NIS-2 Beratung

Home » Informationssicherheit » NIS-2 Beratung

NIS-2-Richtlinie - das sollten Unternehmen wissen

Die Europäische Union strebt mit der neuen NIS-2-Richtlinie die Schaffung eines europaweiten, einheitlichen und hochwertigen Cybersicherheits-Niveaus für bestimmte Sektoren an. Grund dafür ist, dass die Bedrohung durch Cyberkriminalität aktuell auf einem bisher nie dagewesenen Höchststand liegt. 

Am 27. Dezember 2022 wurde die NIS-2-Richtlinie im EU-Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten diese Richtlinie in nationales Recht umsetzen - Stichtag ist der 17. Oktober 2024. In Deutschland wurde im Juli 2023 ein Referentenentwurf des Bundesinnenministeriums vorgestellt, um die NIS-2-Richtlinie umzusetzen. Dieses Gesetz ist unter dem Namen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) bekannt und der dritte Referentenentwurf liegt mittlerweile vor.

 NIS-2 bringt eine starken Anstieg der Zahl der betroffenen Unternehmen und der geforderten Cybersicherheits-Anforderungen mit sich. Betroffene Unternehmen stehen nun vor der Herausforderung vor diesem Stichtag zahlreiche Maßnahmen umzusetzen, wie zum Beispiel die Implementierung eines Risikomanagementsystems.

Wieso Sie bei NIS-2 bereits jetzt handeln sollten

Angesichts der möglicherweise umfassenden Anpassungen und der Komplexität der Umsetzung von NIS-2 ist es ratsam, sich bereits jetzt intensiv mit diesem Thema auseinanderzusetzen und mit den Vorbereitungen zu beginnen. Dies ermöglicht den betroffenen Unternehmen, frühzeitig geeignete Schutzmaßnahmen zu ergreifen und einen reibungslosen Übergang zur Einhaltung der neuen NIS-2 Richtlinie zu gewährleisten. Darüber hinaus wird das Risiko minimiert, dass die Nachfrage kurz vor Inkrafttreten der Richtlinie so stark ansteigt, dass es zu Engpässen in der Kapazität von Beratungsunternehmen kommt.

Wer ist von der NIS-2-Richtlinie betroffen?

Nicht nur die kritischen Infrastrukturen sind von NIS-2 betroffen. Im Vergleich zu NIS-1 vergrößert sich die Zahl der betroffenen Sektoren erheblich. Schätzungsweise sind rund 30.000 neue Unternehmen in Deutschland von der Ausweitung des Anwendungsbereichs betroffen. Von der Richtlinie sind überwiegend mittlere Unternehmen und Großunternehmen betroffen. In wenigen ausgewählten Teilsektoren spielt die Unternehmensgröße jedoch keine Rolle. NIS-2 unterscheidet zwischen "besonders wichtige Einrichtung" und "wichtige Einrichtung". 

Definition: Großunternehmen und mittlere Unternehmen

Großunternehmen und mittlere Unternehmen sind unter bestimmten Voraussetzungen von der NIS-2-Richtlinie betroffen. Falls Sie einer der beiden Unternehmensgrößen angehören, können Sie im nächsten Schritt überprüfen, ob Sie eine besonders wichtige oder eine wichtige Einrichtung sind.
Mittlere Unternehmen

ab 10 Mio. € Umsatz und ab 10 Mio. € Bilanzsumme

ODER

ab 50 Mitarbeitenden

Großunternehmen

ab 50 Mio. € Umsatz und ab 43 Mio. € Bilanzsumme

ODER

ab 250 Mitarbeitenden

Besonders wichtige und wichtige Einrichtungen bei NIS-2

Je nachdem, in welchem Sektor Ihr Unternehmen tätig ist und ob es sich um ein mittleres oder ein Großunternehmen handelt, wird es entweder als 'besonders wichtige Einrichtung' oder als 'wichtige Einrichtung' eingestuft. Diese Klassifizierung hat Auswirkungen auf die Höhe der Geldstrafen sowie auf die Überwachung durch Behörden. Die nachfolgende Übersicht soll Ihnen eine Orientierung geben. Eine individuelle Betroffenheitsanalyse ist unerlässlich, denn es greifen häufig mehrere und zum Teil auch granulare Kriterien.  

Besonders wichtige Einrichtungen

Energie
Finanzen / Versicherungen
Gesundheit
IT und TK
KRITIS-Betreiber
Transport / Verkehr
Wasser / Abwasser
Weltraum
Großunternehmen in der Energie-Branche werden als besonders wichtige Einrichtung klassifiziert. Darunter fallen beispielsweise Unternehmen in folgenden Branchen: 
Stromversorgung
Fernwärme und -kälteversorgung
Kraftstoff- und Heizölversorgung
Gasversorgung
Großunternehmen, die im Bankwesen oder in der Finanzmarktinfrastruktur tätig sind, werden als besonders wichtige Einrichtung betrachtet. Mittlere Unternehmen gelten jedoch als wichtige Einrichtung. 
Im Gesundheits-Sektor liegen für Großunternehmen granulare Kriterien vor, um als besonders wichtige Einrichtung klassifiziert zu werden. Beispielsweise sind folgende Einrichtungsarten betroffen:
Erbringer von Gesundheitsdienstleistungen
EU-Referenzlaboratorien
Tätigkeit im Bereich der Forschungs- und Entwicklung für die Arneimittel
Herstellung von pharmazeutischen Erzeugnissen
Herstellung von Medizinprodukten, die während einer Notlage für die öffentliche Gesundheit als kritisch eingestuft werden
Bei der Informationstechnik und Telekommunikation liegen mehrere Kriterien vor. Zu beachten ist hierbei auch, dass manche Teilsektoren unabhängig von der Unternehmensgröße als besonders wichtig eingestuft werden. Außerdem werden nicht nur Großunternehmen, sondern auch teilweise mittlere Unternehmen in diese Kategorie eingestuft. Als besonders wichtig werden beispielsweise folgende Unternehmen klassifiziert. 
DNS-Dienstanbieter
TLD-Namensregister
Qualifizierte Vertrauensdienstanbieter
Anbieter öffentlicher elektronischer Kommunikationsnetze
Anbieter öffentlich zugänglicher Kommunikationsdienste
Managed Services Provider
und viele weitere.
Da für KRITIS-Betreiber bereits vor Jahren gesetzliche Regularien in Kraft getreten sind, steht die Betroffenheit in der Regel bereits fest. Der Schwellenwert ist in der Regel, wenn eine Anlage mehr als 500.000 Personen versorgt. 
Großunternehmen aus dem Sektor Transport und Verkehr werden in der NIS-2-Richtlinie als besonders wichtige Einrichtung klassifiziert. Es sind beispielsweise folgende Branchen betroffen:
Luftverkehr
Schienenverkehr
Schifffahrt
Straßenverkehr
Großunternehmen, die in der Trinkwasserversorgung und in der Abwasserbeseitigung tätig sind, gelten als besonders wichtig. 
Großunternehmen, die die Erbringung von weltraumgestützen Diensten unterstützen, gelten als besonders wichtig in der NIS-2-Richtlinie. 
Another Tab Contents
Another Tab Contents
Another Tab Contents
Another Tab Contents

Wichtige Einrichtungen

Abfallentsorgung
Anbieter digitaler Dienste
Chemie
Energie
Finanzen / Versicherungen
Forschung
Gesundheit
IT und TK
Lebensmittel
Transport / Verkehr
Wasser / Abwasser
Weltraum
Verarbeitendes Gewerbe
Mittlere Unternehmen und Großunternehmen, die in der Siedlungsabfallentsorgung sind, werden als wichtig eingestuft.
Mittlere Unternehmen und Großunternehmen, die Online-Marktplätze, Online-Suchmaschinen oder Dienste sozialer Netzwerke anbieten, gelten als wichtige Einrichtung.
Mittlere Unternehmen und Großunternehmen, die chemische Stoffe produzieren, herstellen oder damit handeln, werden als wichtig klassifiziert.
Mittlere Unternehmen in der Energie-Branche werden als wichtige Einrichtung klassifiziert. Darunter fallen beispielsweise Unternehmen in folgenden Branchen: 
Stromversorgung
Fernwärme und -kälteversorgung
Kraftstoff- und Heizölversorgung
Gasversorgung
Großunternehmen werden im Gegensatz dazu als besonders wichtige Einrichtung eingestuft.
Mittlere Unternehmen, die im Bankwesen oder in der Finanzmarktinfrastruktur tätig sind, werden als besonders wichtige Einrichtung betrachtet. Großunternehmen gelten im Gegensatz dazu als besonders wichtig. 
Mittlere und große Forschungseinrichtungen gelten in der NIS-2-Richtlinie als wichtige Einrichtung. 
Im Gesundheits-Sektor liegen für mittlere Unternehmen granulare Kriterien vor, um als wichtige Einrichtung klassifiziert zu werden. Beispielsweise sind folgende Einrichtungsarten betroffen:
Erbringer von Gesundheitsdienstleistungen
EU-Referenzlaboratorien
Tätigkeit im Bereich der Forschungs- und Entwicklung für die Arneimittel
Herstellung von pharmazeutischen Erzeugnissen
Herstellung von Medizinprodukten, die während einer Notlage für die öffentliche Gesundheit als kritisch eingestuft werden
Bei der Informationstechnik und Telekommunikation liegen mehrere Kriterien vor. Zu beachten ist hierbei auch, dass manche Teilsektoren unabhängig von der Unternehmensgröße als wichtig eingestuft werden. 

Mittlere Unternehmen in folgenden Branchen werden beispielsweise als wichtig eingeordnet:
Vertrauensdienstanbieter
Managed Services Provider
und viele weitere.
Mittlere Unternehmen und Großunternehmen, die Lebensmittel produzieren, verarbeiten oder vertreiben, gelten als wichtige Einrichtung. 
Mittlere Unternehmen, die beispielsweise Anbieter im Luft-, Straßen oder Schienenverkehr sind, gelten als wichtige Einrichtung. 
Großunternehmen in diesen Sektoren werden jedoch als besonders wichtig eingestuft. 

Ebenso stellen auch Großunternehmen, die als Post- oder Kurierdienst tätig sind, eine wichtige Einrichtung dar. 
Mittlere Unternehmen, die in der Trinkwasserversorgung und in der Abwasserbeseitigung tätig sind, gelten als wichtig.
Großunternehmen fallen unter die besonders wichtigen Einrichtungen.
Mittlere Unternehmen, die die Erbringung von weltraumgestützen Diensten unterstützen, gelten als wichtig in der NIS-2-Richtlinie. Großunternehmen in diesem Sektor gelten als besonders wichtige Einrichtung.
Mittlere Unternehmen und Großunternehmen in folgenden Sektoren werden beispielsweise als wichtig klassifiziert:
Maschinenbau
Herstellung von Kraftwagen und Kraftwagenteilen sowie sonstiger Fahrzeugbau
Herstellung von Datenverarbeitungsgeräten

Welche Cybersicherheits-Anforderungen müssen betroffene Unternehmen bei NIS-2 erfüllen?

Mit NIS-2 wird IT-Sicherheit nun zur Chefsache. Die Geschäftsleitung oder die Führungskräfte auf Managementebene tragen die Verantwortung dafür, dass die etablierten IT-Standards und somit die Compliance-Anforderungen von NIS-2 umgesetzt werden. Bei Verstößen drohen hohe Bußgelder und die persönliche Haftung. 

Wichtige Anforderungen der NIS-2 Richtlinie, die betroffene Unternehmen in Deutschland umsetzen müssen, sind beispielsweise:
Risikomanagementsystem als Anforderung der NIS-2 Richtlinie
Etablierung eines effektiven Risikomanagementsystems
Um digitale und physische Sicherheit der Netz- und Informationssysteme zu garantieren.
Meldeplfichten als Anforderung der NIS-2 Richtlinie
Beachtung von Berichts- und Meldepflichten
 z. B. Verpflichtung im Falle eines Vorfalls, diesen innerhalb von 24 Stunden an das BSI zu melden
Schulung als Anforderung der NIS-2 Richtlinie
Verpflichtung zur Schulung und Sensibilisierung
Die Management-Ebene sowie die Mitarbeitenden müssen über IT-Sicherheitsthemen geschult werden.

Geballtes IT-Wissen & rechtliche Expertise

Gemeinsam mit dem digitalen Unternehmen LiiDU aus Regensburg möchten wir Sie auf personeller, fachlicher und technischer Ebene unterstützen. LiiDU steht für "Licht im Dunkeln" und beantwortet individuelle Fragen an der Schnittstelle von Recht und IT. Sabine Sobola ist Gründerin von LiiDU und Rechtsanwältin. Ihre rechtliche Expertise wird durch unser geballtes Cybersecurity-Knowhow optimal ergänzt. 

LiiDU - rechtliche Expertise für unsere Beratung zur NIS 2 Richtlinie
Christian Kobler unterstützt Sie bei der IT-Infrastruktur, Informationssicherheit und Digitalisierung.

Wir unterstützen Sie, um im NIS-2 Dschungel den Überblick zu behalten.

Sie haben Fragen zur Umsetzung der NIS-2 Richtlinie oder Sie möchten mehr über uns und unsere Leistungen erfahren? Dann nehmen Sie unkompliziert Kontakt auf.

Wie erfolgt die NIS-2 Beratung und Umsetzung mit INES IT?

1. Schritt des Vorgehens NIS-2
Zunächst möchten wir Sie und Ihr Unternehmen in einem 30-minütigen kostenlosen Beratungsgespräch kennenlernen.
2. Schritt des Vorgehens NIS-2
Im nächsten Schritt ist es notwendig, erst einmal festzustellen, ob Ihr Unternehmen überhaupt von NIS-2 betroffen ist. Dabei stehen Ihnen Cybersecurity-Experten der INES AG und Rechtsanwältin Sabine Sobola von LiiDu tatkräftig zur Seite.
3. Schritt des Vorgehens NIS-2
Sofern dieser Punkt positiv beantwortet wird, muss mithilfe einer GAP-Analyse geprüft werden, welche Maßnahmen für eine erfolgreiche Umsetzung der EU-Direktive NIS-2 noch fehlen und im Einzelnen auf Ihr Unternehmen zukommen.
4. Schritt des Vorgehens NIS-2
Anschließend müssen die im Gesetz geregelten Maßnahmen umgesetzt und in ihrem Unternehmen etabliert werden. Herausfordernd könnte dabei beispielsweise die Einführung eines Risikomanagements oder das Vorgehen beim Absetzen eines Sicherheitsvorfalls innerhalb von 24 Stunden werden.
5. Schritt des Vorgehens NIS-2

Wir unterstützen Sie auf personeller, fachlicher und technischer Ebene bei der Implementierung eines geeigneten Risikomanagementsystems für Ihr Unternehmen und die Einführung eines Informationssicherheits-Managementsystems (z. B. ISO 27001).

6. Schritt des Vorgehens NIS-2

Auch nach der erfolgreichen Umsetzung der NIS-2-Richtlinie stehen wir Ihnen weiterhin für offene Fragen oder Anliegen zur Seite und unterstützen Sie gerne auch als externer Informationssicherheitsbeauftragter.


Welche Konsequenzen entstehen, wenn ich keine Maßnahmen zur Einhaltung der NIS-2-Richtlinie ergreife?

Konsequenzen Bußgelder Geldstrafen bei NIS-2
Mögliche Geldstrafen
Die Sanktionen durch die nationalen Behörden werden erheblich erweitert, sodass Geschäftsführer:innen oder die Management-Ebene in den betroffenen Sektoren persönlich haftbar gemacht werden können. Die Bußgelder können von 7 Mio. € bis zu 10 Mio. € betragen oder zwischen 1,4 % und 2 % des Gesamtumsatzes.
Konsequenzen bei fehlender Umsetzung der NIS-2
Fehlender Schutz
Das Risiko Opfer eines Cyberangriffs zu werden, ist heutzutage größer denn je. Bisher können Unternehmen selbst entscheiden, welches Risiko sie beim Thema Cybersicherheit eingehen wollen. Mit der Verabschiedung von NIS-2 jedoch möchte die Europäische Union eine einheitliches hohes Sicherheitsniveau schaffen.
WEBINAR

NIS-2 & 
IT-SICHERHEITSRECHT

Aktuelle Rechtslage zur IT-Sicherheit


Betroffenheit & Anforderungen von NIS-2


KNOW HOW

Startklar für NIS-2 mit der GAP-Analyse 

Bestehende Lücken zu NIS-2 erkennen


Erforderliche Maßnahmen zur Erfüllung


Informieren Sie sich jetzt zur Umsetzung der NIS-2 Richtlinie!

Wir beraten Sie mit einer fundierten rechtlichen Expertise sowie unserer langjährigen Erfahrung in der Implementierung von sicheren IT-Lösungen und Informationssicherheitsmanagementsystemen.


    Kontakt und mehr