NIS-2-Richtlinie kurz vor Umsetzung

Die digitale Landschaft ist ständigen Veränderungen und Herausforderungen ausgesetzt. Die zunehmende Vernetzung von Systemen und die steigende Bedrohung durch Cyberangriffe haben die Europäische Union veranlasst, strengere Maßnahmen zur Gewährleistung der Cybersicherheit zu ergreifen. Eine dieser Maßnahmen ist die NIS-2-Richtlinie, die bis zum 17. Oktober 2024 in nationales Recht umgewandelt sein muss.

IT-Compliance im Unternehmen

Beitrag von Lennart Schafmeister —

Mit der Umsetzung müssen mehr Unternehmen als bisher – insbesondere auch im Bereich der Cloud-Dienste und sonstigen digitalen Dienstleistungen - Maßnahmen zum Schutz vor Cyberattacken ergreifen. Verstoßen Unternehmen gegen diese Pflicht, haften unter der neuen Richtlinie auch Geschäftsführer und sonstige Leitungsorgane persönlich für die Auswirkungen eines Angriffs.

Was sind die wichtigsten Punkte der NIS-2-Richtlinie?

  • Meldepflicht für Sicherheitsvorfälle: Schwerwiegende Sicherheitsvorfälle müssen den nationalen Behörden gemeldet werden.
  • Mindestsicherheitsanforderungen: Angemessene technische und organisatorische Maßnahmen müssen ergriffen werden, um Sicherheitsrisiken zu minimieren.
  • Risikomanagement und Compliance: Risikomanagementprozesse müssen implementiert und die Compliance-Anforderungen eingehalten werden, z.B.:
    • Durchführung einer Risikoanalyse
    • Einsatz gesicherter Notfall-Kommunikations-Systeme
    • Sicherstellung der Geschäftskontinuität
    • Mitarbeiterschulungen

Welche Unternehmen sind betroffen?

Die NIS-2-Richtlinie unterscheidet zwischen wesentlichen (besonders wichtigen) und wichtigen Unternehmen.
Zu den wesentlichen Einrichtungen gehören Unternehmen und Betreiber aus den folgenden Bereichen:

  • Energie
  • Öffentliche Verwaltung
  • Transport und Verkehr
  • Abwasserwirtschaft
  • Digitale Infrastruktur
  • Gesundheitswesen
  • Trinkwasserversorgung
  • Bankensektor
  • Finanzmarkt
  • Informations- und Kommunikationstechnik
  • Raumfahrt

Zu den wichtigen Einrichtungen gehören Unternehmen und Betreiber, die in einem der folgenden Bereiche tätig sind:

  • Forschung
  • Abfallwirtschaft
  • Herstellung, Produktion und Vertrieb von chemischen Stoffen
  • Herstellung, Produktion und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe (inkl. Medizinprodukte)
  • Digitale Dienstleistungen
  • Post- und Kurierdienste


Ob ein Unternehmen aus einer der o.a. Branchen von der NIS-2-Richtlinie betroffen ist, richtet sich in erster Linie nach ihrer Mitarbeiterzahl und / oder ihrem Jahresumsatz. In den Anwendungsbereich der Richtlinie fällt i.d.R. ein Unternehmen mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz. Unabhängig davon kann es im Einzelfall aber Organisationen geben, die stets unter den Anwendungsbereich der Richtlinie fallen, weil ein Cyberangriff in ihrem Sektor mit einem erhöhten Risiko für die Bereiche Sicherheit und Gesundheit einhergeht und katastrophalen Schaden anrichten kann.

Was ist zu tun?
Die NIS-2-Richtlinie erfordert eine proaktive Sicherheitsstrategie von Unternehmen. Wir empfehlen, unabhängig von der Unternehmensgröße, die Richtlinie als Anlass zu nehmen, ihre digitale Resilienz zu stärken und sich effektiv gegen Cyberbedrohungen zu schützen.

Gerne stehen wir Ihnen dabei beratend zur Seite!

Lennart Schafmeister

Rechtsanwalt, Fachanwalt für Informationstechnologierecht

Suche
Geben Sie Ihren Suchbegriff ein
Bitte warten…
Keine Ergebnisse

Leider hat Ihre Suche nichts ergeben. Versuchen Sie es gerne erneut mit einer anderen Eingabe.

Unser Tipp:

Verwenden Sie möglichst wenige Suchwörter und vermeiden Sie fehlerhafte Rechtschreibung.

Cookies
Unsere Website verwendet Cookies. Per Klick auf „alle Cookies zulassen“ erlauben Sie der Website, neben den für die Funktionalität notwendigen Cookies auch welche für Tracking-Zwecke (z.B. Google Analytics, Google Tag Manager) zu verwenden. Mehr zum Thema finden Sie unter Datenschutz.
Einstellungen anpassen