Geschätzte Unternehmen, die von NIS 2 betroffen sein werden und sich anpassen müssen
Maximale Geldbuße bei Nichteinhaltung von NIS 2 für alle geprüften Unternehmen pro Jahr und Unternehmen
Anzahl der von der NIS 2-Richtlinie abgedeckten Sektoren. Wenn Ihr Unternehmen in dem definierten Sektor tätig ist, muss es NIS 2-konform sein
Die NIS-2-Richtlinie, eine aktualisierte EU-Cybersicherheitsregel, die eingeführt wurde, um Lücken gegenüber ihrer Vorgängerrichtlinie NIS zu schließen, hat einen breiteren Anwendungsbereich und umfasst mehr Sektoren als zuvor. Sie zielt darauf ab, die Cybersicherheitsstandards in der gesamten EU zu vereinheitlichen und strengere Strafen für diejenigen einzuführen, die sie nicht einhalten.
Die Richtlinie betont einen risikobasierten Ansatz, d. h. Organisationen sollten ihre Systeme auf der Grundlage potenzieller Bedrohungen schützen. Zusammenarbeit ist der Schlüssel, da NIS 2 den Informationsaustausch zwischen den Beteiligten fördert. Darüber hinaus erfordert sie eine umfassende Vorfallberichterstattung, um neu auftretende Bedrohungen zu verstehen und ihnen entgegenzuwirken.
Die NIS-2-Richtlinie erweitert den Geltungsbereich der ursprünglichen 7 Sektoren der NIS-Richtlinie um 8 weitere, sodass nun insgesamt 15 Sektoren abgedeckt sind. Um auf sektorspezifische NIS-2-Informationen zuzugreifen, klicken Sie einfach auf einen der unten aufgeführten Sektoren.
NIS 2 klassifiziert Organisationen entweder als „Essential Entities“ (EE) oder „Important Entities“ (IE). Öffentliche oder private Unternehmen in diesen Sektoren mit über 50 Mitarbeitern und einem Jahresumsatz von über 10 Millionen müssen ihre Gruppe bestimmen und die entsprechenden Regeln befolgen.
NIS 2 klassifiziert Organisationen entweder als „Essential Entities“ (EE) oder „Important Entities“ (IE). Öffentliche oder private Unternehmen in diesen Sektoren mit über 50 Mitarbeitern und einem Jahresumsatz von über 10 Millionen müssen ihre Gruppe bestimmen und die entsprechenden Regeln befolgen.
Energie
Deckt die entscheidenden Energiesektoren Strom, Öl und Gas ab und unterstreicht ihre Bedeutung für alltägliche Funktionen und die Notwendigkeit der Cybersicherheit.
Transport
Der Schwerpunkt liegt auf den wichtigsten Transportmitteln Luft, Schiene, See und Straße und hebt ihre Rolle bei der Verbindung von Menschen und Orten hervor.
Gesundheitspflege
Priorisiert wird der Schutz von Gesundheitseinrichtungen, wobei sowohl öffentliche Krankenhäuser als auch private Kliniken berücksichtigt werden, da diese eine wichtige Rolle für das Gemeinwohl spielen.
Öffentliche Verwaltung
Betont den Schutz öffentlicher Dienste und spiegelt die Verpflichtung der Richtlinie wider, unterbrechungsfreie und sichere Verwaltungsfunktionen zu gewährleisten.
Banken- und Finanzmarktinfrastruktur
Befasst sich mit dem Rückgrat unseres Finanzsystems und beleuchtet Bereiche wie Zahlungsdienste, die wirtschaftliche Aktivitäten erleichtern.
Digitale Infrastrukturen
Zielt auf grundlegende digitale Dienste ab, wie etwa solche, die DNS- und TLD-Register bereitstellen, und erkennt deren Rolle im digitalen Ökosystem an.
Wasserversorgung
Der Schwerpunkt liegt auf der Erhaltung und Sicherheit der Trinkwasser- und Abwassersysteme, die für die öffentliche Gesundheit von entscheidender Bedeutung sind.
Raum
Verdeutlicht die strategische Bedeutung des Weltraumsektors und stellt sicher, dass er angesichts seiner Auswirkungen auf verschiedene Technologien und Dienste hohe Cybersicherheitsstandards erfüllt.
Öffentliche Telekommunikations- und ISP-Anbieter
Anbieter öffentlich zugänglicher Kommunikationsnetze und -dienste, etwa Telekommunikationsunternehmen und Internetdienstanbieter.
Vertrauensdienstleister
Unternehmen, die digitale Vertrauensdienste anbieten und so die Authentizität elektronischer Transaktionen und Kommunikation sicherstellen.
Alleinige Anbieter eines kritischen Dienstes
Einzigartige Entitäten, die die einzigen Quellen spezifischer, wichtiger Dienste sind, die für den täglichen Betrieb oder die Infrastruktur von entscheidender Bedeutung sind.
TLD-Registrare und DNS-Anbieter
Organisationen, die Top-Level-Domain-Einträge verwalten und die Systeme nutzen, um den Internetverkehr an die richtigen Adressen zu leiten.
Domain-Name-Registrare
Unternehmen, die die Reservierung von Internet-Domänennamen überwachen und sicherstellen, dass jeder Name eindeutig ist und richtig zugewiesen wird.
Für Sicherheit, Schutz oder Gesundheit wichtige Einrichtungen
Lebenswichtige Organisationen, deren Störung die öffentliche Sicherheit, Sicherheitsmaßnahmen oder Gesundheitsergebnisse gefährden könnte.
Zentrale oder regionale öffentliche Verwaltungseinrichtungen
Wichtige Regierungsstellen auf zentraler oder regionaler Ebene, die eine zentrale Rolle in der öffentlichen Führung und Verwaltung spielen.
Alle anderen Entitäten, wenn:
Die Einrichtung ist der einzige Anbieter in einem Mitgliedstaat einer Dienstleistung, die für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten von wesentlicher Bedeutung ist.
Eine Störung der von der Einrichtung erbrachten Dienste könnte erhebliche Auswirkungen auf die öffentliche Sicherheit, Ordnung oder Gesundheit haben;
Eine Störung der von dem Unternehmen erbrachten Dienstleistungen könnte ein erhebliches systemisches Risiko darstellen, insbesondere in Sektoren, in denen eine solche Störung grenzüberschreitende Auswirkungen haben könnte;
Die Einrichtung ist aufgrund ihrer besonderen Bedeutung auf nationaler oder regionaler Ebene für den betreffenden Sektor bzw. die betreffende Art von Dienstleistung oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat von entscheidender Bedeutung;“
Wenn ein Mitgliedstaat diese Einheit als „kritische Einheit“ gemäß der Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einheiten (CER) definiert hat
Digitale Anbieter
Dieser Sektor umfasst ein breites Spektrum digitaler Dienste wie Suchmaschinen, Online-Marktplätze und soziale Netzwerke und spielt in der heutigen vernetzten Welt eine zentrale Rolle.
Essen
Dieser Sektor deckt das gesamte Spektrum vom Erzeuger bis zum Verbraucher ab und gewährleistet, dass jede Phase – von der Landwirtschaft und Verarbeitung bis zum Einzelhandel – sicher und robust ist.
Post- und Kurierdienste
Als Lebensader für Kommunikation und Warenlieferung muss dieser Sektor eine verstärkte digitale Verteidigung aufrechterhalten und so einen konsistenten und sicheren Betrieb gewährleisten.
Forschungsorganisationen
Als Zentrum für Innovation und Fortschritt spielt dieser Sektor eine zentrale Rolle: Er treibt wissenschaftliche Durchbrüche voran, ist aber gleichzeitig auch ein potenzielles Ziel für Cyber-Bedrohungen.
Chemikalien
Dieser Sektor ist für die industrielle Wettbewerbsfähigkeit Europas von entscheidender Bedeutung. Er reicht von der Herstellung bis zur Verteilung chemischer Stoffe und dient als Grundlage für innovative Lösungen.
Herstellung
Als weitreichendes Feld, das die Herstellung von Produkten wie medizinischen Geräten, Elektronik, Maschinen, Fahrzeugen und Transportausrüstung umfasst, bildet es das Herzstück der europäischen Produktionskapazitäten.
Organisationen unter NIS 2 müssen proaktiv Richtlinien und Maßnahmen implementieren, um Cybersicherheitsbedrohungen zu minimieren.
Dazu gehört ein Kernpaket an Maßnahmen, das Risikoanalysen, Reaktion auf Vorfälle, Verschlüsselung, verbesserte Zugriffskontrollen und die Beseitigung von Schwachstellen in ihrer IKT-Lieferkette umfasst. Darüber hinaus sollten Unternehmen Schwachstellenanalysen durchführen, um sicherzustellen, dass die Maßnahmen mit der potenziellen Gefährdung des Unternehmens und den potenziellen gesellschaftlichen und wirtschaftlichen Auswirkungen solcher Bedrohungen übereinstimmen.
Unternehmensverantwortung
NIS2 betont, dass die Leitungsgremien der betroffenen Unternehmen für die Überwachung und Genehmigung von Maßnahmen zum Risikomanagement der Cybersicherheit verantwortlich sind. Von ihnen wird erwartet, dass sie regelmäßig Schulungen absolvieren, um Cybersicherheitsrisiken und ihre möglichen Auswirkungen auf Dienstleistungen zu identifizieren und zu bewerten. Darüber hinaus können Verstöße dazu führen, dass das Management haftbar gemacht wird, was die erhöhte Unternehmensverantwortung im Rahmen dieser Richtlinie unterstreicht.
Management-Trainingsprogramm
Führen Sie obligatorische Schulungen zur Cybersicherheit für die Unternehmensleitung ein, um das Bewusstsein für Cyberrisiken, bewährte Methoden und organisatorische Cybersicherheitsrichtlinien zu schärfen.
Aufsichtsausschuss für Cybersicherheit
Bilden Sie ein Komitee auf Führungsebene, das die Cybersicherheitsmaßnahmen überwacht, Richtlinien entwickelt und die Cybersicherheitsbudgets verwaltet.
Risikoberichterstattung und -minimierung
Entwickeln Sie einen strukturierten Mechanismus, mit dem das Management regelmäßig über Cybersicherheitsrisiken, Schwachstellen und Minderungsstrategien berichten kann.
Strafen und Anreize
Schaffen Sie einen Rahmen für Strafen bei Nichteinhaltung und Anreize für ein proaktives Risikomanagement im Bereich Cybersicherheit.
Audits zur Einhaltung der Cybersicherheitsvorschriften
Führen Sie regelmäßig Audits durch, um die Einhaltung der Cybersicherheitsrichtlinien durch das Management zu bewerten und Bereiche zu ermitteln, die verbessert werden können.
Meldepflichten
Die betroffenen Unternehmen sind verpflichtet, bedeutende Vorfälle unverzüglich zu melden. Dazu gehört eine „Frühwarnung“ innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls, gefolgt von einer umfassenden Meldung des Vorfalls innerhalb von 72 Stunden an die zuständigen nationalen Behörden. Betroffene Benutzer sollten ebenfalls umgehend benachrichtigt werden, um einen robusten und transparenten Kommunikationsprozess bei Cybersicherheitsvorfällen sicherzustellen.
Plattform zur Meldung von Vorfällen
Nutzen Sie Systeme, die es Lieferanten, Verkäufern und Kunden ermöglichen, alle Arten von Cybersicherheitsvorfällen effizient zu melden.
Automatisierte Vorfallbenachrichtigungen
Richten Sie ein automatisiertes System zur Eskalation von Warnungen und Benachrichtigungen an relevante Interessengruppen, einschließlich Aufsichtsbehörden, innerhalb vorgeschriebener Zeiträume ein.
Richtlinien zur Vorfallklassifizierung
Entwickeln Sie klare Richtlinien für die Kategorisierung von Vorfällen basierend auf Schwere und Auswirkung, um eine konsistente Berichterstattung und wirksame Reaktionsprotokolle sicherzustellen.
Vorfalldokumentation und Meldeprozess
Richten Sie einen detaillierten Prozess zur Dokumentation von Vorfalldetails, Reaktionen und Analysen nach dem Vorfall ein, um das Lernen in der Organisation und die Verbesserung der Reaktionen zu fördern.
Vorfallreaktionsteams
Bilden Sie spezialisierte Teams, die mit den erforderlichen Werkzeugen und dem erforderlichen Fachwissen für die schnelle Bearbeitung und Eindämmung von Cybersicherheitsvorfällen ausgestattet sind.
Geschäftskontinuität
Im Falle schwerwiegender Cybervorfälle wird von Unternehmen erwartet, dass sie über einen Geschäftskontinuitätsplan verfügen. Dieser umfasst Strategien zur Systemwiederherstellung, Notfallverfahren und die Einrichtung eines Krisenreaktionsteams. Der Schwerpunkt liegt auf der Gewährleistung eines unterbrechungsfreien Geschäftsbetriebs und einer schnellen Wiederherstellung nach schwerwiegenden Cybersicherheitsvorfällen.
Redundanz und Backup
Implementieren Sie Datenredundanz und Backup-Strategien, um die Datenverfügbarkeit und Systemausfallsicherheit während und nach Cyber-Vorfällen aufrechtzuerhalten.
Beurteilung der geschäftlichen Auswirkungen
Führen Sie gründliche Bewertungen durch, um wichtige Systeme und Prozesse zu identifizieren, die für den Betrieb bei Cybervorfällen kritisch sind.
Reaktionsplan für Cybervorfälle
Entwickeln Sie einen umfassenden Plan mit detaillierten schrittweisen Verfahren zum Management von Cybervorfällen, einschließlich Kommunikationsstrategien, Wiederherstellungstaktiken und Rollen von Krisenreaktionsteams.
Schulung zum Thema Cybersicherheitsbewusstsein
Bieten Sie unternehmensweite Schulungen zum Geschäftskontinuitätsplan und zu den Rollen der Mitarbeiter bei der Minimierung von Störungen während Cybervorfällen an.
Regelmäßige Plantests und Übungen
Testen Sie den Geschäftskontinuitätsplan regelmäßig und führen Sie simulierte Übungen durch, um Lücken zu identifizieren, die Reaktionseffizienz zu verbessern und die anhaltende Wirksamkeit des Plans sicherzustellen.
Erhalten Sie Mindest-Cybersicherheitsmaßnahmen für die NIS 2-Konformität
Unternehmen, die die NIS-2-Richtlinie nicht einhalten, müssen mit schweren Strafen rechnen, die von nicht-monetären Sanktionen bis hin zu erheblichen Verwaltungsstrafen reichen. Darüber hinaus können Führungskräfte persönlich für Verstöße zur Verantwortung gezogen werden, was die Bedeutung der Verantwortung für die Cybersicherheit auf organisatorischer Ebene unterstreicht.
Die NIS2 unterscheidet hinsichtlich der Bußgelder zwischen wesentlichen und wichtigen Unternehmen. Wesentliche Unternehmen können mit Geldbußen von entweder 10.000.000 € oder 21 TP3B ihres weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist. Wichtige Unternehmen müssen hingegen mit Geldbußen von bis zu 7.000.000 € oder 1,41 TP3B ihres weltweiten Jahresumsatzes rechnen, je nachdem, welcher Betrag höher ist.
Im Rahmen der NIS 2 können nationale Aufsichtsbehörden verschiedene nicht-monetäre Sanktionen verhängen. Dazu können Compliance-Anordnungen, verbindliche Anweisungen, Anordnungen für Sicherheitsüberprüfungen und Mandate für Bedrohungsmeldungen an die Kunden eines Unternehmens gehören.
NIS 2 macht das Topmanagement persönlich verantwortlich und verlagert die Verantwortung von den IT-Abteilungen allein. Bei Verstößen können die Behörden Verstöße öffentlich machen, verantwortliche Personen identifizieren, das Management für Pflichtverletzungen haftbar machen und bei wichtigen Unternehmen Personen nach wiederholten Verstößen vorübergehend von der Ausübung von Führungspositionen ausschließen.
Um die NIS 2-Compliance einzuhalten, ist ein strukturierter Ansatz erforderlich. Hier sind fünf wichtige Schritte, die Ihr Unternehmen zur erfolgreichen Einhaltung führen.
Bestimmen Sie, ob NIS 2 Ihr Unternehmen betrifft. Wenn Sie die Relevanz für Ihr Unternehmen verstehen, können Sie sich auf das Wesentliche konzentrieren. Heben Sie die kritischen Dienste, Prozesse und Ressourcen Ihres Unternehmens hervor und priorisieren Sie sie für einen zielgerichteten Ansatz.
Sichern Sie sich die Unterstützung des Topmanagements, indem Sie das Bewusstsein für Sanktionen und Bußgelder gemäß NIS 2 schärfen. Dazu gehören spezielle Schulungsprogramme für Führungskräfte zum Risikomanagement im Bereich Cybersicherheit und zur Bedeutung einer cyberorientierten Kultur.
Implementieren Sie ein Risiko- und Informationssicherheitsmanagementsystem (ISMS). Überprüfen und passen Sie die 10 vorgeschriebenen Maßnahmen zum Risikomanagement der Cybersicherheit von NIS 2 an. Dazu gehören die Optimierung der Vorfallberichterstattung, die Verbesserung der Lieferkettensicherheit und die Erstellung eines robusten Geschäftskontinuitätsplans.
Planen und budgetieren Sie entsprechend und konzentrieren Sie sich dabei auf die Bereiche mit den höchsten Cyberrisiken. Dazu gehört die Bereitstellung ausreichender finanzieller Mittel für Cybersicherheitsmaßnahmen, wobei Sie die strengeren Strafen berücksichtigen müssen, die NIS 2 bei Nichteinhaltung vorsieht.
Fördern Sie eine Kultur der kontinuierlichen Verbesserung. Bewerten und schließen Sie regelmäßig Sicherheitslücken, bleiben Sie über erwartete Sicherheitskontrollen auf dem Laufenden und nutzen Sie bei Bedarf die Beratung von Experten. Stellen Sie sicher, dass Ihr Unternehmen auf seinem Weg zur Einhaltung von Vorschriften flexibel und anpassungsfähig bleibt.
Treffen Sie sich mit Matt und buchen Sie einen kostenlos 15 Min Rufen Sie unten an, um besser zu verstehen, wie Sie die NIS 2-Konformität in Ihrem Unternehmen implementieren können
Diese von NIS2Compliant.org kuratierte Seite bietet öffentlich zugängliche Informationen zu allem, was mit der kommenden NIS2-Richtlinie zu tun hat. Sie werden klar und prägnant präsentiert und sind somit leicht zu nutzen.
Haftungsausschluss
Die auf dieser Website bereitgestellten Informationen dienen ausschließlich Bildungs- und Informationszwecken. Der Inhalt ist kein Ersatz für professionelle Beratung oder sonstige Rechtsberatung, -dienstleistungen usw. Die Administratoren und Mitwirkenden der Website übernehmen keine Zusicherungen oder Gewährleistungen hinsichtlich der Informationen auf der Website. Wenn Sie sich auf diese Informationen verlassen, geschieht dies daher ausschließlich auf Ihr eigenes Risiko.
Urheberrecht: Nis2Compliant.org
