Was ist die NIS2-Richtlinie?
Die (EU) NIS2-Richtlinie 2022/2555 ist eine Aktualisierung der Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS) mit dem Ziel, die Cybersicherheitsmaßnahmen in allen EU-Mitgliedstaaten zu stärken und zu vereinheitlichen.
Diese Richtlinie gilt für Unternehmen in der Europäischen Union, deren Tätigkeiten als wesentlich für das Funktionieren der europäischen Wirtschaft und Gesellschaft angesehen werden.
Die NIS2 unterteilt die Unternehmen in zwei Typen:
- Wesentliche Unternehmen (EE): Unternehmen des Verkehrssektors, Versorgungsunternehmen wie Elektrizität und Wasser, Gesundheitswesen (Krankenhäuser und Gesundheitszentren) und Banken.
- Wichtige Einrichtungen (IE): Kurierunternehmen, Digitalanbieter, Abfallentsorgungsunternehmen, Produktionsbetriebe, Lebensmittelunternehmen.
Die erste Art von Unternehmen, die EE, muss anspruchsvollere Anforderungen in Bezug auf die Einhaltung von Vorschriften, Meldepflichten für Vorfälle und Sicherheitsmaßnahmen erfüllen.
Von der NIS2 geforderte Cybersicherheitsmaßnahmen
Die Unternehmen müssen sowohl Maßnahmen zur Cybersicherheit als auch zum Risikomanagement einhalten, z. B:
- Implementierung eines Multi-Faktor-Authentifizierungssystems (MFA).
- Kontrolle des Zugangs zu Systemen mit einem Mindestmaß an Berechtigungen.
- Sicherheit in der Lieferkette, Gewährleistung sicherheitsrelevanter Aspekte in den Beziehungen zwischen den verschiedenen Teilen des Unternehmens (Unternehmen, Lieferanten usw.).
- Präventionssysteme zur Erkennung und Verhinderung von Cyberangriffen.
- Backup-Richtlinien, ein System zur Datenwiederherstellung und Geschäftskontinuität.
- Cybersicherheitsschulungen für alle Mitarbeiter des Unternehmens und die Entwicklung von Cyberhygienemaßnahmen.
Wann ist das Datum des Inkrafttretens der Verordnung?
Diese Richtlinie ist am 16. Januar 2023 in Kraft getreten und alle Mitgliedstaaten müssen bis zum 17. Oktober 2024 die erforderlichen Maßnahmen ergreifen, um der Richtlinie nachzukommen.
Was sind die Sanktionen bei Nichteinhaltung?
Im Falle der Nichtanwendung der NIS2-Verordnung können Sanktionen wegen Nichteinhaltung verhängt werden:
- Für „wesentliche Unternehmen“ (EE): höchstens 10 Mio. EUR oder höchstens 2 % des gesamten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr.
- 7 Millionen oder höchstens 1,4 % des weltweiten Gesamtjahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr.