Ist auch Ihr Unternehmen betroffen?

1. Was ist NIS-2?

Ab dem  17. Oktober 2024 gilt NIS-2, eine EU-weite Gesetzgebung zur Cybersicherheit. Sie verpflichtet Unternehmen, die als „Betreiber kritischer Infrastrukturen“ eingestuft sind, bestimmte Mindeststandards in Bezug auf die Sicherheit ihrer Netzwerke und Systeme zu erfüllen. Das Hauptziel der Richtlinie besteht darin, die Cyberresilienz kritischer Infrastrukturen innerhalb der EU zu stärken.

 

2. Für welche Unternehmen gilt NIS-2?

Möglicherweise sind nun auch Sie von der Richtlinie betroffen. Ursprünglich galt die NIS-Richtlinie für Unternehmen in verschiedenen Sektoren, darunter das Gesundheitswesen, die virtuelle Infrastruktur, das Transportwesen, die Wasserversorgung, digitale Dienstleister, das Bankwesen, die Finanzmarktinfrastruktur und die Energiebranche.

 

Mit NIS-2 werden zusätzliche Sektoren einbezogen. Dazu gehören:

  • Anbieter öffentlicher Kommunikationsnetze oder -dienste,
  • Unternehmen im Abwassersektor
  • Unternehmen im Bereich der Chemikalien
  • das erweiterte Gesundheitswesen (Pharma, Forschung und Entwicklung, kritische Medizinprodukte)
  • Lebensmittelproduzenten, -verarbeiter und -händler
  • Hersteller kritischer Produkte (Medizinprodukte, Computer, Elektronik, Kraftfahrzeuge)
  • digitale Anbieter (Social Networking Plattformen, Suchmaschinen, Online-Marktplätze)
  • Raumfahrt, Post- und Kurierdienste
  • Öffentliche Verwaltung
Mit NIS-2 sind auch Unternehmen mit 50 bis 250 Beschäftigten einbezogen, oder solche mit einem Jahresumsatz zwischen 10 und 50 Millionen Euro bzw. einer Bilanzsumme von mehr als 43 Millionen Euro.

3. Was genau passiert bei Versäumnis?
Unternehmen sollten die Ernsthaftigkeit der NIS-2-Richtlinie nicht unterschätzen. Bei Versäumnis drohen empfindliche Strafen und rechtliche Konsequenzen. Es liegt in der Verantwortung jedes Unternehmens, sicherzustellen, dass die für seinen Standort und seine Branche relevanten Vorschriften eingehalten werden. Die genauen Sanktionen können von Land zu Land und von Sektor zu Sektor variieren.

4. Was ist die Handlungsempfehlung?

Mit der Einführung der NIS-2-Richtlinie sind Unternehmen gefordert, ihre Sicherheitsmaßnahmen zu überprüfen und anzupassen. Hier sind einige Schritte, die Unternehmen in Angriff nehmen sollten:


1. Prüfen der Einstufung als „Netz- und Informationssystemdienst“ (NIS-Dienst): Unternehmen sollten überprüfen, ob sie als NIS-Dienst eingestuft werden. Dies betrifft Unternehmen in verschiedenen Sektoren, darunter Energieversorgung, Gesundheitswesen, Finanzdienstleistungen, Transportwesen und Telekommunikation.

2. Risikobewertung: Unternehmen sollten eine umfassende Risikobewertung durchführen, um potenzielle Angriffe und IT-Sicherheitsrisiken zu identifizieren und zu bewerten. Grundlage hierfür ist eine vollständige Erfassung und Analyse der IT-Landschaft sowie der Erfassung und Bewertung aller IT-Services.

3. Implementierung eines Sicherheitsmanagementsystems: Ein effektives Sicherheitsmanagementsystem ist entscheidend, um Sicherheitsmaßnahmen regelmäßig zu überprüfen und auf dem neuesten Stand zu halten. Ergebnisse von Sicherheitsüberprüfungen müssen an die zuständigen Behörden gemeldet werden.

 

Sprechen Sie uns an für ein IT-Consulting – wir helfen Ihnen, NIS-2 umzusetzen.