Umsetzung der NIS2-Vorschriften

NIS2 (Network and Information Security Directive) ist eine neue EU-Richtlinie zur Stärkung der Cybersicherheit und Resilienz.

Welche Unternehmen betrifft es?

1. Branchenzugehörigkeit: Unternehmen aus kritischen und zunehmend kritischen Branchen.
2. Betroffene Sektoren u.a.:
   1. Energie
   2. Transport
   3. Bankwesen
   4. Gesundheitswesen
   5. Digitale Infrastruktur
   6. Cloud-Dienste
   7. Online-Marktplätze
   8. ….
3. Unternehmen (groß)
   1. ab 250 Mitarbeitern
   2. oder einem Umsatz von mindestens 50 Mio. EUR
   3. und einer Bilanzsumme von mindestens 43 Mio. EUR
4.  Unternehmen (mittel)
   1. zwischen 50-249 Mitarbeitern
   2. oder einem Umsatz unter 50 Mio. EUR
   3. und einer Bilanzsumme unter 43 Mio. EUR

Welche Unternehmen sind nicht betroffen?

1. Unternehmen (kleinst) mit weniger als 10 Mitarbeitern und einem Umsatz/Bilanzsumme von weniger als 2 Mio. EUR
2. Unternehmen (klein) mit 10-50 Mitarbeitern und einem Umsatz/Bilanzsumme von weniger als 10 Mio. EUR

Welche Maßnahmen müssen getroffen werden?

Unternehmen müssen Richtlinien für Risiken und Informationssicherheit erstellen. Hierzu gehören u.a.

1. Ein Incident Management
2. Business Continuity Management
3. Berücksichtigung der Sicherheitsanforderungen bei der Lieferkette und der Beschaffung von IT und Netzwerksystemen
4. Die Identifizierung und Bewältigung von Sicherheitsverstößen
5. Gewährleistung einer angemessenen Widerstandsfähigkeit gegen Cyberangriffe

Welche Konsequenzen hat die Nichteinhaltung der NIS2-Richtlinie?

Die Nichteinhaltung der NIS2-Richtlinie kann zu Sanktionen und Bußgeldern führen. Die genauen Strafen können je nach Land variieren. Unternehmen sind dringend dazu aufgerufen, die Anforderungen der NIS2-Richtlinie ernst zu nehmen, um rechtliche und finanzielle Konsequenzen zu vermeiden.

Checkliste:

1. Risikomanagement und Informationssicherheit: Entwickle umfassende Richtlinien und Prozesse zur Risikobewertung, Daten- und Systemsicherheit, inklusive Maßnahmen gegen Cyberangriffe.
2. Business Continuity und Incident Response: Implementiere Business Continuity Management mit regelmäßigem Backup, Disaster Recovery und Krisenmanagement sowie Systeme zur Prävention, Erkennung und Bewältigung von Cyberangriffen.
3. Sicherheitsstandards in Beschaffung und Lieferkette: Gewährleiste hohe Sicherheitsstandards in der Beschaffung von IT- und Netzwerksystemen sowie bei der Auswahl von Lieferanten und Partnern, einschließlich sicherer Produktentwicklung.
4. Mitarbeiter, Zugangskontrolle und Asset Management: Fördere Cybersicherheitsbewusstsein unter Mitarbeitern, implementiere strenge Zugangskontrollen und ein effektives Asset Management für IT-Ressourcen.
5. Technologie und Kommunikationssicherheit: Setze auf moderne Verschlüsselung und Kryptographie, Multi-Faktor-Authentifizierung, sichere Kommunikationsmethoden und Notfall-Kommunikationssysteme, um die Datenintegrität und Kommunikationssicherheit zu gewährleisten.

Sanktionen:

Neben der erweiterten Berichtspflicht für Vorfälle intensiviert NIS 2 die Strafen für die Nichteinhaltung der Richtlinien. Für bedeutende Einrichtungen können die Geldstrafen bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes erreichen, je nachdem, welcher Wert größer ist. Für relevante Einrichtungen liegt die Obergrenze der Geldbußen bei 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Fazit:

Die NIS2-Richtlinie erhöht die Sicherheitsanforderungen für kritische Infrastrukturen in der EU, erweitert die Meldepflichten und führt strengere Sanktionen für Unternehmen in Schlüsselsektoren ein.

Brauchen Sie Hilfe?

Das IT-Compliance Team der SONNTAG IT Solutions hilft Ihnen gerne bei der Umsetzung der NIS2 Richtlinie. Vereinbaren Sie jetzt eine kostenlose Erstberatung!

Ihre Ansprechpartner:

Felix Hofstetter

Mit dem Versand der E-Mail übermitteln Sie freiwillig Ihre Kontaktdaten und weiteren Angaben an die SONNTAG IT Solutions. Diese kann sich daraufhin mit Ihnen bezüglich der Serviceleistungen proaktiv in Verbindung setzen.