Skip content
Woman focusing on laptop

NIS2 steht vor der Tür: Sind Sie darauf vorbereitet?

Shirish Bapat Technical Product Manager (Information Security), LRQA Profil ansehen

Am 16. Januar 2023 trat die NIS2-Richtlinie in Kraft. Es wird erwartet, dass die EU-Mitgliedsstaaten bis zum 17. Oktober 2024 die notwendigen Bestimmungen zur Einhaltung der Richtlinie erlassen und veröffentlichen.

The Network and Information Security (NIS) war eine von der EU geleitete Initiative, die darauf abzielte, ein einheitliches Niveau der Cybersicherheit in den Mitgliedstaaten zu erreichen. Während sie die Cybersicherheitskapazitäten erhöhte, erwies sich die Umsetzung als schwierig, was zu einer Fragmentierung des Marktes führte. Um den wachsenden Bedrohungen durch Digitalisierung und Cyberangriffe zu begegnen, schlug die Kommission vor, die NIS-Richtlinie durch NIS2 zu ersetzen. Sie soll die Sicherheitsanforderungen verschärfen, die Sicherheit der Lieferkette berücksichtigen, die Berichterstattung vereinfachen und strengere Aufsichts- und Durchsetzungsmaßnahmen einführen, einschließlich EU-weit harmonisierter Sanktionen. Die NIS2 erweitert den Kreis der Einrichtungen, die in ihren Anwendungsbereich fallen, und umfasst viele Organisationen, die die ursprüngliche NIS-Richtlinie nicht einhalten mussten.

Die neuen Rechtsvorschriften sind am 16. Januar 2023 in Kraft getreten, und die Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Maßnahmen in nationales Recht umzusetzen; bei Nichteinhaltung drohen erhebliche Geldstrafen. Im Vereinigten Königreich können Unternehmen mit Geldbußen von bis zu 17 Millionen Pfund belegt werden; in der EU drohen "wesentlichen" Unternehmen Strafen von bis zu 10 Millionen Euro bzw. 2 % ihres Gesamtumsatzes weltweit.

Betroffene Branchen

Der Geltungsbereich der bestehenden NIS wird in der EU erheblich ausgeweitet, wobei Organisationen in mehreren neuen Sektoren als "wesentlich" eingestuft werden. Zu diesen Sektoren gehören Raumfahrt, Abwasser, öffentliche Verwaltungen (Ausnahmen sind möglich), Anbieter von Rechenzentrumsdiensten, Anbieter von Vertrauensdiensten, Content-Delivery-Netze sowie öffentliche elektronische Kommunikationsnetze und -dienste. Andere Sektoren, wie Postdienste, Chemikalien und die Herstellung von Schlüsselprodukten, müssen die Anforderungen als "wichtige" Einrichtungen ebenfalls erfüllen. Sie werden jedoch einer geringeren Regulierungsaufsicht unterliegen als die als "wesentlich" eingestuften Unternehmen.

Wie geht es jetzt weiter?

Die Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, geeignete Maßnahmen zu ergreifen, um die Einhaltung der NIS2-Anforderungen zu gewährleisten. Unternehmen müssen diese Zeit nutzen, um zu verstehen, wie sich die neue Richtlinie auf sie auswirken wird und welche Schritte sie unternehmen müssen, um die Einhaltung der Vorschriften nachzuweisen.

Es ist wichtig zu wissen, dass gemäß Artikel 24 der NIS2-Richtlinie die Mitgliedstaaten auch die Möglichkeit haben, die Zertifizierung von IKT-Produkten, -Dienstleistungen und -Prozessen für wesentliche oder wichtige Einrichtungen im Rahmen europäischer Cybersicherheitsregelungen zu verlangen. Je nach Kategorie Ihres Unternehmens kann die Zertifizierung nach bestimmten Normen wie ISO 27001 und CSA STAR obligatorisch werden. Es ist daher wichtig zu verstehen, wie jeder Mitgliedstaat die Richtlinie anwendet, da es von Land zu Land Unterschiede geben kann.

Zusammenarbeit mit LRQA

Mit unserem vernetzten Portfolio an fortschrittlichen Cybersicherheitslösungen unterstützen wir Sie bei der Erfüllung der Anforderungen von NIS2.

Wir bieten ein umfassendes Angebot an Bewertungsdiensten für die weltweit führenden Standards, einschließlich ISO 27001, ergänzt durch ein Portfolio an fortschrittlichen Cybersicherheitslösungen, die von unseren Spezialisten, LRQA Nettitude, bereitgestellt werden. Wir können Ihre Systeme zertifizieren, Schwachstellen beheben und Angriffe und Vorfälle verhindern – und unterstützen Sie auf dem Weg zur NIS2-Konformität mit fundierten technischen Kenntnissen und Erfahrungen.

 

Erfahren Sie mehr über unsere Informationssicherheitsdienste

Erfahren Sie mehr

Fallstudien