Zum Hauptinhalt springen

Was ist NIS2?

NIS2 ist die Abkürzung für „Network and Information Security 2“ und betitelt die schon 2023 in Kraft getretene Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (EU-Richtlinie 2022/2555). Der Fokus von NIS2 liegt auf den Bereichen Cybersecurity und Informationstechnik. Die NIS2-Richtlinie ersetzt vollständig die NIS-Richtlinie von 2016. 

Welches Ziel verfolgt NIS2?

Mit NIS2 stellt die Europäische Union Mindestanforderungen zur Stärkung der IT-Sicherheit und der Verbesserung der Resilienz kritischer Wirtschaftsbereiche. So sollen große Teile der europäischen Wirtschaft geschützt und eine einheitliche Umsetzung von Cybersecurity in der Europäischen Union erreicht werden.

Was bedeutet NIS2 für Systemhäuser und IT-Dienstleister?

NIS2 bei den Kunden rechtzeitig umzusetzen ist eine Herausforderung – und eine Chance. Systemhäuser und Fachhändler sind viel mehr als nur Erfüllungsgehilfen eines Gesetzes. Sie gehen mit der eigenen Expertise für IT-Sicherheit bei der Beratung ihrer Kunden voran und sorgen für den notwendigen Schutz.

Im Zusammenhang mit der Einführung von NIS2 entstehen viele Fragen, die wir im Rahmen eines Webinars beantworten werden.

Webinar-Termin:     Donnerstag, 29.02.2024, 9-10 Uhr
JETZT ANMELDEN

  • Welche Unternehmen sind von NIS2 betroffen und warum?
  • Welche Rechte und Pflichten sind damit verbunden?
  • Wie ist der Stand der Dinge beim Gesetzgebungsverfahren?
  • Mit welchen Schritten könnt Ihr in Unternehmen NIS2 umsetzen?
  • Was bedeutet NIS2 für Managed Service Provider (MSP)?

Ab wann wird NIS2 zu nationalem Recht?

Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz: NIS2UmsuCG) soll die EU-Richtlinie in Deutschland umgesetzt werden. Verschiedene Referentenentwürfe und ein Diskussionspapier stehen zur Debatte. Eine finale Fassung des Umsetzungsgesetzes liegt noch nicht vor. Ein neuer Referentenentwurf wird im März 2024 erwartet.

In Österreich soll die Systematik des bestehenden NIS-Gesetz (Netz- und Informationssystemsicherheitsgesetz) an die NIS2-Richtlinie der EU angepasst werden.

Ab wann gilt NIS2?

NIS2 legt fest, dass bis zum 17. Oktober 2024 die EU-Mitgliedsstaaten die erforderlichen Vorschriften erlassen und veröffentlichen. Entsprechend sollen die Vorschriften ab dem 18. Oktober 2024 anzuwenden sein. 

Mehr zum Gesetzgebungsverfahren lesen.

Für wen gilt NIS2?

Der Anwendungsbereich der NIS2-Richtlinie geht weit über die bisher bekannten kritischen Infrastrukturen (KRITIS) hinaus. Unternehmen fallen dann in den Anwendungsbereich der NIS2, wenn sie

  • den definierten Schwellenwerten entsprechen,
  • in den in NIS2 aufgeführten 18 Wirtschaftssektoren tätig sind und/oder
  • Dienste im Zusammenhang der Netzwerk- und Informationssicherheit erbringen.

Grundsätzlich findet NIS2 Anwendung für mittlere Unternehmen oder für Unternehmen, die die Schwellenwerte für mittlere Unternehmen überschreiten. 

Mittleres Unternehmen:

  • Mindestens 50 und weniger als 250 Beschäftigte und
  • entweder einen Jahresumsatz von mindestens 10 Mio. Euro, aber höchstens 50 Mio. Euro oder
  • eine Jahresbilanzsumme von mindestens 10 Mio. Euro, aber höchstens 43 Mio. Euro.

Unabhängig von der Größe der Einrichtungen gilt die NIS2-Richtlinie auch für Einrichtungen, die in einem der in NIS2 aufgeführten 18 Sektoren tätig sind. Dazu zählen z. B. der Sektor Energie oder Verwaltung von IKT-Diensten bzw. Verarbeitendes Gewerbe/Herstellung von Waren oder Anbieter digitaler Dienste.

Wesentliche und wichtige Einrichtungen

NIS2 unterscheidet darüber hinaus noch „wesentliche Einrichtungen“ und „wichtige Einrichtungen“.

Unternehmen gelten als „wesentliche Einrichtung“, wenn sie in einem Sektor mit hoher Kritikalität tätig sind sowie den Schwellenwert für ein mittleres Unternehmen überschreiten, d. h. mindestens 250 Beschäftigte zählen und entweder über 50 Mio. Jahresumsatz oder eine Bilanzsumme von über 43 Mio. Euro aufweisen.

Unternehmen gelten als „wichtige Einrichtung“, wenn sie in einem der insgesamt aufgeführten 18 Sektoren tätig sind und nicht unter die Definition der „wesentlichen Einrichtungen“ fallen.

Mehr zum Geltungsbereich von NIS2 erfahren.

Wichtig: Umsetzung für Kleinunternehmen

Klein- und Kleinstunternehmen können ebenfalls unter die Richtlinie fallen, wenn sie in einem der 18 Sektoren bzw. in einem von NIS2 als Sonderfälle benannten Diensten tätig sind.

Welche Vorgaben macht NIS2?

Zu den einzelnen IT-Sicherheitsmaßnahmen macht NIS2 zahlreiche Vorgaben – angefangen bei einem Konzept für das Risikomanagement über technische Maßnahmen bis hin zu Meldefristen bei Sicherheitsvorfällen.

NIS2 fordert einen präventiven Ansatz für die IT-Sicherheit und ein entsprechendes Risikomanagement. Netz- und Informationssysteme müssen nach dieser Vorgabe abgesichert werden. Folgende Maßnahmen sind nach NIS2 u.a. vorgesehen: Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Bewertung von Risikomanagementmaßnahmen, Schulungen im Bereich der Cybersicherheit.

Was bedeutet Cyberhygiene nach NIS2?

Vor dem Hintergrund der Zunahme von Cyberangriffen und einer hohen Bedrohungslage wird Prävention in der IT-Sicherheit immer wichtiger. Mit der NIS2-Richtlinie wird die bessere Vorbeugung gegen IT-Sicherheitsvorfälle europaweit verankert. Der Grundsatz lautet: Eine zuverlässige Cyberhygiene schützt die Hard- und Software sowie die Geschäfts- und Endnutzerdaten von Unternehmen. Dazu gehören zum Beispiel regelmäßige Updates, ein ordentliches Passwortmanagement, systematische Datensicherungen oder sichere Authentifizierung.