Die Unternehmensberatung für Datenschutz, Audit und BCM
DSGVO konform und sicher

NIS2-Richtlinie: Mehr Cybersicherheit in der EU

 

Die NIS2-Richtlinie (Network and Information Security 2) ist eine neue EU-weite Gesetzgebung zur Stärkung der Cybersicherheit. Sie trat am 18. Oktober 2024 in Kraft und ersetzte somt die bisherige NIS-Richtlinie aus dem Jahr 2016.

Mit NIS2 werden mehr Unternehmen als bisher zur Einhaltung strenger Cybersicherheitsmaßnahmen verpflichtet. Das Ziel: Besserer Schutz vor Cyberangriffen, stärkere Resilienz und eine einheitliche Sicherheitsstrategie in der EU.

In den letzten Jahren gab es immer mehr Cyberangriffe auf kritische Infrastrukturen und Unternehmen. Hackerattacken auf Krankenhäuser, Energieversorger oder staatliche Behörden können gravierende Auswirkungen haben – von Datenverlusten bis hin zu kompletten Betriebsausfällen.

Mit NIS2 stellt die EU sicher, dass betroffene Unternehmen und Organisationen:

  • Robuste Sicherheitsmaßnahmen einführen
  • Sicherheitsvorfälle schnell melden
  • Für Cybersicherheitsverstöße zur Verantwortung gezogen werden können


Die NIS2-Richtlinie betrifft wesentliche und wichtige Einrichtungen in verschiedenen Sektoren. Unternehmen, die unter diese Regelung fallen, müssen strenge Cybersicherheitsstandards einhalten.

a. Wesentliche Einrichtungen (Essential Entities)
Diese Unternehmen müssen besonders hohe Sicherheitsanforderungen erfüllen und werden von den Behörden streng überwacht. Dazu gehören:

  • Energieversorger (Strom, Gas, Öl)
  • Transportsektor (Flughäfen, Bahnen, Logistikunternehmen)
  • Banken und Finanzdienstleister
  • Gesundheitswesen (Krankenhäuser, Labore, Arzneimittelhersteller)
  • Digitale Infrastruktur (Rechenzentren, Cloud-Anbieter, DNS-Dienste)
  • Öffentliche Verwaltung und Behörden
  • Wasserwirtschaft (Trink- und Abwasseraufbereitung)


b. Wichtige Einrichtungen (Important Entities)
Diese Unternehmen haben ebenfalls strenge Auflagen, aber die Überwachung erfolgt risikobasiert. Dazu gehören:

  • Hersteller von kritischen Produkten (z. B. Medizinprodukte, Elektronik)
  • Post- und Kurierdienste
  • Chemische Industrie
  • IT-Dienstleister und Managed Service Provider
  • Lebensmittelproduktion


Unternehmen, die unter NIS2 fallen, müssen eine Reihe von Maßnahmen umsetzen, darunter:

Risikomanagement & Sicherheitsmaßnahmen:

  • Implementierung von technischen und organisatorischen Maßnahmen zur IT-Sicherheit
  • Schutz vor Cyberangriffen, Datenlecks und Systemausfällen
  • Nutzung von Verschlüsselung und Sicherheitsupdates


Meldepflicht bei Sicherheitsvorfällen:

  • Erste Meldung innerhalb von 24 Stunden an die zuständige Behörde
  • Detaillierte Analyse innerhalb von 72 Stunden
  • Abschlussbericht innerhalb eines Monats


Haftung und Sanktionen:

  • Geldstrafen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
  • Persönliche Haftung der Geschäftsleitung bei Nichteinhaltung
  • Regelmäßige Sicherheitsüberprüfungen durch Behörden

 

 

 



 
E-Mail
Anruf