Die NIS2-Richtlinie erweitert ihren Anwendungsbereich auf kritische und wichtige Einrichtungen in folgenden Sektoren:
Die Richtlinie umfasst sowohl wesentliche Einrichtungen (kritische Bedeutung) als auch wichtige Einrichtungen (mittlere Bedeutung für Wirtschaft und Gesellschaft). Unternehmen mit weniger als 50 Mitarbeitern oder einem Jahresumsatz von unter 10 Millionen Euro sind in der Regel ausgenommen, es sei denn, sie spielen eine kritische Rolle in der Lieferkette.📜 Rechtsgrundlage: Artikel 1 bis 4 der NIS2-Richtlinie (EUR-Lex).
Unternehmen müssen technische und organisatorische Maßnahmen einführen, wie:
Zusätzlich müssen Unternehmen die Geschäftskontinuität im Falle eines Sicherheitsvorfalls gewährleisten und regelmäßig ihre Sicherheitsmaßnahmen bewerten.📜 Rechtsgrundlage: Artikel 5 bis 12 der NIS2-Richtlinie (EUR-Lex).
Schwere Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, gefolgt von einem detaillierten Bericht innerhalb von 72 Stunden. Unternehmen sind auch verpflichtet, potenzielle Sicherheitslücken zu melden.📜 Rechtsgrundlage: Artikel 13 bis 16 der NIS2-Richtlinie (EUR-Lex).
Das Top-Management ist direkt verantwortlich für die Einhaltung der NIS2-Anforderungen. Führungskräfte können bei Nichteinhaltung der Richtlinie persönlich haftbar gemacht werden.📜 Rechtsgrundlage: Artikel 17 der NIS2-Richtlinie (EUR-Lex).
Bei Nichteinhaltung drohen Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes eines Unternehmens. Diese Sanktionen sollen sicherstellen, dass Unternehmen die Cybersicherheitsanforderungen ernst nehmen.📜 Rechtsgrundlage: Artikel 18 bis 21 der NIS2-Richtlinie (EUR-Lex).
Unternehmen müssen aktiv mit nationalen Behörden und anderen Organisationen zusammenarbeiten, um Sicherheitsbedrohungen zu bewältigen und Informationen auszutauschen. Nationale Computer Security Incident Response Teams (CSIRTs) unterstützen bei der Bewältigung von Sicherheitsvorfällen.📜 Rechtsgrundlage: Artikel 22 bis 26 der NIS2-Richtlinie (EUR-Lex).
Unternehmen müssen sicherstellen, dass auch ihre Dienstleister und Zulieferer den Sicherheitsanforderungen der NIS2 entsprechen. Risiken aus der Zusammenarbeit mit Drittanbietern müssen bewertet und minimiert werden.📜 Rechtsgrundlage: Artikel 27 der NIS2-Richtlinie (EUR-Lex).
Nationale Aufsichtsbehörden haben das Recht, Unternehmen regelmäßig zu überprüfen, um sicherzustellen, dass die NIS2-Anforderungen eingehalten werden. Unternehmen müssen regelmäßig Berichte über ihre Sicherheitsmaßnahmen an die zuständigen Behörden übermitteln.📜 Rechtsgrundlage: Artikel 28 bis 30 der NIS2-Richtlinie (EUR-Lex).
Unternehmen müssen Notfallpläne entwickeln und regelmäßig testen, um sicherzustellen, dass Vorfälle schnell und effizient bewältigt werden können. Wiederherstellungsstrategien müssen definiert sein, um die Kontinuität der Dienste nach einem Vorfall sicherzustellen.📜 Rechtsgrundlage: Artikel 31 bis 34 der NIS2-Richtlinie (EUR-Lex).
Unternehmen werden ermutigt, Cybersicherheitszertifizierungen wie ISO/IEC 27001 oder ENISA-zertifizierte Standards zu implementieren. Diese Zertifizierungen sind ein Nachweis, dass die Organisationen den NIS2-Anforderungen entsprechen.📜 Rechtsgrundlage: Artikel 35 der NIS2-Richtlinie (EUR-Lex).
Unternehmen müssen regelmäßig Berichte über ihre Sicherheitsmaßnahmen an die nationalen Behörden übermitteln. Diese Berichte dokumentieren bestehende Risiken und die ergriffenen Maßnahmen zur Risikominderung. Nationale Behörden überwachen die Einhaltung der Anforderungen und können bei Verstößen Maßnahmen ergreifen.📜 Rechtsgrundlage: Artikel 36 bis 40 der NIS2-Richtlinie (EUR-Lex).
Die NIS2-Richtlinie fördert die Harmonisierung der Sicherheitsstandards in allen EU-Mitgliedstaaten, um ein einheitlich hohes Maß an Cybersicherheit zu gewährleisten. Jedes Mitgliedsland muss eine zentrale Anlaufstelle für Cybersicherheitsfragen einrichten.📜 Rechtsgrundlage: Artikel 41 bis 50 der NIS2-Richtlinie (EUR-Lex).
Auf EU-Ebene werden Mechanismen zur gemeinsamen Risikobewertung und Entwicklung von Strategien eingerichtet. Jedes Mitgliedsland muss regelmäßig Berichte an die Europäische Kommission über den Stand der Umsetzung und der Einhaltung der NIS2-Anforderungen übermitteln.📜 Rechtsgrundlage: Artikel 51 bis 60 der NIS2-Richtlinie (EUR-Lex).