Wofür steht NIS2?
NIS2 ist eine EU-Richtlinie zur Stärkung der Cybersicherheit kritischer und wichtiger Einrichtungen in Europa. Sie trat im Januar 2023 in Kraft und ersetzte die ursprüngliche NIS-Richtlinie von 2016, um auf die wachsende Bedrohungslage im digitalen Raum zu reagieren. Die Mitgliedstaaten waren verpflichtet, NIS2 (Network and Information Security Directive 2) bis Oktober 2024 in nationales Recht umzusetzen.
Wer ist von NIS2 betroffen?
NIS2 erweitert den Geltungsbereich deutlich. Sie erfasst Unternehmen und Organisationen aus 18 Sektoren, darunter Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, Banken und öffentliche Verwaltung. Unterschieden wird zwischen „wesentlichen Einrichtungen" (Essential Entities) und „wichtigen Einrichtungen" (Important Entities), für die unterschiedlich strenge Aufsichtsregime gelten. Grundsätzlich fallen Organisationen in den Anwendungsbereich, die mindestens 50 Mitarbeitende beschäftigen und einen Jahresumsatz oder eine Jahresbilanzsumme von über 10 Millionen Euro aufweisen. Bestimmte Einrichtungen fallen unabhängig von ihrer Größe in den Anwendungsbereich.
Anforderungen unter NIS2
Betroffene Organisationen sind verpflichtet, angemessene technische und organisatorische Maßnahmen zur Risikosteuerung im Bereich Cybersicherheit zu implementieren. Zu den zentralen Anforderungen gehören:
- Konzepte zur Informationssicherheit und zum Risikomanagement
- Maßnahmen zur Business Continuity und zum Krisenmanagement
- Sicherheit in der Lieferkette
- Verfahren zur Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
- Meldepflicht bei Sicherheitsvorfällen: Erstmeldung innerhalb von 24 Stunden, detaillierte Folgemeldung innerhalb von 72 Stunden
Konsequenzen bei NIS-2-Verstößen
NIS2 führt eine persönliche Haftung der Geschäftsführung ein. Leitungsorgane können bei Verstößen direkt verantwortlich gemacht werden, was die Relevanz des Themas auf Vorstandsebene deutlich erhöht. Die Bußgelder betragen für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen sind Bußgelder von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes vorgesehen, wiederum je nachdem, welcher Betrag höher ausfällt