NIS-2 Richtlinie
Die Richtlinie 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union soll die Cyberresilienz wichtiger Unternehmen stärken.


Die Richtlinie wurde beschlossen um auf die wachsenden Bedrohungen durch Cyberangriffe und die zunehmende Abhängigkeit von digitalen Technologien zu reagieren.
- Die neue Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) definiert EU-weite verbindliche Mindeststandards für technische und organisatorische Maßnahmen in Unternehmen.
- Die Richtlinie tritt mit Beschluss des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) in Kraft und zielt darauf ab, den dramatisch zunehmenden Cyber-Bedrohungen entgegenzuwirken und Lieferketten zu schützen.
- Betroffene Unternehmen sind verpflichtet, die gesetzlichen Vorgaben zur Cybersicherheit umzusetzen. Bei Nichteinhaltung oder Verstößen drohen erhebliche Bußgelder.
- Betroffen sind Unternehmen die mehr als 50 Mitarbeiter oder mehr als 10 Millionen Umsatz haben und in den unten aufgeführten Branchen und Sektoren tätig sind.
Betroffene Branchen und Sektoren
Unternehmen in den folgenden Sektoren sind von NIS-2 betroffen und müssen die EU-Richtlinie zur Netzwerk- und Informationssicherheit verbindlich umsetzen.
Sekoren hoher Kritikalität:
→ Energie
→ Transport und Verkehr
→ Bankwesen
→ Finanzmarktinfrastrukturen
→ Gesundheitswesen
→ Trinkwasserversorgung
→ Abwasserbeseitigung
→ Digitale Infrastruktur
→ IKT-Dienstverwaltung (B2B)
→ Öffentliche Verwaltung
→ Weltraum
Sonstige kritische Sektoren:
→ Post- und Kurierdienste
→ Abfallbewirtschaftung
→ Produktion, Herstellung und Handel
mit chemischen Stoffen
→ Produktion, Verarbeitung und Vertrieb
von Lebensmitteln
→ Verarbeitendes Gewerbe/Herstellung
von Waren
→ Anbieter digitaler Dienste
→ Forschung
Welche Maßnahmen sind erforderlich?
Die Geschäftsführung ist verantwortlich für die Schaffung einer Cybersicherheitskultur, das Bereitstellen von Ressourcen und das Ergreifen proaktiver Maßnahmen zum Schutz der Informationssysteme und Netzwerke.
Einführung eines Sicherheitssystems
- Entwicklung eines Sicherheitskonzepts zur
- Identifizierung, Analyse und Beseitigung von Bedrohungen.
- Festlegung von Sicherheitsrichtlinien und -standards.
- Regelmäßige Risikobewertungen zur Identifizierung von Bedrohungen und Schwachstellen.
- Implementierung technischer und organisatorischer Maßnahmen zur Risikominderung.
- Einrichtung eines effektiven Incident-Management Prozesses.
- Entwicklung eines Business-Continuity-Managements zur Sicherstellung des Betriebs bei Vorfällen.
- Identifizierung von Schlüsselprozessen und Implementierung von Wiederherstellungsmaßnahmen.
- Einrichtung eines Meldewesens für Sicherheitsvorfälle.
- Schulung der Mitarbeiter zu Meldungen von Sicherheitsvorfällen.
- Überprüfung der Sicherheitspraktiken von Lieferanten und Dienstleistern.
- Implementierung von Sicherheitsanforderungen zur Minimierung von Risiken.
- Kontinuierliche Überwachung der Systeme zur frühzeitigen Erkennung von Sicherheitsvorfällen.
- Schulung der Mitarbeiter und Durchführung von Sicherheitsübungen.
Registrierung über BSI
Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten des nationalen Umsetzungsgesetzes über die Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) registrieren.
Bewertung der eigenen Cybersicherheitskapazitäten
Sie müssen darlegen, wie Ihre Cybersicherheit organisiert ist und wo weitere technologische Verbesserungen geplant sind. Beachten Sie, dass Behörden Vor-Ort-Kontrollen und anlassbezogene Prüfungen durchführen können.
Meldepflicht beachten
Im Falle eines Sicherheitsvorfalls muss dieser nicht nur behoben, sondern auch innerhalb von 24 Stunden nach seiner Entdeckung den zuständigen Behörden gemeldet werden. Ein Abschlussbericht ist spätestens nach einem Monat einzureichen.
Sanktionen und Haftung vermeiden
Verstöße gegen die gesetzlichen Vorgaben können Bußgelder von bis zu 2 % des Jahresumsatzes nach sich ziehen. Bei Nichtumsetzung haften Leitungsorgane möglicherweise mit ihrem privaten Vermögen für entst. Schäden.
Ihr externer Informationssicherheitsbeauftragter (ISB) für München und Deutschland
Qualifizierte Experten
Chief Information Security Officer (DGI) | IT-Sicherheitsbeauftragter (DGI)
Certified Information Security Manager (CISM) | Certified Ethical Hacker (CEH)
Certified in Risk and Information Systems Control (CRISC)
Auch in Ihrer Nähe
Augsburg | Berlin | Bielefeld | Bochum | Bremen | Dortmund | Dresden | Düsseldorf | Erfurt | Essen | Frankfurt | Hamburg | Hannover | Ingolstadt | Kiel | Köln | Leipzig | Magdeburg | Mainz | Mannheim | München | Nürnberg | Potsdam | Regensburg | Rostock | Saarbrücken | Stuttgart | Würzburg