Verstöße gegen die Verpflichtungen aus NIS-2 können mit empfindlichen Geldbußen geahndet werden. Die Bußgelder können je nach Sektorzugehörigkeit bis zu 10 Millionen Euro bzw. 2% des Vorjahresumsatzes betragen – je nachdem welcher Wert höher ist. Unternehmen in den von NIS-2 betroffenen Branchen sollten daher dringend prüfen, ob NIS-2 bzw. NIS2UmsuCG auf sie anwendbar sind und welche Maßnahmen zu ergreifen sind.
Die von NIS-2 betroffenen Unternehmen und Institutionen müssen jetzt handeln
Neben den bereits durch die KRITIS-Verordnung stark regulierten Sektoren mit hoher Kritikalität (z.B. Energie, Transport, Banken, Finanzmarktinfrastrukturen und Gesundheit) müssen auch weitere kritische Sektoren die in NIS-2 beschriebenen Anforderungen erfüllen. Zu den weiteren kritischen Sektoren zählen unter anderem die Abfallwirtschaft, Post- und Kurierdienste, die Lebensmittelindustrie, der Forschungssektor, Betreiber öffentlicher elektronischer Netze sowie Kommunikationsdienste.
Verpflichtungen nach NIS-2: Ein erster Überblick
- Zustimmung und Überwachung von Cybersicherheitsmaßnahmen durch die Geschäftsleitung. Im Falle von Pflichtverletzungen haftet die Geschäftsleitung persönlich gegenüber dem Unternehmen;
- Anwendungsbereich für Unternehmen in relevanten Sektoren prüfen. Dies beinhaltet auch die Herausforderung für Konzernunternehmen, die richtigen Zahlen für Umsatz- und Mitarbeiterberechnungen zu bestimmen;
- Anpassung bestehender Prozesse und Dokumentationen. Dies beinhaltet unter anderem eine Bewertung der Reife dieser Prozesse, um festzustellen, welche Maßnahmen erforderlich sind.
Gemeinsam für NIS-2-Konformität und mehr Cybersicherheit in Ihrem Unternehmen
Unser Ziel ist es, Ihr Unternehmen nicht nur konform zu den neuesten Sicherheitsvorschriften zu machen, sondern auch seine Widerstandsfähigkeit gegenüber Cyberbedrohungen signifikant zu erhöhen. Unsere Expertinnen und Experten prüfen sorgfältig, inwieweit die NIS 2-Richtlinie für Ihr Unternehmen gilt. Außerdem erhalten Sie einen individuellen Pflichtenkatalog, der speziell auf Ihre Bedürfnisse zugeschnitten ist. Durch eine detaillierte Analyse des Ist-Zustandes Ihrer Cybersicherheitsprozesse und einem Vergleich mit den nach NIS-2 geforderten Maßnahmen (Gap-Analyse) identifizieren wir präzise, wo Ihre Sicherheitsmaßnahmen verstärkt werden müssen. Zudem legen wir die erforderlichen Maßnahmen fest, um eine vollständige NIS-2-Konformität zu erreichen, und unterstützen Sie aktiv bei der Umsetzung dieser Maßnahmen.
Nutzen Sie die Gelegenheit, Ihre Cybersicherheit auf das nächste Level zu bringen. Vereinbaren Sie noch heute einen Termin für eine kostenlose Erstberatung, um Ihre IT-Sicherheit zu stärken und Ihre Compliance-Ziele zu erreichen.
Häufig gestellte Fragen zum NIS2UmsuCG:
Der persönliche Anwendungsbereich des NIS2UmsuCG unterscheidet sich erheblich von dem der ursprünglichen NIS-Richtlinie von 2016. Er richtet sich nicht nur an Betreiber kritischer Infrastrukturen und Anbieter von digitalen Diensten, sondern auch an wichtige und besonders wichtige Einrichtungen. Wichtige Einrichtungen sind beispielsweise Anbieter digitaler Dienste oder Unternehmen mit mindestens 50 Mitarbeitern aus Sektoren wie Transport, Abfallentsorgung oder Forschung. Besonders wichtige Einrichtungen sind Betreiber kritischer Infrastruktur sowie Unternehmen mit mindestens 250 Mitarbeitern aus Bereichen wie Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Wasserwirtschaft, Informationstechnik und Telekommunikation.
Das NIS2UmsuCG schreibt verschiedene Pflichten vor. Dazu gehören Risikomanagementmaßnahmen im Bereich der Cybersicherheit, die durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachgewiesen werden müssen. Außerdem müssen diverse Registrierungs-, Melde- und Unterrichtungspflichten erfüllt werden. Geschäftsführende Personen müssen Genehmigungs-, Aufsichts- und Schulungspflichten erfüllen. Darüber hinaus gibt es Registrierungspflichten für bestimmte Anbieter und eine separate Datenbank für die Registrierungsdaten von Domänennamen.
Das NIS2UmsuCG gilt grundsätzlich für alle Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz von über 50 Millionen Euro, die in den von der EU definierten Sektoren tätig sind. Darüber hinaus gibt es spezifische Vorschriften, die unabhängig von der Größe für bestimmte Einrichtungen gelten, wie beispielsweise Anbieter öffentlicher elektronischer Kommunikationsnetze. Es besteht auch eine indirekte Betroffenheit für kleinere Unternehmen, die als Dienstleister oder Lieferanten für direkt betroffene Unternehmen tätig sind.
Bei Nichteinhaltung der NIS2-Anforderungen können Unternehmen und Einrichtungen mit Bußgeldern von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Gesamtumsatzes des vorherigen Geschäftsjahres belegt werden. Diese Strafen unterstreichen die Wichtigkeit der Einhaltung der Richtlinie.
Die NIS2-Richtlinie trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 umsetzen, in Deutschland geschieht dies voraussichtlich durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Aktuell liegt ein Diskussionspapier des Bundesministeriums des Innern und für Heimat zu „Wirtschaftsbezogenen Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland“ vor
SiCO bietet umfassende Beratungs-, Schulungs- und Unterstützungsleistungen, um Unternehmen bei der Umsetzung der NIS2-Richtlinie zu unterstützen. Dazu gehören die Analyse der spezifischen Anforderungen, die Entwicklung und Implementierung angepasster Sicherheitsmaßnahmen sowie Schulungen und Bewusstseinsbildung bei Mitarbeitenden.
Nutzen Sie die Gelegenheit, Ihre Cybersicherheit auf das nächste Level zu bringen. Vereinbaren Sie noch heute einen Termin für eine kostenlose Erstberatung, um Ihre IT-Sicherheit zu stärken und Ihre Compliance-Ziele zu erreichen.