NIS2 | KRITIS
Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen neu. NIS2 stellt sicher, dass Maßnahmen zur Verbesserung der Cybersicherheit für eine Vielzahl von Unternehmen in ganz Europa verbindlich werden. In Deutschland allein werden etwa 30.000 Unternehmen von den Vorschriften von NIS2 betroffen sein.
Kämmer Consulting ist spezialisiert auf die Beratung von Unternehmen in den Bereichen Kritischer Infrastrukturen (KRITIS) sowie solcher, die den Anforderungen der NIS2-Richtlinie unterliegen. Unser Ansatz basiert auf einem tiefgreifenden Verständnis der aktuellen Bedrohungslandschaft und langjähriger Erfahrung in der Sicherheitsberatung.
Gern unterstützen wir Sie dabei.
- Hier nehmen Sie Kontakt auf: Hier klicken ...
- Hier laden Sie unsere Präsentation des Webinars: "NIS2-Richtlinie und Umsetzung ins Deutsche Recht –was Sie jetzt tun müssen!": Hier klicken ...
NIS2 - Wer ist betroffen?
Sektoren mit hoher Kritikalität (festgelegt in Anhang I)
- Energie | Verkehr
- Bankwesen und Finanzmarktinfrastruktur
- Gesundheitswesen
- Trinkwasser | Abwasser | Abfallbewirtschaftung
- Digitale Infrastruktur | Verwaltung von IKT-Diensten
- Weltraum | Öffentliche Verwaltung | Post- und Kurierdienste
- Chemische Stoffe | Lebensmittel
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste | Forschungseinrichtungen
Unternehmen
- Mittelständischen Unternehmen mit einer Größe von 50 - 250 Mitarbeitern und einem jährlichen Umsatz von 10-50 Mio. Eurobzw. einer Bilanzsumme von bis zu 43 Mio. Euro
- Großunternehmen ab einer Größe von 250 Mitarbeitern mit einem Umsatz ≥ 50 Mio Euro / einer Bilanzsumme ab 43 Mio. Euro.
- Unabhängig von der Größe der Einrichtungen gilt die Richtlinie auch für Einrichtungen der Sektoren aus Anhang I oder II, unter bestimmten Voraussetzungen
NIS2 - Was ist zu tun?
Die spezifischen Mindestanforderungen zur Umsetzung sind in Kapitel 4 sowie in den Artikeln 20 und 21 der NIS2-Richtlinie festgelegt.
Artikel 20 – Governance
In Kurzform: Die Leitungsorgane wesentlicher und wichtiger Einrichtungen müssen die im Artikel 21 festgelegten Risikomanagementmaßnahmen umsetzen und überwachen. Bei Verstößen können sie zur Verantwortung gezogen werden, ohne dass dies die nationalen Haftungsregelungen beeinträchtigt. Mitglieder dieser Organe müssen Schulungen absolvieren, ebenso wie alle Mitarbeiter, um angemessene Kenntnisse und Fähigkeiten im Bereich Cybersicherheit zu erlangen.
Artikel 21 - Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- Konzepte in Bezug auf Risikoanalyse und Informationssicherheit
- Incident Management: Bewältigung von Sicherheitsvorfällen.
- Business Continuity: einschließlich Backup-Management, Disaster Recovery und Krisenmanagement.
- Sicherheit in der Lieferkette
- Sicherheit bei der Beschaffung
- Bewertung der Wirksamkeit von Risikomanagementmaßnahmen.
- Cyberhygiene und Schulungen im Bereich Cybersicherheit.
- Vorgaben für Kryptographie und Verschlüsselung.
- Sicherheit des Personals, Zugangskontrolle, Asset-Management
- usw., usw…
Artikel 23 – Berichtspflichten
Strengere Meldepflichten für Vorfälle
- Erstmeldung eines erheblichen Vorfalls innerhalb von 24 Stunden nach Entdeckung.
- Erste Bewertung des Vorfalls innerhalb von 72 Stunden nach Entdeckung.
- Ein detaillierter Abschlussbericht muss innerhalb eines Monats nach Entdeckung eingereicht werden.
Ein Vorfall gilt als erheblich, wenn: a) er schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht oder verursachen kann, b) er andere Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt oder beeinträchtigen kann.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland überwacht die Umsetzung der NIS2-Richtlinie. Zu den Aufgaben des BSI gehören:
- Regelmäßige Berichterstattung der Organisationen an das BSI.
- Durchführung von Audits und Vor-Ort-Prüfungen
Ab wann gilt NIS2?
Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) wurde am 27.12.2022 veröffentlicht und ist am 16.01.2023 in Kraft getreten. Jedoch muss, bevor die Richtlinie aktiv wird, sie von den Mitgliedsstaaten der EU in nationales Recht übertragen werden. Die einzelnen Länder haben bis zum 17. Oktober 2024 Zeit, um ein entsprechendes NIS2-Gesetz zu erlassen.
Da keine Übergangsfrist festgelegt ist, müssen betroffene Betriebe ab dem 18. Oktober 2024 die Anforderungen erfüllen, sich bei der zuständigen nationalen Behörde registrieren, Vorfälle melden und sicherstellen, dass die Sicherheitsstandards eingehalten werden. Sie müssen anschließend regelmäßig nachweisen, dass sie den Vorgaben entsprechen, entweder durch eine entsprechende Zertifizierung oder ein Sicherheitsaudit.
NIS2 – Verschärfung der Sanktionen
- Die Mitgliedstaaten können bei Verstößen oder Zuwiderhandlungen Geldbußen von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes verhängen.
- Leitungsorgane können zudem persönlich für Verstöße haftbar gemacht werden
NIS2-Umsetzungsgesetz (NIS2UmsuCG)
Die Umsetzung der NIS2-Maßnahmen muss dem BSI von Betreibern kritischer Anlagen alle drei Jahre nachgewiesen werden. Frühestens ab 2027 und abhängig von der eigenen Registrierung soll es dann alle drei Jahre Prüfungen geben, analog zu bisherigen KRITIS-Nachweisprüfungen.
Ihr Ansprechpartner: Andreas Stammhammer
Gerne stehe ich Ihnen persönlich bei allen Fragen zur Verfügung!Telefon: 0531 702249-42
E-Mail: a.stammhammer@kaemmer-consulting.de