NIS-2-Richtlinie: So sorgen Sie für Compliance

Wir helfen Ihnen, die Anforderungen zu erfüllen

Was ist die NIS2?Sind Sie betroffen?

 

Die NIS-2-Richtlinie ist im Januar 2023 in Kraft getreten. Den EU-Mitgliedstaaten wurde eine Frist bis zum 17. Oktober 2024 eingeräumt, um die Sicherheitsvorschriften der NIS2 in nationales Recht umzusetzen. Ab diesem Zeitpunkt müssen alle Unternehmen, die in den Anwendungsbereich der NIS2 fallen, die Einhaltung der aktualisierten Anforderungen sicherstellen.

Sophos-Lösungen für die NIS2

strengthen-your-nis2-cybersecurity-strategy-with-sophos

Welche Neuerungen bringt die NIS2?

NIS2 ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016, die der erste EU-weite Rechtsakt zur Cybersicherheit war. Die NIS2 erweitert den Anwendungsbereich des ursprünglichen Rahmens auf weitere Branchen, bringt strenge Aufsichtsmaßnahmen für nationale Behörden, verstärkt den Fokus auf Lieferketten und verlangt eine strengere Durchsetzung sowie strengere Sanktionen bei Verstößen.

nis-vs-nis2-compare-de

Erfahren Sie mehr über den Anwendungsbereich, die Definitionen und den Kontext der NIS-2-Terminologie

NIS-2-Whitepaper lesen

Für wen gilt die NIS2?

Die ursprüngliche NIS-Richtlinie galt in erster Linie für kritische Infrastrukturen. Die Anforderungen der Richtlinie bezogen sich nur auf 7 Branchen als "Betreiber wesentlicher Dienste" und 3 Branchen als "Digitale Dienste". Im Rahmen der NIS2 wurde der Anwendungsbereich deutlich erweitert: auf 11 Branchen, die als "wesentliche Einrichtungen" gelten und 7 Branchen, die als "wichtige Einrichtungen" gelten.

Wesentliche Einrichtungen unterliegen einem intensiveren Aufsichtskonzept, bei dem sowohl die Ex-ante- als auch die Ex-post-Einhaltung überwacht werden (das bedeutet, dass Einrichtungen ab Einführung der NIS2 die Aufsichtsanforderungen erfüllen müssen). Wichtige Einrichtungen unterliegen einem einfachen, ausschließlich nachträglichen Aufsichtssystem (d. h. Maßnahmen werden nur ergriffen, wenn den zuständigen Behörden Belege für Verstöße gegen die Richtlinie zur Kenntnis gebracht werden).

Eine Organisation fällt unter die NIS-2-Richtlinie, wenn:

  • Die Organisation Dienstleistungen erbringt oder Tätigkeiten in einem der EU-Mitgliedstaaten ausübt
  • Die Organisation mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz bzw. eine Jahresbilanz von über 10 Mio. € aufweist
  • Die Organisation in einem der 18 Sektoren tätig ist, die in Anhang I und Anhang II der NIS2 aufgeführt sind

Die NIS2 stuft Organisationen in 18 Branchen als wesentliche Einrichtungen bzw. wichtige Einrichtungen ein, je nach Jahresumsatz und Größe der Organisation:

Wesentliche Einrichtungen:

Dabei handelt es sich in der Regel um mittlere und große Organisationen, die als wirtschaftlich kritisch angesehen werden und zu einer Branche gehören, die in der nachfolgenden Tabelle in der linken Spalte aufgeführt ist.

Wichtige Einrichtungen:

Dabei handelt es sich in der Regel um mittlere und große Organisationen, die als wirtschaftlich wichtig, aber nicht kritisch angesehen werden und zu einer Branche gehören, die in der nachfolgenden Tabelle in der rechen Spalte aufgeführt ist.

Ausnahmen: Unternehmen, die in einem EU-Mitgliedsstaat der einzige Anbieter eines bestimmten Dienstes sind oder auf die eine Störung des erbrachten Dienstes wesentliche Auswirkungen haben könnte, können unabhängig von ihrer Größe als wesentliche oder wichtige Einrichtung eingestuft werden.

Typische Kriterien, nach denen Organisationen als groß eingestuft werden:

  • Mind. 250 Mitarbeiter oder
  • Jahresumsatz von mind. 50 Mio. € und Bilanzsumme von mind. 43 Mio. €

Kriterien, nach denen Organisationen als mittelgroß eingestuft werden:

  • Mind. 50 Mitarbeiter oder
  • Jahresumsatz und Bilanzsumme von mind. 10 Mio. €

Kleine und Kleinstorganisationen sind nicht vom Anwendungsbereich der NIS2 ausgeschlossen. Mitgliedstaaten können die NIS-2-Anforderungen auf Einrichtungen ausweiten, die eine Schlüsselrolle für die Gesellschaft, Wirtschaft oder bestimmte Branchen bzw. Arten von Dienstleistungen spielen und in diesem Zusammenhang spezifische Anforderungen erfüllen.

nis2-industries-de
test-icon

Sie sind nicht sicher, ob die NIS2 für Sie gilt?

Nutzen Sie unser NIS-2-Self-Assessment.

Jetzt prüfen

Sanktionen bei Verstößen gegen die NIS2

Die NIS2 bringt strengere Sanktionen für wesentliche und wichtige Einrichtungen, wenn diese Sicherheitsanforderungen missachten oder bei Vorfällen ihrer Meldepflicht nicht nachkommen. Die Geldbußen können je nach Mitgliedstaat variieren. Im Rahmen der NIS2 wird jedoch mittels Auflistung administrativer Mindestsanktionen eine Harmonisierung der Geldbußen in allen Mitgliedstaaten angestrebt. Zu den verschiedenen Sanktionen für Verstöße gehören:

Nicht monetäre Sanktionen

Die NIS2 gibt den nationalen Aufsichtsbehörden mehr Befugnisse zum Überwachen und Durchsetzen der Einhaltung mithilfe nicht monetärer Maßnahmen, einschließlich:

  • Verfügungen (Regulierungsbehörden können eine Verfügung zum Umsetzen bestimmter Maßnahmen erlassen)
  • Verbindliche Anweisungen (Regulierungsbehörden können Einrichtungen zum Ergreifen bestimmter Maßnahmen verpflichten)
  • Verfügungen zur Durchführung von Sicherheitsprüfungen (behördliche Verfügungen zur Durchführung einer Sicherheitsmaßnahme)
  • Verfügungen zur Benachrichtigung von Kunden der Einrichtungen über Bedrohungen (öffentliche Bekanntmachung des Verstoßes)
  • Vorübergehende Verbote (behördliche Verfügungen, die dem Management die Ausübung von Leitungsaufgaben untersagen)

Geldbußen

  • Für wesentliche Einrichtungen: Höchstbetrag von 10.000.000 € oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
  • Für wichtige Einrichtungen: Maximal 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Persönliche Haftung von Führungskräften wesentlicher und wichtiger Einrichtungen

Die NIS2 umfasst neue Maßnahmen, mit denen Mitgliedstaaten die Geschäftsleitung (z. B. Vorstandsmitglieder, Direktoren, Führungskräfte) wesentlicher und wichtiger Einrichtungen persönlich für die NIS-2-Anforderungen haftbar machen können. In diesem Zusammenhang muss das betreffende Unternehmen Verstöße gegen die Richtlinie öffentlich bekannt machen, die Art des Verstoßes und die schuldhafte(n) Person(en) öffentlich benennen und Einzelpersonen vorübergehend von Führungspositionen ausschließen. Außerdem können Führungskräfte persönlich haftbar gemacht werden, wenn sie ihren Pflichten auf dem Gebiet des Cybersicherheits-Managements grob fahrlässig nicht nachgekommen sind.

Sophos-Lösungen für die NIS2

Kostenfreies On-Demand-Webinar zur NIS2

Informieren Sie sich im On-Demand-Webinar mit Rechtsanwalt Dr. Paul Vogel und Cybersecurity-Experte Martin Weiß Erfahren Sie, ob Sie betroffen sind, welche Maßnahmen ergriffen werden müssen und wie Sophos-Lösungen Ihnen helfen, die Vorschriften zu erfüllen.

Webinar ansehen

Sophos-Lösungen für die NIS2

Sophos-Lösungen können Unternehmen und Organisationen bei der Einhaltung der NIS-2-Richtlinie helfen.

In der untenstehenden Tabelle sehen Sie, bei welchen Anforderungen welche Sophos-Lösungen zum Einsatz kommen können, um für Compliance zu sorgen.

 

Sophos Endpoint

Sophos Firewall

Sophos MDR

Sophos XDR

Richtlinien zur Risikoanalyse

 

 

 

 
Bewältigung von Sicherheitsvorfällen

 

 

 

 

Geschäftskontinuität

 

 

 

 

Sicherheit für Lieferketten

 

 

 

 

Gewährleistung der Sicherheit des Netzwerks und der Informationssysteme, einschließlich der Verarbeitung und Offenlegung von Schwachstellen 

 

 

 

Bewertung der Wirksamkeit von Maßnahmen zum Cybersecurity-Risikomanagement

 

 

 

 
Richtlinien zur Verwendung von Kryptografie und Verschlüsselung 

 

  
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen 

 

 

 

Einsatz von Multi-Faktor-Authentifizierung 

 

  
Berichtspflichten  

 

 

Sie möchten mehr über die Sicherheitslösungen von Sophos zum Einhalten der NIS-2-Anforderungen erfahren? Laden Sie unsere Lösungs-Übersicht für die NIS2 herunter.

Die NIS2 im Vergleich mit anderen Cybersecurity-Vorschriften

Die NIS2 ist nur eine von vielen Cybersecurity-Vorschriften, die für Wirtschaftsbeteiligte in der EU gelten. Im Folgenden sehen Sie die NIS-2-Richtlinie im Vergleich mit anderen Rechtsvorschriften und deren Überschneidung:

 

NIS2

DSGVO

DORA

CER

EU-Rechtsvorschrift(EU) 2022/2555(EU) 2016/679(EU) 2022/2554(EU) 2022/2557
Name der RechtsvorschriftRichtlinie zur Netz- und Informationssicherheit 2Datenschutz-GrundverordnungVerordnung zur digitalen operationalen ResilienzRichtlinie über die Resilienz kritischer Einrichtungen
AnwendungsbereichGilt für wesentliche und wichtige Einrichtungen; ersetzt die NIS (EU) 2016/1148Gilt für alle Organisationen, die personenbezogene Daten von Personen verarbeiten, die in der EU und im EWR ansässig sindGilt für alle Finanzunternehmen in der EUGilt für Organisationen, die gemäß der Entscheidung des Mitgliedstaats als kritisch eingestuft werden
ZweckVerbesserung der Cybersicherheit und der Resilienz von Netz- und Informationssystemen in der gesamten Europäischen UnionSchützt die Grundrechte und Grundfreiheiten von Einzelpersonen, insbesondere ihr Recht auf Privatsphäre und den Schutz personenbezogener DatenZusätzlich zu Cybersicherheits-Anforderungen liegt der Fokus dieser Richtlinie auf der allgemeinen Resilienz von FinanzinstitutenDiese Richtlinie legt den Schwerpunkt auf die Resilienz und Aufrechterhaltung des Betriebs kritischer, in der Richtlinie benannter Einrichtungen und bietet Leitlinien für Abwehrmaßnahmen gegen nicht cyberbezogene Risiken
Compliance-Status in Bezug auf die NIS2Einrichtungen im Geltungsbereich der NIS2, die auch Verantwortliche oder Auftragsverarbeiter im Sinne der DSGVO sind, müssen sowohl die DSGVO als auch die NIS2 einhalten.DORA und NIS2 sollen gemeinsam das Cybersicherheitsniveau erhöhen. Beide haben unterschiedliche Anforderungen, die jeweils von Finanzinstituten erfüllt werden müssen.Kritische Einrichtungen müssen sowohl die NIS2 einhalten, was Cybersecurity betrifft, als auch die CER für alle nicht cyberbezogenen Vorfälle.
Datum des Inkrafttretens17. Oktober 202425. Mai 201817. Januar 202518. Oktober 2024
SanktionenUmfasst nicht-monetäre Sanktionen (wie Verfügungen), Geldbußen und strafrechtliche Sanktionen. Geldbußen für Verstöße wesentlicher Einrichtungen können bis zu 2 % des weltweiten Jahresumsatzes oder 10 Mio. € (je nachdem, welcher Betrag höher ist) betragen, Geldbußen für wichtige Einrichtungen bis zu 1,4 % des weltweiten Jahresumsatzes oder 7 Mio. €.Verstöße gegen die Bestimmungen der DSGVO können je nach Art des Verstoßes mit Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes bzw. bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes geahndet werden.Bei Verstößen gegen DORA können Geldstrafen verhängt werden, der genaue Betrag hängt jedoch von den verletzten Bestimmungen und der Schwere des Verstoßes ab. Außerdem können Regulierungsbehörden andere Maßnahmen ergreifen, z. B. Warnungen, Betriebsbeschränkungen oder behördliche Verfügungen, die den Betrieb bis zum Nachweis der Einhaltung einschränken.Die Sanktionen für Verstöße können je nach Mitgliedstaat variieren, umfassen jedoch in vielen Fällen Geldbußen, öffentliche Meldungen, Bereinigungsmaßnahmen und Entzug der Zulassung.

Disclaimer: Die Spezifikationen und Beschreibungen können ohne vorherige Ankündigung geändert werden. Sophos lehnt jegliche Garantien und Gewährleistungen in Bezug auf diese Informationen ab. Die alleinige Nutzung von Sophos-Produkten umfasst keine rechtliche Beratung und garantiert nicht die Einhaltung der gesetzlichen Vorschriften. Die Informationen in diesem Dokument stellen keine Rechtsberatung dar. Kunden sind allein für die Einhaltung aller Gesetze und Vorschriften verantwortlich und sollten ihren eigenen Rechtsbeistand zu dieser Einhaltung konsultieren.

 

Sie möchten erfahren, wie Sie Ihre NIS-2-Compliance-Ziele erreichen? Kontaktieren Sie uns.

Werden Sie jetzt aktiv

Kontaktieren Sie uns – unsere Experten helfen Ihnen, die richtige Lösung für Ihre Anforderungen zu finden.