Senden Sie unten Ihre Fragen ein. Wir beantworten sie öffentlich auf dieser Seite (ohne Ihre Daten preiszugeben) und senden Ihnen die Antwort per E-Mail.
Wir veröffentlichen Fragen und Antworten nur öffentlich, ohne Unternehmensinformationen preiszugeben
Unsere FAQs werden ständig mit den neuesten Fragen, die Sie stellen, aktualisiert.
Welche Sektoren sind von NIS 2 betroffen?
Die NIS2-Richtlinie zielt darauf ab, die Cybersicherheit wichtiger Dienste und Branchen in den EU-Ländern zu stärken. Während die spezifischen Mechanismen zur Umsetzung dieser Richtlinie von Staat zu Staat festgelegt werden müssen (und wir daher immer empfehlen, sich in Ihrem eigenen Staat über die Kriterien, Einschlüsse, Ausschlüsse und Sanktionen zu informieren), werden die von NIS 2 betroffenen Sektoren im gesamten Geltungsbereich weitgehend einheitlich sein.
Wesentliche und wichtige Entitäten: Was ist der Unterschied?
NIS2 unterteilt die Dienste und Branchen in seinen Zuständigkeitsbereich in „essenziell“ (Sektoren mit hoher Kritikalität) und „wichtig“ (andere kritische Sektoren). Im Vorfeld der Umsetzung von NIS 2 werden Sie wahrscheinlich beide Bezeichnungen sehen.
In der Praxis bezieht sich diese Unterscheidung zwischen den beiden Gruppen auf die gesellschaftlichen Auswirkungen der betreffenden Sektoren und die möglichen Folgen eines Cyberangriffs oder -verstoßes. Folglich unterliegen wesentliche Unternehmen eher einer strengeren staatlichen Aufsicht, um die Einhaltung der Vorschriften zu erreichen, und bei Nichteinhaltung drohen härtere Sanktionen.
Welche Unternehmen sind von NIS 2 ausgenommen?
Obwohl es sich lohnt, die Anforderungen von NIS 2 zu beachten und einer strengen Cybersicherheitshygiene unabhängig von der Größe Ihres Unternehmens Priorität einzuräumen, ist es wichtig zu verstehen, dass nicht alle Organisationen und nicht einmal alle, die in die unten aufgeführten Sektoren fallen, der NIS 2-Richtlinie unterliegen.
Generell gilt, dass nur Unternehmen mittlerer Größe oder größer die NIS 2-Konformität erreichen müssen.
Bitte beachten Sie jedoch, dass die Sektoren zwar nach allgemeinen Kriterien entsprechend ihrer Größe gruppiert wurden. Sollte ein Unternehmen jedoch die Anforderungen dieser Größenschwellenwerte nicht erfüllen, kann es unter bestimmten Umständen dennoch als wichtig oder unverzichtbar erachtet werden (und unterliegt der Einhaltung von NIS 2), z. B. wenn die Organisation der einzige Anbieter der jeweiligen Dienstleistung in ihrem EU-Mitgliedsstaat ist.
Größenschwellenwerte
Für wesentliche Unternehmen gilt eine allgemeine Größenschwelle, die zwar je nach Branche unterschiedlich ist, im Allgemeinen jedoch folgende Unternehmen einschließt: 250 oder mehr Mitarbeiter, einen Jahresumsatz von 50 Millionen Euro und mehr oder eine Bilanzsumme von 43 Millionen Euro und mehr.
Auch für wichtige Unternehmen gilt eine Größenschwelle, die auf denselben Kriterien basiert. Diese ist je nach Branche unterschiedlich, liegt aber auf einem niedrigeren Schwellenwert. Dazu zählen Unternehmen mit mindestens 50 Mitarbeitern, einem Jahresumsatz von 10 Millionen Euro oder einer Bilanzsumme von mindestens 10 Millionen Euro.
Welche Sektoren sind von NIS 2 betroffen?
Nicht alle Branchen und Sektoren unterliegen der NIS 2-Konformität.
Die Richtlinie zielt darauf ab, die Widerstandsfähigkeit von Netzwerk- und Informationssystemen in der gesamten Europäischen Union zu stärken, wobei der Schwerpunkt insbesondere auf den Anbietern von Kerndiensten (oder wesentlichen und wichtigen Diensten) liegt. Ziel ist es, sicherzustellen, dass in allen Mitgliedstaaten gemeinsame Standards für Cybersicherheit eingehalten werden und die wichtigsten Dienste im Falle eines Angriffs stabil und funktionsfähig bleiben.
Vor diesem Hintergrund wird sich NIS 2 auf die folgenden Sektoren auswirken, die in die Kategorien „Wesentlich“ und „Wichtig“ unterteilt wurden:
Wesentliche Einheiten (Sektoren mit hoher Kritikalität)
Energie – Strom, Fernwärme und -kälte, Öl, Gas, Wasserstoff
Transport – Luft, Schiene, Wasser, Straße
Bankwesen
Finanzmarktinfrastrukturen
Gesundheit
Wasser – Trinkwasser, Abwasser
Digitale Infrastruktur
IKT-Dienstleistungsmanagement (B2B)
Öffentliche Verwaltung
Raum
Wichtige Einheiten (andere kritische Sektoren)
Post- und Kurierdienste
Abfallmanagement
Herstellung, Produktion und Vertrieb von Chemikalien
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Fertigung – Medizinische Geräte, Computer, elektronische oder optische Produkte, Maschinen, Fahrzeuge
Digitale Anbieter
Forschung
Mit der NIS-2-Richtlinie werden Aufsicht und Durchsetzung in den Mittelpunkt der Verantwortlichkeiten der zuständigen Behörden gestellt und ein kohärenter Rahmen für Aufsichts- und Durchsetzungstätigkeiten in allen Mitgliedstaaten geschaffen.
Zu diesem Zweck enthält die Verordnung eine Liste mit Mindestaufsichtsmaßnahmen, mit denen die zuständigen Behörden ihre Aufsicht über wesentliche und wichtige Unternehmen verstärken können, um eine wirksame Einhaltung der Vorschriften zu gewährleisten. Zu diesen Maßnahmen gehören:
regelmäßige und zielgerichtete Audits
Vor-Ort- und Off-Site-Check
Informationsanfrage
Zugang zu Dokumenten oder Beweismitteln.
Darüber hinaus sieht NIS 2 eine Differenzierung der Aufsichtsregelungen für wesentliche und wichtige Unternehmen vor, um einen fairen Ausgleich der Verpflichtungen zu gewährleisten.
NIS 2 führt außerdem einen einheitlichen Rahmen für Sanktionen in der gesamten Union ein, um eine wirksame Durchsetzung zu gewährleisten. Darüber hinaus enthält es eine Mindestliste verwaltungsrechtlicher Sanktionen bei Verstößen gegen das Risikomanagement und die Meldepflichten im Bereich der Cybersicherheit, darunter:
Verbindliche Hinweise.
Auftrag zur Umsetzung der Empfehlungen eines Sicherheitsaudits.
Anordnung zur Anpassung der Sicherheitsmaßnahmen an die NIS-Anforderungen.
Verwaltungsstrafen.
Darüber hinaus unterscheidet NIS 2 zwischen wesentlichen und wichtigen Tatbeständen für Verwaltungsstrafen:
Wesentliche Einheiten: maximal mindestens 10.000.000 € oder 2% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
Wichtige Einheiten: maximal mindestens 7.000.000 € oder mindestens 1,41 TP3T des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
Die zuständigen Behörden sollten bei der Ausübung ihrer Durchsetzungsbefugnisse die spezifischen Einzelheiten jedes einzelnen Falles berücksichtigen, einschließlich der Art und Schwere des Verstoßes sowie aller entstandenen Schäden oder Verluste. Die NIS-2-Richtlinie macht auch natürliche Personen in leitenden Positionen in den betroffenen Unternehmen für Cybersicherheitsmaßnahmen verantwortlich.
Die NIS 2-Richtlinie interagiert mit der CER-Richtlinie und der DORA, zwei weiteren EU-Richtlinien.
Die NIS2- und CER-Richtlinien wurden aufeinander abgestimmt, um die physische und Cyber-Resilienz kritischer Einheiten umfassend zu berücksichtigen. Die in der CER-Richtlinie genannten kritischen Einheiten unterliegen auch den Cybersicherheitsverpflichtungen der NIS2-Richtlinie.
Die im Rahmen beider Richtlinien zuständigen nationalen Behörden müssen zusammenarbeiten und regelmäßig Informationen über Risiken und Vorfälle austauschen.
Die NIS 2-Kooperationsgruppe trifft sich regelmäßig mit der Critical Entities Resilience Group. Das DORA gilt für das Risikomanagement und die Meldepflichten des Finanzsektors in Bezug auf Cybersicherheit und ermöglicht die Teilnahme an der NIS-Kooperationsgruppe sowie die Konsultation und den Informationsaustausch mit NIS2-SPOCs und CSIRTs.
NIS 2 wird die Cybersicherheitsanforderungen für betroffene Unternehmen stärken und rationalisieren, indem von allen Unternehmen verlangt wird, in ihren Richtlinien zum Cybersicherheitsrisikomanagement einen Kernsatz von 10 Mindestanforderungen zu berücksichtigen.
Zu diesen Elementen gehören die Behandlung von Vorfällen, die Sicherheit der Lieferkette, der Umgang mit und die Offenlegung von Schwachstellen sowie die Verwendung von Kryptografie. Die NIS 2-Richtlinie beinhaltet auch einen mehrstufigen Ansatz zur Meldung von Vorfällen, der ein Gleichgewicht zwischen einer schnellen Meldung zur Verhinderung der Verbreitung von Vorfällen und einer detaillierten Meldung zur Gewinnung wertvoller Erkenntnisse schafft.
Betroffene Unternehmen haben 24 Stunden Zeit, um eine Frühwarnung abzugeben, 72 Stunden, um eine Vorfallmeldung abzugeben, und einen Monat, um einen Abschlussbericht vorzulegen. Dies wird dazu beitragen, die zusätzliche Belastung für Unternehmen, die in mehreren Mitgliedstaaten tätig sind, zu verringern und sicherzustellen, dass alle Unternehmen die notwendigen Cybersicherheitsanforderungen erfüllen.
Ziel der NIS-2-Richtlinie ist es, die Mängel der bisherigen Regelungen zu beheben, sie an die Erfordernisse der Zeit anzupassen und zukunftssicher zu machen. Zu diesem Zweck:
Die NIS-2-Richtlinie erweitert die Cybersicherheitsvorschriften auf neue digitalisierte und vernetzte Sektoren.
Die Unterscheidung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste wird aufgehoben.
Die Richtlinie vereinfacht die Sicherheits- und Meldeanforderungen durch einen Risikomanagementansatz und präzisere Bestimmungen zur Meldung von Vorfällen.
Es befasst sich mit Cybersicherheitsrisiken in Lieferketten und stärkt die Cybersicherheit der Lieferketten für wichtige Informations- und Kommunikationstechnologien auf europäischer Ebene.
Die Richtlinie stärkt die Aufsichtsmaßnahmen und die Zusammenarbeit zwischen den Mitgliedstaaten, unter anderem durch die Harmonisierung der Sanktionsregelungen und die Schaffung eines grundlegenden Rahmens für eine koordinierte Offenlegung von Schwachstellen.
Es verbessert die operative Zusammenarbeit innerhalb des CSIRT-Netzwerks und etabliert das europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe).
NIS2 erstellt eine EU-Schwachstellendatenbank, die von der EU-Agentur für Cybersicherheit (ENISA) betrieben und gepflegt wird.
Zu diesen Elementen gehören die Behandlung von Vorfällen, die Sicherheit der Lieferkette, der Umgang mit und die Offenlegung von Schwachstellen sowie die Verwendung von Kryptografie. Die NIS 2-Richtlinie beinhaltet auch einen mehrstufigen Ansatz zur Meldung von Vorfällen, der ein Gleichgewicht zwischen einer schnellen Meldung zur Verhinderung der Verbreitung von Vorfällen und einer detaillierten Meldung zur Gewinnung wertvoller Erkenntnisse schafft.
Betroffene Unternehmen haben 24 Stunden Zeit, um eine Frühwarnung abzugeben, 72 Stunden, um eine Vorfallmeldung abzugeben, und einen Monat, um einen Abschlussbericht vorzulegen. Dies wird dazu beitragen, die zusätzliche Belastung für Unternehmen, die in mehreren Mitgliedstaaten tätig sind, zu verringern und sicherzustellen, dass alle Unternehmen die notwendigen Cybersicherheitsanforderungen erfüllen.
Die NIS-2-Richtlinie schlägt vor, das Cyber-Risikomanagement durch die Einführung klarer Verantwortlichkeiten, angemessener Planung und verstärkter EU-Zusammenarbeit zu verbessern.
NIS 2 verpflichtet die Mitgliedstaaten zur Benennung nationaler Behörden, die für das Cyber-Krisenmanagement zuständig sind, führt nationale Reaktionspläne für große Cybersicherheitsvorfälle und -krisen ein und richtet ein europäisches Netzwerk von Verbindungsorganisationen für Cyberkrisen (EU-CYCLONe) ein, um das koordinierte Management großer Cybersicherheitsvorfälle und -krisen zu unterstützen.
Das EU-CYCLONe-Netzwerk ist eine Schlüsselkomponente des von der Kommission im Jahr 2017 entworfenen EU-Rahmens für das Cyberkrisenmanagement und trägt zu einer koordinierten Reaktion auf groß angelegte Sicherheitsvorfälle und Krisen bei.
Treffen Sie sich mit Matt und buchen Sie einen kostenlos 15 Min Rufen Sie unten an, um besser zu verstehen, wie Sie die NIS 2-Konformität in Ihrem Unternehmen implementieren können
Diese von NIS2Compliant.org kuratierte Seite bietet öffentlich zugängliche Informationen zu allem, was mit der kommenden NIS2-Richtlinie zu tun hat. Sie werden klar und prägnant präsentiert und sind somit leicht zu nutzen.
Haftungsausschluss
Die auf dieser Website bereitgestellten Informationen dienen ausschließlich Bildungs- und Informationszwecken. Der Inhalt ist kein Ersatz für professionelle Beratung oder sonstige Rechtsberatung, -dienstleistungen usw. Die Administratoren und Mitwirkenden der Website übernehmen keine Zusicherungen oder Gewährleistungen hinsichtlich der Informationen auf der Website. Wenn Sie sich auf diese Informationen verlassen, geschieht dies daher ausschließlich auf Ihr eigenes Risiko.
Urheberrecht: Nis2Compliant.org
