NIS2-Richtlinie

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die aktualisierte EU-Richtlinie zur Cybersicherheit, die am 16. Januar 2023 in Kraft trat und bis Oktober 2024 in nationales Recht überführt werden muss. Sie ersetzt die bisherige NIS-Richtlinie (2016) und verfolgt das Ziel, das Sicherheitsniveau kritischer Infrastrukturen, digitaler Dienste und öffentlicher Stellen europaweit zu erhöhen.

NIS2 erweitert den Geltungsbereich deutlich: Neben klassischen KRITIS-Betreibern (z. B. Energie, Wasser, Gesundheit) werden künftig auch Unternehmen in Bereichen wie IT-Dienstleistungen, Cloud, HostingHosting Hosting bezeichnet die Bereitstellung von Speicherplatz, Rechenleistung und Infrastruktur für Websites, Anwendungen oder Datenbanken auf exte... Mehr, Rechenzentren, Hersteller sicherheitsrelevanter Produkte und Beratungsunternehmen verpflichtet, umfangreiche Cybersicherheitsmaßnahmen und Meldepflichten umzusetzen.

Kerninhalte der NIS2-Richtlinie:

• Erweiterter Anwendungsbereich: Gilt für deutlich mehr Unternehmen (ab 50 MA oder 10 Mio. € Umsatz), darunter IT-Dienstleister, Cloud-Anbieter und Softwarehersteller
• Cybersicherheitsanforderungen: Pflicht zur Einführung von Risikomanagement-Maßnahmen, Incident ResponseIncident Response (Reaktion auf Sicherheitsvorfälle) Incident Response bezeichnet den strukturierten Prozess zur Erkennung, Analyse, Eindämmung und ... Mehr, Business ContinuityBusiness Continuity (Geschäftskontinuität) Business Continuity umfasst alle strategischen und operativen Maßnahmen, mit denen ein Unternehmen auch ... Mehr, Backup, Verschlüsselung, Zugriffskontrolle etc.
• Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden an nationale Behörden gemeldet werden
• Haftung & Sanktionen: Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, persönliche Haftung der Geschäftsführung möglich
• Aufsichtsmaßnahmen: Regelmäßige Audits, Sicherheitsüberprüfungen und Nachweispflichten

Was Unternehmen jetzt tun müssen:

• Geltungsbereich prüfen: Fällt das Unternehmen unter „wesentliche“ oder „wichtige Einrichtung“?
• Gap-Analyse durchführen: Vergleich bestehender Maßnahmen mit den Anforderungen der NIS2
• RisikomanagementRisikomanagement Risikomanagement ist ein fester Bestandteil professionellen Projektmanagements. Es umfasst die systematische Identifikation, Bewertun... Mehr und Sicherheitsmaßnahmen einführen: z. B. gemäß ISOISO ISO steht für die „International Organization for Standardization“ – eine weltweit tätige Organisation zur Entwicklung und Veröffentlichu... Mehr 27001 oder BSI-Grundschutz
• Incident-Response-Prozesse und Meldeketten etablieren

Typische betroffene Branchen:

• Cloud-Computing, Rechenzentren, Hosting
• Telekommunikation, Gesundheitswesen, Transport
• Softwareentwicklung, Beratung, industrielle Produktion

Verwandte Begriffe:

ISO 27001, ISO 27002, KRITIS, BSIBSI IT-Grundschutz Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Framework zur systematis... Mehr IT-Grundschutz, Business Continuity, Incident Response, Risikomanagement, DSGVODSGVO (Datenschutz-Grundverordnung) Die DSGVO (Datenschutz-Grundverordnung, engl. GDPR – General Data Protection Regulation) ist die zentrale europ... Mehr, Informationssicherheit