• Facebook
  • Xing
  • LinkedIn
  • Youtube
  • Mail
  • Blog
  • Presse
  • Kontakt
SAVISCON GmbH
  • SOFTWARE-LÖSUNGEN
    • GRC-COCKPIT
      • Datenschutz-Management Software
      • Hinweisgebersystem
    • BRIEF-ASSISTENT
  • BERATUNG
    • Customer Communication Management
    • Datenschutz-Management-System aufsetzen
    • Externer Datenschutzbeauftragter
  • UNSERE THEMEN
    • GRC-Management
      • Risiko-Management
      • Compliance-Management
      • Datenschutz-Management
      • IT-Sicherheit
        • Schutzbedarfsanalyse
    • Enterprise Content Management
      • Customer Communication Management
      • Dokumentenmanagement
  • SERVICE
    • Whitepaper
    • Webinare
      • Live: Digitales Hinweisgebersystem
      • IT-Grundschutz (BSI | Recplast GmbH)
      • Digitales Hinweisgebersystem
      • Lieferkettengesetz digital umsetzen
    • Newsletter
  • ÜBER UNS
    • Über SAVISCON
    • SAVISCON-Team
    • Code of Conduct
    • Unsere Partner
    • Referenzen
    • Jobs
  • Kostenfreie Erstberatung
  • Menü Menü
Sinnbild für Cyber Security.

EU NIS 2 Cyber Security

Januar 19, 2023/in IT-Sicherheit/von Ingo Simon

Die neue EU-Richtlinie für Cybersicherheit

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Die NIS-Richtlinie für Netz- und Informationssicherheit von 2016 wird abgelöst. Seit dem 10. November 2022 ist die EU NIS2-Direktive auf europäischer Ebene beschlossene Sache. Bis spätestens zum 17. Oktober 2024 werden alle 27 Mitgliedstaaten der Union nun Umsetzungskompetenz beweisen und die neue Richtlinie für Cybersecurity mit einer Übergangsfrist von 21 Monaten in nationales Recht umwandeln müssen. Die Entscheider in Unternehmen werden im NIS2-Gesetz als sogenannte „management bodies“ haftbar gemacht und sollten sich daher bereits jetzt mit diesem Thema auseinandersetzen und die entsprechende Umsetzung in ihrer Organisation proaktiv vorantreiben.

Welche Kernanforderungen NIS2 beinhaltet und an welchen Betroffenenkreis sie adressiert ist, lesen Sie im folgenden Blogbeitrag:

NIS und IT-Sicherheitsgesetz

Wie bereits die Vorgängerdirektive NIS, die in Deutschland im ersten IT-Sicherheitsgesetz von 2017 Anwendung fand, wird in Zukunft NIS2 den regulatorischen Rahmen zur Sicherstellung der Cybersicherheit bei Betreibern Kritischer Infrastrukturen (KRITIS) bilden.

Um den stetig wachsenden IT-Sicherheitsanforderungen der besonders durch die COVID-19-Pandemie immer rascher fortschreitenden Digitalisierung gerecht zu werden und so weiterhin ein hohes Cybersicherheit-Niveau in der gesamten EU zu gewährleisten, sieht die neue Richtline NIS2 einige notwendige Updates gegenüber der bisherigen Cybersecurity Gesetzeslage vor.

Wer ist von NIS2 betroffen?

Zentraler Bestandteil der NIS2-Direktive ist die Erweiterung des Geltungsbereiches für diejenigen Unternehmen (auch Betreiber oder „Entities“ genannt), die aufgrund ihrer wirtschaftlichen Tätigkeit in Branchen kritischer Infrastrukturen einer besonders hohen Bedrohungslage durch Cyberangriffe ausgesetzt sind. Die NIS2-Richtlinie reguliert daher insgesamt 18, in 11 „Essential“ (dt. kritische) und 7 „Important“ (dt. wichtige) unterteilte, Sektoren.

Essential Sektoren:

  • Energie, Transport
  • Banken
  • Finanzmärkte
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Öffentliche Verwaltung
  • Raumfahrt

Important Sektoren:

  • Post und Kurier
  • Abfallwirtschaft
  • Chemikalien
  • Ernährung
  • Industrie
  • Digitale Dienste
  • Forschung

Innerhalb dieser Sektoren werden zum einen alle mittelständischen Betreiber mit einer Größe von 50 bis 250 Mitarbeitern und einem jährlichen Umsatz von 10 bis 50 Mio. EUR bzw. einer Bilanzsumme von bis zu 43 Mio. EUR in die Pflicht genommen. Zum anderen richtet sich NIS2 an Großkonzerne ab einer Größe von 250 Mitarbeitern mit einem Umsatz ≥ 50 Mio. EUR / einer Bilanzsumme ab 43 Mio. EUR.

Klein- und Kleinstunternehmen bleiben vorerst von NIS2 unberührt, jedoch gilt das Gesetz unabhängig der oben aufgeführten Größenwerte zusätzlich und ausnahmslos für alle Betreiber aus den Sektoren „Digitale Infrastruktur“, „Öffentliche Verwaltung“ und weitere Spezialfälle, deren IT und Netzwerke aufgrund Ihrer wichtigen gesellschaftlichen Funktion im Katastrophenfall besonders schützenswert sind.

Welche Anforderungen bringt NIS2?

Die umzusetzenden Mindestanforderungen an die Cybersecurity sind in Artikel 21 der NIS2-Richtlinie geregelt. Diese umfassen z. B. die initiale Durchführung einer umfangreichen Risikoanalyse und somit die Einrichtung eines aktiven Risikomanagements im Hinblick auf die potentiellen Informationssicherheits-Risiken eines Unternehmens. Dieser erste und wichtigste Schritt ist die Basis eines erfolgreichen Cybersecurity-Managements. Auch die IT-Sicherheit entlang der Supply-Chain („Sicherheit in der Lieferkette“) und ein intaktes Business Continuity Management im Krisenfall (BCM) zählen zu den obligatorischen Cybersecurity-Maßnahmen.

Welcher Behörde wird in Deutschland berichtet?

Weitergehend ist im Gesetz ein Meldewesen verankert, das von Cyberangriffen betroffene Betreiber dazu auffordert, erhebliche Störungsfälle unverzüglich den Behörden mitzuteilen. (Artikel 23) In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dieser Aufgabe betraut, das als nationale „Competent Authority“ für IT-Sicherheit zudem dafür verantwortlich ist, die regelkonforme Umsetzung der strengen Anforderungen und Pflichten der NIS2-Richtlinie zu beaufsichtigen. Zu den dafür notwendigen Governance-Maßnahmen des BSI zählen unter anderem die Anforderungen regelmäßiger Berichterstattung, Audits oder auch sogenannte Random Checks.

Welche Sanktionen drohen bei „Non-Compliance“?

Wo eine neue Gesetzgebung, da auch Sanktionen, die gegenüber betroffenen Organisationen verhängt werden können. Auch die NIS2-Direktive beruft sich hier in den Artikeln 34 bis 36 vor allem auf Strafen in Form von hohen Geldbußen in Millionenhöhe, die Unternehmen bei “Non-Compliance” erwartet. Je nach Zugehörigkeit zum Bereich der „Important“ bzw. „Essential“ Sektoren variiert dieser Betrag zwischen maximal 7 bis 10 Mio. EUR oder 1,4 % bzw. 2 % des weltweiten Umsatzes.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:
XING Profil Ingo Simon LinkedIn Profil Ingo Simon

https://saviscon.de/wp-content/uploads/cyber-security-scaled.jpg 1920 2560 Ingo Simon https://saviscon.de/wp-content/uploads/2020/05/saviscon-logo-300x125.jpg Ingo Simon2023-01-19 14:11:142023-01-19 14:16:38EU NIS 2 Cyber Security
Das könnte Dich auch interessieren
Bild von 8photo auf Freepik Aufsetzen eines funktionierenden Risiko-Management-Prozesses
MockUp GRC-COCKPIT auf verschiedenen DevicesSAVISCON GmbH 5 Tipps für Ihr GRC-Management
Foto von einer Straße als Sinnbild für den Weg, den man beschreitet, um ein Ziel zu erreichen.Photo by Karsten Würth on Unsplash Wo ein Ziel ist, da ist auch ein Weg
Sinnbild für Windows und Office 365unsplash.com Office 365 datenschutzkonform einsetzen – klappt das?
Sinnbild für die LieferketteStepan Vrany by Unsplash.com Lieferkettengesetz im Unternehmen umsetzen
COCKPIT Ansicht Digitalisierung von Compliance-Management-Prozessen

Kommentieren:

Termin bei Christoph Müller vereinbaren
SAVISCON Logo Digitale Zukunft

KONTAKT

Telefon: +49 40 80 90 81 446

Telefax: +49 40 80 90 81 447 

E-Mail: info@saviscon.de

SAVISCON ISO 27001 Zertifizierung

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel

Impressum | Datenschutzerklärung | Gender-Hinweis | Kontakt

Nach oben scrollen
  • Termin buchen
  • Kontakt aufnehmen
  • Newsletter abonnieren
  • Downloads
Ihre Cookie Einstellungen
Diese Website verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Mit einem Klick auf „Zustimmen“ akzeptieren Sie alle Cookies und somit die Verarbeitung und auch die Weitergabe Ihrer anonymisierten Daten an Drittanbieter. Wir nutzen Statistik-Daten, um redaktionelle Inhalte an die Vorlieben unserer Webseitenbesucher anzupassen und ihnen interessante Inhalte zu bieten.

Weitere Informationen, auch zur Datenverarbeitung durch Drittanbieter, finden Sie unter Einstellungen. Ihre Entscheidung können Sie jederzeit über den Link in unserer Datenschutzerklärung anpassen. Klicken Sie auf ablehnen, um alle Cookies (bis auf die technisch notwendigen) abzulehnen.
Verwalten Sie Ihre Cookie Einstellungen

Um Ihnen ein optimales Webseiten-Erlebnis zu bieten, setzen wir Cookies ein. Das sind kleine Textdateien, die auf Ihrem Computer gespeichert werden. Dazu zählen sowohl Cookies für den Betrieb und die Optimierung der Seite als auch für Services, wie z.B. die Anzeige von Aktienkursen oder Google Maps sowie an Ihrem Online-Nutzungsverhalten orientierte Inhalte. So kann z.B. erkannt werden, wenn Sie unsere Seite vom selben Gerät aus wiederholt besuchen. Wir möchten Ihnen die Wahl geben, welche Cookies Sie zulassen.

Erforderliche Cookies

Diese Cookies sind notwendig, damit Sie durch die Seiten navigieren und wesentliche Funktionen nutzen können.

Analytische Cookies

Diese Cookies helfen uns, das Nutzungsverhalten besser zu verstehen. Analysecookies ermöglichen die Erhebung von Nutzungs- und Erkennungsmöglichkeiten durch Erst- oder Drittanbieter, in so genannten pseudonymen Nutzungsprofilen. Wir benutzen beispielsweise Analysecookies, um die Zahl der individuellen Besucher einer Webseite oder eines Dienstes zu ermitteln oder um andere Statistiken im Hinblick auf den Betrieb unserer Produkte zu erheben, als auch das Nutzerverhalten auf Basis anonymer und pseudonymer Informationen zu analysieren, wie Besucher mit der Webseite interagieren. Ein unmittelbarer Rückschluss auf eine Person ist dabei nicht möglich.

Mehr erfahren Weniger erfahren
Zurück
Impressum Datenschutz