Köln, den 22. April 2024. Mit der umfassenden Cybersicherheitsrichtlinie NIS2, die bis 17. Oktober 2024 in nationales Recht umgewandelt werden muss, legt die EU neue Mindeststandards für Cybersicherheit fest. NIS2 betrifft dabei deutlich mehr Unternehmen als der Vorgänger NIS1, stellt höhere Anforderungen und steigert den Durchsetzungsdruck. Wir stehen Ihnen als Partner bei der Einführung von NIS2 zur Seite.
Was ist NIS2?
Die neue EU-Richtlinie: „Network and Information Systems Directive 2“ (NIS2) wird ab 17. Oktober 2024 die Richtlinie (EU) 2016/1148 (NIS-Richtlinie) aufheben und damit die bisher umfassendste europäische Cybersicherheitsrichtlinie sein. Ziel ist es, einen Grundstock an Sicherheitsmaßnahmen zu schaffen, das Risiko von Cyberangriffen zu mindern und das allgemeine Niveau der Cybersicherheit in der EU zu verbessern.
NIS2 baut auf früheren Rechtsvorschriften wie NIS1 und DSGVO auf, ergänzt diese jedoch um neue, höhere Anforderungen. Diese umfassen u.a. Risikobewertungen, Richtlinien und Verfahren für Kryptografie, Sicherheitsverfahren für Mitarbeitende mit Zugang zu sensiblen Daten, mehrstufige Authentifizierung und Schulungen zur Cybersicherheit. NIS2 legt dabei einen Schwerpunkt auf Sicherheit und Geschäftskontinuität, einschließlich der Sicherheit der Lieferkette.
Dadurch werden deutlich mehr Unternehmen als zuvor (über 160.000) in die Pflicht genommen. Zur Identifizierung der entsprechenden Unternehmen hat die EU 18 kritische Sektoren definiert, darunter z.B. Energie, Transportwesen oder Lebensmittel; zusätzlich wird die Unternehmensgröße berücksichtigt. Neben einer höheren Anzahl an betroffenen Unternehmen steigen auch Berichtspflicht und Durchsetzungsdruck.
Welche Anforderungen legt NIS2?
NIS2 legt sowohl eine Benchmark für Mindestmaßnahmen für Cybersicherheit als auch klare Richtlinien für die Meldung von Sicherheitsvorfällen und potenziellen Schwachstellen fest. Die Anforderungen umfassen dabei folgende vier Ziele: