.

Wen betrifft die NIS2-Richtlinie?

Die NIS2-Richtlinie teilt betroffene Unternehmen in zwei verschiedene Kategorien auf, basierend auf ihrer Größe und dem Sektor, in dem sie tätig sind.

Besonders wichtige Sektoren mit hoher Kritikalität

  1. Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff) 
  2. Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
  3. Bankwesen (Kreditinstitute)
  4. Finanzmarktinfrastruktur (Handelsplätze, Zentrale Gegenpartien)
  5. Gesundheit (Gesundheitsdienstleister; EU Labore, Medizinforschung, Pharmazeutik, Medizingeräte)
  6. Trinkwasser (Wasserversorgung)
  7. Abwässer (Abwasserentsorgung)
  8. Digitale Infrastruktur 
  9. IKT-Dienstleistungsmanagement (B2B)

  10. Öffentliche Verwaltungen (Zentralregierung, regionale Regierung)
  11. Weltraum (Bodeninfrastruktur)

Wichtige Einrichtungen (Sonstige kritische Sektoren)

  1. Post- und Kurierdienste (Postdienste)
  2. Abfallwirtschaft (Abfallbewirtschaftung)
  3. Herstellung, Produktion und Vertrieb von Chemikalien
  4. Lebensmittelproduktion, -verarbeitung und -vertrieb
  5. Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten
  6. Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke)
  7. Forschung (Forschungsinstitute)

Welche Anforderungen müssen erfüllt werden?

  1. Risikomanagement und Sicherheitsmaßnahmen: Unternehmen müssen ein angemessenes Risikomanagement etablieren und entsprechende Sicherheitsmaßnahmen implementieren, um Bedrohungen zu erkennen, zu bewerten und ihnen entgegenzuwirken.
  2. Incident Reporting: NIS 2 verschärft die Meldepflicht für Sicherheitsvorfälle. Unternehmen, die von Cyberangriffen betroffen sind, müssen diese unverzüglich den nationalen Behörden melden und kooperieren, um die Auswirkungen zu minimieren.
  3. Mindestsicherheitsmaßnahmen: Die Richtlinie definiert Mindestsicherheitsmaßnahmen, die von Unternehmen umgesetzt werden müssen, um ein angemessenes Schutzniveau zu gewährleisten. Dazu gehören technische und organisatorische Maßnahmen wie Zugangskontrollen, Verschlüsselung und regelmäßige Sicherheitsüberprüfungen.
  4. Sicherheitskultur und Schulungen: Unternehmen werden ermutigt, eine starke Sicherheitskultur zu fördern und ihre Mitarbeiter regelmäßig in Bezug auf Cybersicherheit zu schulen. Ein gut informiertes und sensibilisiertes Personal ist ein wichtiger Bestandteil der Verteidigung gegen Cyberbedrohungen.

Wir unterstützen Sie bei der Umsetzung von NIS 2

Unser Ziel ist es, Unternehmen dabei zu unterstützen, die Anforderungen von NIS 2 effektiv umzusetzen, ihre Cybersicherheit zu stärken und ihre digitalen Assets vor den zunehmenden Cyberbedrohungen zu schützen. Mit unserem Fachwissen und unserer Erfahrung helfen wir Unternehmen, ihre Sicherheitsziele zu erreichen und ein robustes Cybersicherheits-Framework aufzubauen, das den Anforderungen von NIS 2 gerecht wird.