Absatz auswählen
Warum müssen viele Unternehmen jetzt handeln?Wie ist die NIS2 Richtlinie entstanden?Welche Unternehmen sind von NIS2 betroffen?Welche Pflichten kommen mit NIS2 auf die betroffenen Unternehmen zu?Welche Sanktionen drohen bei Verstößen?Informationssicherheits-Managementsystems (ISMS)Sichere Produkte von Plusnet: Aktuelle IT- und-TK-Technologie
Plusnet Standard-Keyvisual ist Welle aus farbigen Streifen vor grauem Hintergrund

NIS2 Richtlinie: The Network and Information Security (NIS) Directive

Die EU-Richtlinie NIS2, die ab dem 18. Oktober 2024 in Deutschland durch das NIS2UmsuCG umgesetzt wird, strebt eine Vereinheitlichung und Verstärkung der Cybersicherheit in den EU-Mitgliedstaaten an. Sie erweitert den Anwendungsbereich über große KRITIS-Betreiber hinaus auf mittlere Unternehmen, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz von 10 Millionen Euro erzielen. Insgesamt fallen dadurch etwa 30.000 Unternehmen in Deutschland unter diese Regelung. NIS2 schreibt umfangreiche organisatorische und technische Maßnahmen vor und führt strengere Strafen bei Nichteinhaltung ein, einschließlich der persönlichen Haftung von Geschäftsführern. Unternehmen können die Richtlinie durch ein Informationssicherheits-Managementsystem nach ISO 27001 umsetzen.


Warum müssen viele Unternehmen jetzt handeln?

  • Mit der neuen Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) will die Europäische Union die Cybersicherheit in den EU-Mitgliedsstaaten vereinheitlichen und das Sicherheitsniveau deutlich erhöhen
  • In Deutschland tritt die Richtline am 18. Oktober 2024 mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft.
  • Die Richtlinie umfasst künftig nicht nur Großunternehmen, die als Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) gelten, sondern auch zahlreiche „wichtige Unternehmen“ ab bereits 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz. Damit fallen in Deutschland ca. 30.000 Unternehmen unter die NIS2.
  • Die Anforderungen und Pflichten, die die NIS2-Richtlinie vorsieht, sind umfangreich und sie umfassen interne organisatorische Prozesse inklusive personeller Zuständigkeiten, als auch technische Maßnahmen.
  • Mit der NIS2-Richtlinie werden strengere Strafen für Verstöße eingeführt. Der deutsche Gesetzesentwurf sieht dabei auch eine private Haftung von Geschäftsführern vor.
  • Die Anforderungen zur Umsetzung der NIS2 lassen sich nach aktuellem Stand mit einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 erfüllen.

Wie ist die NIS2 Richtlinie entstanden?

Die Europäische Union führte 2016 eine Richtlinie für Network and Information Security (NIS bzw. NIS1) ein, um für die Gesellschaft wichtige Einrichtungen und Unternehmen zu schützen und in den Mitgliedstaaten einheitliche Sicherheitsstandards zu schaffen. Die Richtlinie enthält verbindliche Vorgaben, wie Betreiber kritischer Infrastrukturen (KRITIS) ihre Systeme zu schützen haben. Zu den KRITIS-Unternehmen zählen Unternehmen und Einrichtungen mit hoher gesellschaftlicher Relevanz, wie zum Beispiel Energieversorger und Banken.

Die fortschreitende Digitalisierung zum einen und die wachsende Bedrohung aufgrund geopolitischer Spannungen zum anderen machten eine Neuauflage der Richtlinie aus EU-Sicht notwendig. Im Januar 2023 führte sie darum die NIS2-Richtlinie ein, die von den EU-Mitgliedsstaaten bis Oktober 2024 in nationales Recht umgesetzt werden muss.

Welche Unternehmen sind von NIS2 sind betroffen?

Ob ein Unternehmen unter die NIS2-Richtlinien fällt, wird durch zwei Kriterien bestimmt: Die Zugehörigkeit zu bestimmten Sektoren und die Unternehmensgröße.
Gegenüber der ersten NIS-Richtlinie wurden die Sektoren erweitert. Zu Großunternehmen aus dem Bereich kritischer Infrastrukturen, die in NIS2 als „sehr wichtige Einrichtungen“ eingestuft werden, führt die neue Richtline zusätzlich „wichtige Einrichtungen“ ein, die den Umfang der Kritischen Infrastruktur erweitern. So fallen nun auch Unternehmen wie digitale Marktplätze oder die Lebensmittelindustrie unter die NIS2-Richtlinie.

Durch die Erweiterung der Sektoren der „wichtigen Einrichtungen“ gelangen viele mittlere Unternehmen in das Wirkungsfeld von NIS2. Um das zweite Kriterium, die Unternehmensgröße, einheitlich in den EU-Mitgliedstaaten zu regeln, führt NIS2 die sogenannte Size-Cap-Regel als Schwellenwert ein. Laut dieser kann ein Unternehmen unter die Richtlinie fallen, wenn es entweder

  • mindestens 50 Mitarbeitende beschäftigt oder
  • der Jahresumsatz und die Jahresbilanzsumme jeweils 10 Mio. Euro übersteigen.

Auch kleine Unternehmen können betroffen sein, wenn sie kritische Tätigkeiten ausüben, die Auswirkungen auf die öffentliche Ordnung nehmen oder Systemrisiken sowie grenzüberschreitende Auswirkungen bestehen.
Außerdem könnten von NIS2 betroffene Organisationen aufgrund ihrer Kritikalität gezwungen sein in der gesamten Lieferkette strenge Sicherheitsvorkehrungen durchzusetzen und so auch kleinste Lieferanten zu entsprechenden Maßnahmen verpflichten.

Welche Pflichten kommen mit NIS2 auf die betroffenen Unternehmen zu?

Jedes große und mittlere Unternehmen sollte sich jetzt proaktiv mit dem Thema Informationssicherheit befassen und prüfen, ob es den NIS2-Kriterien unterliegt. Denn die Richtlinie sieht vor, dass sich Firmen selbst einordnen als „besonders wichtige Einrichtung“ (beziehungsweise KRITIS) oder „wichtige Einrichtung“. Unternehmen, die in eine der Kategorien fallen, müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

Kommt es zu Sicherheitsvorfällen, müssen diese in klar definierten Zeiträumen gemeldet werden. Auch interne Schulungen und Unterweisungen gehören zu den Maßnahmen, um die Sicherheit zu erhöhen. Dabei betont NIS2 die Verantwortung des Managements und sieht für Unternehmensführungen schärfere Sanktionen bei Verstößen vor – das Thema Cybersicherheit kann künftig also nicht mehr so einfach „wegdelegiert“ werden.

Welche Sanktionen drohen bei Verstößen?

  • Sehr wichtige Einrichtungen:
    • bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes
  • Wichtige Einrichtungen:
    • bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes
  • Geschäftsführer und andere Leitungsorgane haften bei Verstößen persönlich

Informationssicherheits-Managementsystem (ISMS)

Der effektivste Weg, die NIS2-Vorgaben umzusetzen, ist die Implementierung eines ganzheitlichen Informationssicherheits-Managementsystems (ISMS) nach dem internationalen Goldstandard für Informationssicherheit, der ISO 27001. Das ISMS berücksichtigt sowohl technische als auch menschliche Sicherheitsaspekte – ein wichtiges Zusammenspiel für den Schutz vor Cyberattacken in Unternehmen.

Sichere Produkte von Plusnet: Aktuelle IT- und-TK-Technologie

Die NIS2-Richtlinie fordert technische und organisatorische Maßnahmen (TOM) gemäß dem Stand der Technik. Um den Schutz ihrer digitalen Infrastrukturen und Dienste zu gewährleisten, sind Unternehmen verpflichtet, die aktuellen technologischen Entwicklungen zu berücksichtigen und angemessene Sicherheitsvorkehrungen zu treffen.

Als einer der führenden Partner in Telekommunikation und Schrittmacher für die digitale Zukunft von Mittelstand, Großkunden und Kommunen in Deutschland bietet Plusnet ein vielfältiges Portfolio an sicheren Lösungen für Internet, Telefonie und Vernetzung sowie Gigaspeed-Technologie. Als Teil der EnBW, einem der größten Energieversorger Deutschlands, verfügt Plusnet über ein tiefgreifendes Verständnis der Anforderungen und Herausforderungen, mit denen Betreiber kritischer Infrastrukturen konfrontiert sind.

Die ISO-Zertifizierungen von Plusnet, darunter insbesondere die ISO/IEC 27001 für Informationssicherheitsmanagement (ISMS), sind ein Beleg für das Engagement des Unternehmens, höchste Sicherheitsstandards zu erfüllen und kontinuierlich zu verbessern.

Plusnet Standard-Keyvisual ist Welle aus farbigen Streifen vor grauem Hintergrund
Vielleicht interessiert Sie auch:

Kostenlose Studie zur Umsetzung NIS2 in Deutschland

  • Wie weit sind Unternehmen bei der Umsetzung von NIS2?
  • Welche Herausforderungen bei der NIS2-Umsetzung sind noch zu meistern?
  • Und wo steht Ihr Unternehmen im Vergleich zu Anderen?
Zur kostenlosen NIS2 Studie
Prüfen Sie die Verfügbarkeit für Ihre Adresse:
Wir informieren Sie, sobald Ihre Adresse im Ausbaugebiet für Glasfaser liegt.
Bitte füllen Sie dazu das Formular möglichst vollständig aus.

Tipp

Schon jetzt vormerken lassen

Ich habe die aktuellen Datenschutzbestimmungen gelesen und akzeptiere diese. Ich stimme zu, dass mich die Plusnet GmbH zum Zwecke der Beratung hinsichtlich des Glasfaserausbaus an meiner Anschlussadresse und den verfügbaren Plusnet Glasfaser Home / Office Produkten persönlich, telefonisch, per E-Mail oder per anderer Textform unter Nutzung meiner Bestandsdaten (z.B. Name und Adresse) kontaktiert und die dabei gewonnenen Daten zu vorstehendem Zwecke verarbeitet und nutzt.

Vielen Dank für Ihre Anfrage. Wir werden Ihre Anfrage schnellstmöglich bearbeiten.Das Formular konnte nicht verarbeitet werden. Bitte prüfen Sie Ihre Eingaben und versuchen es erneut.

Ich habe die aktuellen Datenschutzbestimmungen gelesen und akzeptiere diese. Ich stimme zu, dass mich die Plusnet GmbH zum Zwecke der Beratung hinsichtlich des Glasfaserausbaus an meiner Anschlussadresse und den verfügbaren Plusnet Glasfaser Home / Office Produkten persönlich, telefonisch, per E-Mail oder per anderer Textform unter Nutzung meiner Bestandsdaten (z.B. Name und Adresse) kontaktiert und die dabei gewonnenen Daten zu vorstehendem Zwecke verarbeitet und nutzt.

Vielen Dank für Ihre Anfrage. Wir werden Ihre Anfrage schnellstmöglich bearbeiten.Das Formular konnte nicht verarbeitet werden. Bitte prüfen Sie Ihre Eingaben und versuchen es erneut.