Wie bereitet man sich auf NIS2 vor?

NIS2 zielt darauf ab, die Cybersicherheit kritischer Organisationen in Europa zu erhöhen. Setzen Sie es ab Januar 2025 um, um Bußgelder von bis zu 2% Ihres weltweiten Umsatzes zu vermeiden. In diesem Artikel erfahren Sie, was NIS2 ist, wer davon betroffen ist und wie Sie sich vorbereiten können, indem Sie auf Bestehendem aufbauen. 

NIS2, Definition und Status

Was ist NIS2?

NIS2 ist eine europäische Richtlinie, die von jedem Mitgliedsland auf nationaler Ebene umgesetzt werden muss. Einige Länder werden sie nur minimal erfüllen, während andere umfassendere Maßnahmen einführen werden.
Im Vergleich zu NIS1 erweitert Version 2 die Tätigkeitsbereiche der betroffenen Unternehmen (Gesundheit, Energie, Verkehr usw.), führt die Verantwortung des Vorstands mit strengeren Strafen ein und führt Fristen für die Berichterstattung ein. Die neue Version verlangt außerdem eine verstärkte Zusammenarbeit zwischen den Mitgliedsstaaten.

Wer ist von NIS2 betroffen? 

Es gibt 18 Sektoren, die von der NIS2-Richtlinie erfasst werden, darunter Energie, Verkehr, Gesundheit, digitale Infrastruktur, Informations- und Kommunikationstechnologie und öffentliche Verwaltungen. 
Alle Organisationen mit mehr als 50 Mitarbeitern und einem Einkommen von mehr als 10 Mio. € sind betroffen (mit einigen Ausnahmen). 
Die Organisationen werden in zwei Kategorien eingeteilt: wesentliche Einheiten oder wichtige Einheiten, je nach Kritikalität des Sektors, der Größe der Organisation. Achtung, dies ist keine erschöpfende Liste, die Konsultationen sind noch im Gange und die Umsetzung auf nationaler Ebene wird für Klarheit sorgen.

Ab wann wird die Richtlinie in Kraft treten? 

Die Richtlinie wird im Oktober 2024 auf nationaler Ebene umgesetzt und gilt ab Januar 2025. 

Welche Folgen hat eine Nichteinhaltung? 

Bei Nichteinhaltung der Richtlinie drohen den Organisationen je nach ihrer Klassifizierung Geldstrafen. Für wichtige Organisationen können die Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes betragen. Für wichtige Organisationen betragen die Bußgelder bis zu 7 Mio. € oder 1,4 % des weltweiten Umsatzes. Organisationen können auch mit Sanktionen belegt werden, wie z. B. der Veröffentlichung öffentlicher Bekanntmachungen oder der Verfolgung von Rechtsvertretern.  

Wie kann man bei der Einführung von NIS2 auf dem Bestehenden aufbauen? 

Das Ziel von NIS1, das in NIS2 übernommen wurde, besteht darin, EU-weit Kapazitäten für Cybersicherheit aufzubauen, Bedrohungen für Netzwerke und Informationssysteme, die zur Erbringung wichtiger Dienstleistungen in Schlüsselsektoren dienen, abzuschwächen und die Kontinuität dieser Dienstleistungen im Falle von Zwischenfällen zu gewährleisten und so zur Sicherheit der Europäischen Union und zum reibungslosen Funktionieren ihrer Wirtschaft und Gesellschaft beizutragen.

Der Umfang mag auf den ersten Blick groß erscheinen, aber durch die Verwendung von Standards, die gute Marktpraktiken definieren, wird eine solide Grundlage für die Bewältigung der Herausforderungen der NIS2-Richtlinie geschaffen. Wie wird dies erreicht? Die Standards ISO 27001 und ISO 22301 sind internationale Standards, die eine gründliche Analyse der geschäftlichen Anforderungen und Risiken ermöglichen. Sie integrieren die Grundsätze der Cybersicherheit und der Kontinuität in die Unternehmenskultur, aber auch die Grundsätze der kontinuierlichen Verbesserung mit dem berühmten „Plan/Do/Check/Act“ oder PDCA. 
Diese Standards ermöglichen es, die Führungsgremien zu verpflichten und somit über einen Governance-Rahmen zu verfügen. Die Einführung dieser Praktiken bietet eine solide Grundlage und ermöglicht es, den Aufwand für die Einführung von NIS2 zu verringern. 

Die Begleitung durch einen Experten bei der Einführung von NIS2.

Unser Fachwissen ermöglicht es Ihnen insbesondere, aus dem Bestehenden Kapital zu schlagen, um die Anforderungen der NIS2-Richtlinie zu erfüllen und ihre Einführung zu erleichtern. 
Unser strukturierter Ansatz zur Cyber-Resilienz wird es Ihnen ermöglichen, zu überprüfen, ob Sie von der NIS2-Richtlinie betroffen sind, Ihre kritischen Prozesse zu identifizieren, Ihre Cyber-Risiken zu analysieren, dann Ihre Sicherheitsmaßnahmen und BCP/PRA zu überprüfen und schließlich deren Wirksamkeit zu überwachen und zu messen. 

Zögern Sie nicht, sich von einem Experten begleiten zu lassen, um sich Klarheit zu verschaffen und die individuelle Situation Ihrer Organisation im Lichte der NIS2-Richtlinie zu überprüfen. Zögern Sie nicht, sich bei Fragen an unsere Experten zu wenden.