NIS-2-Richtlinie: So sorgen Sie für Compliance
Wir helfen Ihnen, die Anforderungen zu erfüllen
Was ist die NIS2?Sind Sie betroffen?
Die NIS-2-Richtlinie ist im Januar 2023 in Kraft getreten. Den EU-Mitgliedstaaten wurde eine Frist bis zum 17. Oktober 2024 eingeräumt, um die Sicherheitsvorschriften der NIS2 in nationales Recht umzusetzen. Ab diesem Zeitpunkt müssen alle Unternehmen, die in den Anwendungsbereich der NIS2 fallen, die Einhaltung der aktualisierten Anforderungen sicherstellen.
Welche Neuerungen bringt die NIS2?
NIS2 ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016, die der erste EU-weite Rechtsakt zur Cybersicherheit war. Die NIS2 erweitert den Anwendungsbereich des ursprünglichen Rahmens auf weitere Branchen, bringt strenge Aufsichtsmaßnahmen für nationale Behörden, verstärkt den Fokus auf Lieferketten und verlangt eine strengere Durchsetzung sowie strengere Sanktionen bei Verstößen.
Erfahren Sie mehr über den Anwendungsbereich, die Definitionen und den Kontext der NIS-2-Terminologie
Für wen gilt die NIS2?
Die ursprüngliche NIS-Richtlinie galt in erster Linie für kritische Infrastrukturen. Die Anforderungen der Richtlinie bezogen sich nur auf 7 Branchen als "Betreiber wesentlicher Dienste" und 3 Branchen als "Digitale Dienste". Im Rahmen der NIS2 wurde der Anwendungsbereich deutlich erweitert: auf 11 Branchen, die als "wesentliche Einrichtungen" gelten und 7 Branchen, die als "wichtige Einrichtungen" gelten.
Wesentliche Einrichtungen unterliegen einem intensiveren Aufsichtskonzept, bei dem sowohl die Ex-ante- als auch die Ex-post-Einhaltung überwacht werden (das bedeutet, dass Einrichtungen ab Einführung der NIS2 die Aufsichtsanforderungen erfüllen müssen). Wichtige Einrichtungen unterliegen einem einfachen, ausschließlich nachträglichen Aufsichtssystem (d. h. Maßnahmen werden nur ergriffen, wenn den zuständigen Behörden Belege für Verstöße gegen die Richtlinie zur Kenntnis gebracht werden).
Eine Organisation fällt unter die NIS-2-Richtlinie, wenn:
- Die Organisation Dienstleistungen erbringt oder Tätigkeiten in einem der EU-Mitgliedstaaten ausübt
- Die Organisation mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz bzw. eine Jahresbilanz von über 10 Mio. € aufweist
- Die Organisation in einem der 18 Sektoren tätig ist, die in Anhang I und Anhang II der NIS2 aufgeführt sind
Die NIS2 stuft Organisationen in 18 Branchen als wesentliche Einrichtungen bzw. wichtige Einrichtungen ein, je nach Jahresumsatz und Größe der Organisation:
Wesentliche Einrichtungen:
Dabei handelt es sich in der Regel um mittlere und große Organisationen, die als wirtschaftlich kritisch angesehen werden und zu einer Branche gehören, die in der nachfolgenden Tabelle in der linken Spalte aufgeführt ist.
Wichtige Einrichtungen:
Dabei handelt es sich in der Regel um mittlere und große Organisationen, die als wirtschaftlich wichtig, aber nicht kritisch angesehen werden und zu einer Branche gehören, die in der nachfolgenden Tabelle in der rechen Spalte aufgeführt ist.
Ausnahmen: Unternehmen, die in einem EU-Mitgliedsstaat der einzige Anbieter eines bestimmten Dienstes sind oder auf die eine Störung des erbrachten Dienstes wesentliche Auswirkungen haben könnte, können unabhängig von ihrer Größe als wesentliche oder wichtige Einrichtung eingestuft werden.
Typische Kriterien, nach denen Organisationen als groß eingestuft werden:
- Mind. 250 Mitarbeiter oder
- Jahresumsatz von mind. 50 Mio. € und Bilanzsumme von mind. 43 Mio. €
Kriterien, nach denen Organisationen als mittelgroß eingestuft werden:
- Mind. 50 Mitarbeiter oder
- Jahresumsatz und Bilanzsumme von mind. 10 Mio. €
Kleine und Kleinstorganisationen sind nicht vom Anwendungsbereich der NIS2 ausgeschlossen. Mitgliedstaaten können die NIS-2-Anforderungen auf Einrichtungen ausweiten, die eine Schlüsselrolle für die Gesellschaft, Wirtschaft oder bestimmte Branchen bzw. Arten von Dienstleistungen spielen und in diesem Zusammenhang spezifische Anforderungen erfüllen.
Sanktionen bei Verstößen gegen die NIS2
Die NIS2 bringt strengere Sanktionen für wesentliche und wichtige Einrichtungen, wenn diese Sicherheitsanforderungen missachten oder bei Vorfällen ihrer Meldepflicht nicht nachkommen. Die Geldbußen können je nach Mitgliedstaat variieren. Im Rahmen der NIS2 wird jedoch mittels Auflistung administrativer Mindestsanktionen eine Harmonisierung der Geldbußen in allen Mitgliedstaaten angestrebt. Zu den verschiedenen Sanktionen für Verstöße gehören:
Nicht monetäre Sanktionen
Die NIS2 gibt den nationalen Aufsichtsbehörden mehr Befugnisse zum Überwachen und Durchsetzen der Einhaltung mithilfe nicht monetärer Maßnahmen, einschließlich:
- Verfügungen (Regulierungsbehörden können eine Verfügung zum Umsetzen bestimmter Maßnahmen erlassen)
- Verbindliche Anweisungen (Regulierungsbehörden können Einrichtungen zum Ergreifen bestimmter Maßnahmen verpflichten)
- Verfügungen zur Durchführung von Sicherheitsprüfungen (behördliche Verfügungen zur Durchführung einer Sicherheitsmaßnahme)
- Verfügungen zur Benachrichtigung von Kunden der Einrichtungen über Bedrohungen (öffentliche Bekanntmachung des Verstoßes)
- Vorübergehende Verbote (behördliche Verfügungen, die dem Management die Ausübung von Leitungsaufgaben untersagen)
Geldbußen
- Für wesentliche Einrichtungen: Höchstbetrag von 10.000.000 € oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
- Für wichtige Einrichtungen: Maximal 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Persönliche Haftung von Führungskräften wesentlicher und wichtiger Einrichtungen
Die NIS2 umfasst neue Maßnahmen, mit denen Mitgliedstaaten die Geschäftsleitung (z. B. Vorstandsmitglieder, Direktoren, Führungskräfte) wesentlicher und wichtiger Einrichtungen persönlich für die NIS-2-Anforderungen haftbar machen können. In diesem Zusammenhang muss das betreffende Unternehmen Verstöße gegen die Richtlinie öffentlich bekannt machen, die Art des Verstoßes und die schuldhafte(n) Person(en) öffentlich benennen und Einzelpersonen vorübergehend von Führungspositionen ausschließen. Außerdem können Führungskräfte persönlich haftbar gemacht werden, wenn sie ihren Pflichten auf dem Gebiet des Cybersicherheits-Managements grob fahrlässig nicht nachgekommen sind.
Sophos-Lösungen für die NIS2
Sophos-Lösungen können Unternehmen und Organisationen bei der Einhaltung der NIS-2-Richtlinie helfen.
In der untenstehenden Tabelle sehen Sie, bei welchen Anforderungen welche Sophos-Lösungen zum Einsatz kommen können, um für Compliance zu sorgen.
Sophos Endpoint | Sophos Firewall | Sophos MDR | Sophos XDR | |
| Richtlinien zur Risikoanalyse | ||||
| Bewältigung von Sicherheitsvorfällen | ||||
| Geschäftskontinuität | ||||
| Sicherheit für Lieferketten | ||||
| Gewährleistung der Sicherheit des Netzwerks und der Informationssysteme, einschließlich der Verarbeitung und Offenlegung von Schwachstellen | ||||
| Bewertung der Wirksamkeit von Maßnahmen zum Cybersecurity-Risikomanagement | ||||
| Richtlinien zur Verwendung von Kryptografie und Verschlüsselung | ||||
| Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen | ||||
| Einsatz von Multi-Faktor-Authentifizierung | ||||
| Berichtspflichten |
Sie möchten mehr über die Sicherheitslösungen von Sophos zum Einhalten der NIS-2-Anforderungen erfahren? Laden Sie unsere Lösungs-Übersicht für die NIS2 herunter.
Die NIS2 im Vergleich mit anderen Cybersecurity-Vorschriften
Die NIS2 ist nur eine von vielen Cybersecurity-Vorschriften, die für Wirtschaftsbeteiligte in der EU gelten. Im Folgenden sehen Sie die NIS-2-Richtlinie im Vergleich mit anderen Rechtsvorschriften und deren Überschneidung:
NIS2 | DSGVO | DORA | CER | |
| EU-Rechtsvorschrift | (EU) 2022/2555 | (EU) 2016/679 | (EU) 2022/2554 | (EU) 2022/2557 |
| Name der Rechtsvorschrift | Richtlinie zur Netz- und Informationssicherheit 2 | Datenschutz-Grundverordnung | Verordnung zur digitalen operationalen Resilienz | Richtlinie über die Resilienz kritischer Einrichtungen |
| Anwendungsbereich | Gilt für wesentliche und wichtige Einrichtungen; ersetzt die NIS (EU) 2016/1148 | Gilt für alle Organisationen, die personenbezogene Daten von Personen verarbeiten, die in der EU und im EWR ansässig sind | Gilt für alle Finanzunternehmen in der EU | Gilt für Organisationen, die gemäß der Entscheidung des Mitgliedstaats als kritisch eingestuft werden |
| Zweck | Verbesserung der Cybersicherheit und der Resilienz von Netz- und Informationssystemen in der gesamten Europäischen Union | Schützt die Grundrechte und Grundfreiheiten von Einzelpersonen, insbesondere ihr Recht auf Privatsphäre und den Schutz personenbezogener Daten | Zusätzlich zu Cybersicherheits-Anforderungen liegt der Fokus dieser Richtlinie auf der allgemeinen Resilienz von Finanzinstituten | Diese Richtlinie legt den Schwerpunkt auf die Resilienz und Aufrechterhaltung des Betriebs kritischer, in der Richtlinie benannter Einrichtungen und bietet Leitlinien für Abwehrmaßnahmen gegen nicht cyberbezogene Risiken |
| Compliance-Status in Bezug auf die NIS2 | – | Einrichtungen im Geltungsbereich der NIS2, die auch Verantwortliche oder Auftragsverarbeiter im Sinne der DSGVO sind, müssen sowohl die DSGVO als auch die NIS2 einhalten. | DORA und NIS2 sollen gemeinsam das Cybersicherheitsniveau erhöhen. Beide haben unterschiedliche Anforderungen, die jeweils von Finanzinstituten erfüllt werden müssen. | Kritische Einrichtungen müssen sowohl die NIS2 einhalten, was Cybersecurity betrifft, als auch die CER für alle nicht cyberbezogenen Vorfälle. |
| Datum des Inkrafttretens | 17. Oktober 2024 | 25. Mai 2018 | 17. Januar 2025 | 18. Oktober 2024 |
| Sanktionen | Umfasst nicht-monetäre Sanktionen (wie Verfügungen), Geldbußen und strafrechtliche Sanktionen. Geldbußen für Verstöße wesentlicher Einrichtungen können bis zu 2 % des weltweiten Jahresumsatzes oder 10 Mio. € (je nachdem, welcher Betrag höher ist) betragen, Geldbußen für wichtige Einrichtungen bis zu 1,4 % des weltweiten Jahresumsatzes oder 7 Mio. €. | Verstöße gegen die Bestimmungen der DSGVO können je nach Art des Verstoßes mit Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes bzw. bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes geahndet werden. | Bei Verstößen gegen DORA können Geldstrafen verhängt werden, der genaue Betrag hängt jedoch von den verletzten Bestimmungen und der Schwere des Verstoßes ab. Außerdem können Regulierungsbehörden andere Maßnahmen ergreifen, z. B. Warnungen, Betriebsbeschränkungen oder behördliche Verfügungen, die den Betrieb bis zum Nachweis der Einhaltung einschränken. | Die Sanktionen für Verstöße können je nach Mitgliedstaat variieren, umfassen jedoch in vielen Fällen Geldbußen, öffentliche Meldungen, Bereinigungsmaßnahmen und Entzug der Zulassung. |
Disclaimer: Die Spezifikationen und Beschreibungen können ohne vorherige Ankündigung geändert werden. Sophos lehnt jegliche Garantien und Gewährleistungen in Bezug auf diese Informationen ab. Die alleinige Nutzung von Sophos-Produkten umfasst keine rechtliche Beratung und garantiert nicht die Einhaltung der gesetzlichen Vorschriften. Die Informationen in diesem Dokument stellen keine Rechtsberatung dar. Kunden sind allein für die Einhaltung aller Gesetze und Vorschriften verantwortlich und sollten ihren eigenen Rechtsbeistand zu dieser Einhaltung konsultieren.
Sie möchten erfahren, wie Sie Ihre NIS-2-Compliance-Ziele erreichen? Kontaktieren Sie uns.
