NIS2 Richtlinie, Definitionen, Compliance Anforderungen, Bussgelder und Durchsetzungsmassnahmen
NIS-2 Compliance.
Was jetzt für Unternehmen wichtig ist:
Der NIS-2 Regierungsentwurf vom 22.7.2024 befindet sich noch in Abstimmung. Im März 2025 soll die NIS-2 Richtlinie in Kraft treten.
Spätestens dann müssten Unternehmen entsprechende Maßnahmen ergriffen haben. Mit der Umsetzung in nationales Recht der neuen EU-NIS-2 Richtlinie geraten zusätzlich zu den kritischen Infrastrukturen ca. 29.000 Unternehmen in den direkten Fokus Deutschlands Cyber-Security-Agenda.
Mit der Umsetzung der NIS2-Richtlinie und dem KRITIS-Dachgesetz gibt es ab 2024 zwei Hauptgruppen von Sektoren:
1. Kritische Sektoren für Betreiber kritischer Anlagen (KRITIS)
2. Besonders wichtige und wichtige Einrichtungen aus der NIS-2 Richtlinie.
Betreiber kritischer Anlagen werden mit NIS-2 automatisch zu einer besonders wichtigen Einrichtung.
Die Regulierung der Unternehmen und die Höhe der möglicherweise anfallenden Bußgelder sind abhängig von der Einordnung der Unternehmen in
-
besonders wichtige Einrichtungen mit oder ohne kritische Anlagen ODER
-
wichtige Einrichtungen.
▶︎ 1. Betreiber kritische Anlagen
Kritische Anlagen sind solche, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die Versorgungssicherheit oder die öffentliche Sicherheit haben könnte.
Die Sektoren für Betreiber kritischer Anlagen werden im KRITIS-Dachgesetz definiert. Sie überschneiden sich mit der Sektordefinition aus der NIS-2 Richtlinie. Die kritischen Dienstleistungen und Anlagen müssen teilweise noch in einer Verordnung festgelegt werden. Das KRITIS Dachgesetz ist noch in Bearbeitung.
Schwellenwerte für kritische Anlagen werden in der "Verordnung zur Bestimmung Kritischer Infrastrukturen" nach dem BSI-Gesetz BSI-KritisV festgelegt.
▶︎ 2. Einrichtungen
Die Sektoren für Einrichtungen sind in den Anlagen 1 und 2 der NIS-2-Richtlinie (Regierungsentwurf vom 22.7.2024) definiert. Die Zugehörigkeit zu einer besonders wichtigen oder wichtigen Einrichtung hängt von der Unternehmensgröße, dem Sektor und Teilweise auch von der spezifischen Branche ab.
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer informationstechnischen Systeme zu gewährleisten.
❗️ Unternehmen sind für die Identifikation von KRITIS-Anlagen und Feststellung der Betroffenheit als NIS2-Einrichtung selbst verantwortlich.
Wie Sie NIS-2 Compliance erreichen:
1
Betroffenheitsanalyse & NIS-2 Implikationen prüfen
Prüfen Sie mit dem NIS-2 Assistant, ob Ihr Unternehmen von der NIS-2 Richtlinie betroffen ist, welche Pflichten, Bußgelder und ggfs. Ausnahmeregelungen für Ihr Unternehmen gelten und welche Aufgaben und Befugnisse das BSI gemäß NIS-2 Regierungsentwurf (22.7.2024) erteilt wurden.
Aktion: 7 Tagen kostenfrei testen.
2
Anforderungsanalyse & Lösungsdefinition
-
Wir führen eine GAP-Analyse gegen die NIS-2 Richtlinie und ISO 27001 oder andere Standards durch,
-
wir arbeiten die Handlungsfelder heraus, eine Heatmap und Priorisierungen,
-
wir leiten daraus angemessene Maßnahmen zur Verbesserung ihrer Informationssicherheit und Compliance zur NIS-2 Richtlinie ab.
3
NIS-2 Compliance,
Roadmap & Umsetzung
-
Short-Term, Mid-Term, LongTerm
-
Meilensteine
-
Kostenplanung
-
Projektmanagement
Vereinbaren Sie eine Beratungstermin
Dr. Johannes Faassen
mobil: +49 170 4168039