NIS2-Richtlinie und Cybersecurity:
Was Unternehmen tun müssen
Die NIS2-Richtlinie führt Cybersecurity-Pflichten für Tausende von Unternehmen in Europa ein. Das NIST CSF 2.0 ist das ideale Instrument zur Umsetzung.
Was ist die NIS2-Richtlinie
Die Richtlinie (EU) 2022/2555, bekannt als NIS2 (Network and Information Security Directive), ist die europäische Verordnung, die Maßnahmen für ein gemeinsames hohes Cybersecurity-Niveau in der gesamten Europäischen Union festlegt.
Am 27. Dezember 2022 veröffentlicht und in den EU-Mitgliedstaaten in nationales Recht umgesetzt, ersetzt die NIS2 die vorherige NIS-Richtlinie (2016), erweitert den Kreis der verpflichteten Organisationen erheblich und führt strengere Anforderungen sowie höhere Sanktionen ein.
Ziel ist es sicherzustellen, dass Organisationen, die wesentliche oder wichtige Dienste erbringen, angemessene Maßnahmen ergreifen, um Sicherheitsvorfälle zu verhindern, zu bewältigen und darauf zu reagieren.
Wer muss sich anpassen
Die NIS2 gilt für zwei Kategorien von Einrichtungen:
Wesentliche Einrichtungen
- • Energie (Strom, Gas, Öl, Wasserstoff)
- • Verkehr (Luft-, Schienen-, See-, Straßenverkehr)
- • Gesundheitswesen (Krankenhäuser, Labore, Pharmazie)
- • Trinkwasser und Abwasser
- • Digitale Infrastrukturen und IKT-Dienste
- • Öffentliche Verwaltung
- • Weltraum
- • Banken- und Finanzsektor
Wichtige Einrichtungen
- • Post- und Kurierdienste
- • Abfallwirtschaft
- • Lebensmittelproduktion und -vertrieb
- • Fertigung (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeuge)
- • Anbieter digitaler Dienste
- • Wissenschaftliche Forschung
- • Chemie
Generell gilt sie für mittlere und große Unternehmen (mehr als 50 Beschäftigte oder mehr als 10 Millionen Euro Umsatz), die in den genannten Sektoren tätig sind. Aber auch kritische KMU können in den Anwendungsbereich fallen.
Die wichtigsten Anforderungen der NIS2
Cybersecurity-Governance
Die Unternehmensführung ist direkt verantwortlich. Sie muss die Sicherheitsmaßnahmen genehmigen und eine spezifische Schulung absolvieren.
Risikomanagement
Ergreifen verhältnismäßiger technischer und organisatorischer Maßnahmen: Sicherheitsrichtlinien, Vorfallmanagement, Geschäftskontinuität.
Vorfallmeldung
Pflicht zur Meldung an das nationale CSIRT innerhalb von 24 Stunden nach Erkennung eines erheblichen Vorfalls, mit vollständigem Bericht innerhalb von 72 Stunden.
Lieferkettensicherheit
Bewertung und Management der Cyberrisiken von Lieferanten und Partnern in der Lieferkette.
Verschlüsselung und Zugriffskontrolle
Einsatz von Verschlüsselung, Multi-Faktor-Authentifizierung und Verwaltung von Identitäten und Zugriffsrechten.
Sanktionen
Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen. Bis zu 7 Millionen oder 1,4 % für wichtige Einrichtungen.
Wie das NIST CSF 2.0 bei der NIS2-Umsetzung hilft
Das NIST Cybersecurity Framework 2.0 ist perfekt auf die Anforderungen der NIS2 abgestimmt. Seine 6 Funktionen decken alle von der Richtlinie geforderten Bereiche ab:
| NIS2-Anforderung | NIST CSF 2.0 Funktion |
|---|---|
| Governance und Verantwortung der Geschäftsführung | GOVERN |
| Risikoanalyse und Asset-Inventar | IDENTIFY |
| Sicherheitsmaßnahmen, Verschlüsselung, Zugriffskontrolle | PROTECT |
| Überwachung und Bedrohungserkennung | DETECT |
| Vorfallmanagement und -meldung | RESPOND |
| Geschäftskontinuität und Wiederherstellung | RECOVER |
Mit unserem Assessment auf Basis des NIST CSF 2.0 erhalten Sie eine sofortige Bestandsaufnahme des Konformitätsniveaus Ihrer Organisation in Bezug auf die NIS2-Anforderungen und identifizieren die Bereiche, in denen vorrangig gehandelt werden muss.
Fristen und Zeitplan
17. Oktober 2024 — Frist für die Umsetzung der NIS2 in den EU-Mitgliedstaaten
2024 — Umsetzung in nationales Recht in den einzelnen EU-Mitgliedstaaten
2025–2026 — Umsetzungszeitraum für betroffene Organisationen mit schrittweiser Implementierung der Sicherheitsmaßnahmen
Warten Sie nicht bis zum letzten Moment. Die NIS2-Umsetzung erfordert Zeit für die Risikobewertung, die Implementierung technischer Maßnahmen und die Schulung des Personals. Beginnen Sie noch heute mit einer Bewertung Ihres aktuellen Stands.
Überprüfen Sie Ihr Konformitätsniveau
Schließen Sie das NIST CSF 2.0 Assessment ab und erfahren Sie, wie gut Ihr Unternehmen auf die NIS2 vorbereitet ist.