NIS2, Network and Information Systems Directive 2, setzt Mindeststandards für Cybersicherheit in der EU. Seit dem 27. Dezember 2022 in Kraft, betrifft es ab Oktober 2024 Unternehmen ab 50 Mitarbeitern und verschärft Strafen für Nichteinhaltung auf bis zu 2 % des Umsatzes oder 10 Millionen Euro. In Deutschland sind 29.500 Unternehmen betroffen. NIS2 unterteilt sie in „Essential Entities“ und „Important Entities“, um die Sicherheit kritischer Sektoren zu gewährleisten. Bereiten Sie Ihr Unternehmen vor und erfahren Sie, wie NIS2 Ihr Unternehmen betrifft.
Die Richtlinie unterscheidet zwischen 11 wesentlichen (Essential) und 7 wichtigen (Important) Sektoren.
Wesentlich = unterliegen einer proaktiven Aufsicht durch das BSI Wichtig = geringeres Strafmaß und reaktive Aufsicht durch das BSI
Die Richtlinie richtet sich vor allem an mittlere und große Unternehmen.
Mittel: 50-250 Beschäftigte oder über € 10 Mio. Umsatz oder Bilanzsumme
Groß: mehr als 250 Beschäftigte oder mehr als € 50 Mio. Umsatz und ab € 43 Mio. Bilanz
Während die Einstufung in manchen Bereichen eindeutig ist, so gibt es in einigen Bereichen viele Unsicherheiten. Dazu zählt vor allen das produzierende Gewerbe. Hier erfolgt die Einstufung anhand des NACE Codes und nur Unternehmen aus den Klassen NACE-C 26, 27, 28, 29, 30 und Medizinprodukte und In-vitro-Diagnostika sind betroffen.
Aber auch wenn Sie nicht unmittelbar betroffen sind, kann es sein, dass ein Kunde oder Partner Sie über die Sicherheit in der Lieferkette mit in die Verantwortung nimmt.
NIS-2 regelt, dass Geschäftsleitung Maßnahmen billigen und überwachen muss. Zudem müssen Geschäftsführer nachweisen, dass die sich für Cybersicherheit schulen lassen.
Die Entwürfe in Deutschland sehen derzeit auch eine persönliche Haftung für Bußgelder für Verstöße gegen die NIS-2 vor.
Betroffene Unternehmen in der EU stehen vor der Herausforderung, die Cybersecurity-Maßnahmen gemäß NIS2 umzusetzen, um die IT und Netzwerke ihrer kritischen Dienstleistungen zu schützen.
Bereit für eine gründliche Überprüfung? Mit der Network and Information Security Directive (EU) 2022/2555 (NIS2-Richtlinie) erweitert sich der Kreis der betroffenen Unternehmen und die Cybersicherheitsanforderungen verschärfen sich deutlich. Geschäftsführerverantwortlichkeit ist ein zentrales Thema. Erfahren Sie, wie Sie die NIS2-Richtlinie erfolgreich umsetzen können. Starten Sie Ihren NIS2-Check, um die Einhaltung und Sicherheit Ihres Unternehmens zu gewährleisten.
Unterliegend der NIS2-Richtlinie sind Unternehmen, die innerhalb der EU Dienstleistungen anbieten oder tätig sind. Diese Verpflichtung erstreckt sich auf Unternehmen mit über 50 Mitarbeitern und einem Jahresumsatz oder einer Jahresbilanzsumme von über 10 Millionen Euro, die einem der kritischen Sektoren angehören. Erfahren Sie Ihre Relevanz mit unserer Überprüfung.
Jenseits von angemessener Führung und Schulungen für Sensibilisierung in Sachen Cybersicherheit, legt die NIS2-Richtlinie für Unternehmen klare Vorgaben fest bezüglich Risikomanagement, Sicherheitsvorkehrungen und Bewältigung von Sicherheitsvorfällen. Die notwendigen individuellen Schritte können wir gemeinsam mit den Unternehmen erörtern und definieren.
Im Einklang mit den Vorschriften von NIS2 ist es erforderlich, dass Unternehmen die Implementierung der erforderlichen technischen, organisatorischen und rechtlichen Maßnahmen sicherstellen und überwachen. Im Falle von Verstößen können Führungskräfte individuell für ihre Einhaltung zur Verantwortung gezogen werden.
Sowohl die rechtliche Landschaft als auch betriebsinterne Abläufe sind ständig im Fluss und können durch veränderte Bedingungen beeinflusst werden. Daher ist es notwendig, dass Unternehmen eine kontinuierliche Überwachung der gesetzlichen Vorschriften sowie ihrer internen Organisationsstrukturen vornehmen und angemessen auf etwaige Anpassungen reagieren.