Klare Verantwortlichkeiten
Sanktionen bei Nichteinhaltung
Was ist NIS2?
Was verbirgt sich hinter der NIS2-Richtlinie?
Die Network and Information Security Richtlinie 2 (kurz NIS2) der Europäischen Union verpflichtet ihre Mitgliedsstaaten zur Umsetzung verbindlicher Sicherheitsmassnahmen und Meldepflichten für Unternehmen in 18 kritischen Sektoren. Die Richtlinie ersetzt die NIS-Richtlinie aus dem Jahr 2016 und soll das allgemeine Cybersicherheitsniveau in der Europäischen Union verbessern.
Im Vergleich zur Vorgängerrichtlinie erweitert NIS2 den Kreis der betroffenen Unternehmen und verschärft die Pflichten sowie die behördliche Aufsicht. Unternehmen sind nun verpflichtet, einen ganzheitlichen Ansatz für die Sicherheit ihrer Netz- und Informationssysteme zu verfolgen. Die Nichteinhaltung der NIS2-Richtlinie kann zu erheblichen Bussgeldern führen. Mitglieder der Geschäftsführung können persönlich haftbar gemacht werden.
Wann tritt NIS2 in Kraft?
Die NIS2-Richtlinie (EU) 2022/2555 wurde bereits im Jahr 2023 durch die Europäische Union verabschiedet und legt einen Mindeststandard fest, den alle EU-Mitlgiedsstaaten einhalten müssen. Sie muss bis zum 17. Oktober 2024 in nationales Recht übersetzt werden – in Deutschland ins NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Im Juli 2024 einigte sich das Bundeskabinett auf einen Gesetzesentwurf.
Diese Sektoren sind von NIS2 betroffen
Der Geltungsbereich der NIS2-Richtlinie umfasst öffentliche und private Organisationen in 18 spezifischen Sektoren, die entweder ihre Dienste innerhalb der Europäischen Union anbieten oder dort tätig sind und bestimmte Schwellwerte überschreiten. Darüber hinaus gibt es einige Sonderfälle, die trotz der genannten Kriterien gelten können.
Die relevanten Schwellwerte für Unternehmen in “Sektoren mit hoher Kritikalität” sind 250 Beschäftigte oder mehr als 50 Millionen Euro Jahresumsatz oder 43 Millionen Euro Jahresbilanzsumme oder Betreiber kritischer Infrastrukturen (KRITIS). Die Schwellwerte für Unternehmen in anderen kritischen Sektoren liegen bei 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz oder 10 Millionen Euro Jahresbilanzsumme.
Sektoren mit hoher Kritikalität
Energie
Elektrizität, Fernwärme und Kälte, Erdöl, Erdgas, Wasserstoff
Verkehr
Luftfahrt, Schienenverkehr, Schifffahrt, Strassenverkehr
Bankwesen
Banken, Kreditinstitute
Finanzmarktinfrastrukturen
Handelsplatzbetreiber, zentrale Gegenparteien
Gesundheitswesen
Gesundheitsdienstleister, EU-Referenzlaboratorien, Einrichtungen, die Forschung und Entwicklung von Arzneimitteln betreiben, Einrichtungen, die bestimmte pharmazeutische Produkte herstellen, Einrichtungen, die kritische Medizinprodukte für Notfälle im Bereich der öffentlichen Gesundheit herstellen
Trinkwasser
Lieferanten von und Unternehmen, die „Wasser für den menschlichen Gebrauch“ liefern, mit Ausnahme von Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch einen unwesentlichen Teil ihrer Gesamttätigkeit ausmacht, die in der Lieferung anderer Rohstoffe und Güter besteht
Abwasser
Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln, ausgenommen Unternehmen, für die das Sammeln, Beseitigen oder Behandeln dieses Abwassers kein wesentlicher Teil ihrer allgemeinen Tätigkeit ist
Digitale Infrastruktur
Betreiber von Internet-Knoten, DNS-Dienstanbieter, ausgenommen Betreiber von Root-Namenservern, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Vertrauensdiensteanbieter, Betreiber öffentlicher elektronischer Kommunikationsnetze, Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
Verwaltung von IKT-Diensten (B2B)
Anbieter von Managed Services, Anbieter von Managed Security Services
Öffentliche Verwaltung
Einrichtungen der öffentlichen Verwaltung von Zentralregierungen, entsprechend der Definition eines Mitgliedstaats nach nationalem Recht, Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene, entsprechend der Definition eines Mitgliedstaats nach nationalem Recht
Raumfahrt
Betreiber von Bodeninfrastrukturen, die sich im Eigentum von EU-Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen, mit Ausnahme der Betreiber öffentlicher elektronischer Kommunikationsnetze
Sonstige kritische Sektoren
Post- und Kurierdienste
Anbieter von Postdiensten, einschliesslich Anbieter von Kurierdiensten.
Abfallwirtschaft
Unternehmen der Abfallbewirtschaft, ausgenommen Unternehmen, für die die Abfallbewirtschaft nicht die Haupttätigkeit darstellt
Produktion, Herstellung und Handel mit chemischen Stoffen
Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln, Unternehmen, die aus diesen Stoffen oder Gemischen Erzeugnisse herstellen
Herstellung, Verarbeitung und Vertrieb von Lebensmitteln
Unternehmen der Nahrungsmittelindustrie, die im Grosshandel sowie in der industriellen Produktion und Verarbeitung tätig sind
Verarbeitendes Gewerbe/Herstellung von Waren
Herstellung von Medizinprodukten und In-vitro-Diagnostika, Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Herstellung von elektrischen Ausrüstungen, Maschinenbau, Herstellung von Kraftwagen und Kraftwagenteilen, sonstiger Fahrzeugbau
Digitale Dienstleister
Anbieter von Online-Marktplätzen, Anbieter von Online-Suchmaschinen, Anbieter von Plattformen für soziale Netzwerkdienste
Forschung
Forschungseinrichtungen
Welche Massnahmen müssen Unternehmen ergreifen?
Um die Anforderungen der NIS2-Richtlinie zu erfüllen und die Sicherheit Ihrer Netz- und Informationssysteme zu gewährleisten, sind verschiedene Cybersicherheitsmassnahmen erforderlich. Dazu gehören die Implementierung von Risikoanalyse- und Sicherheitskonzepten, die Sicherstellung der Geschäftskontinuität und Notfallwiederherstellung sowie die Entwicklung eines Incident-Response-Plans zur raschen Bewältigung von Sicherheitsvorfällen.
Darüber hinaus sind Schulungen zur Cyberhygiene, die Einführung von Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung und Sicherheitsmassnahmen für die Lieferkette von grosser Bedeutung. Die genauen Schritte sollten nach einem risikobasierten Ansatz festgelegt werden, um angemessene Sicherheitsstandards zu erreichen.
Die wichtigsten Massnahmen auf einen Blick
Risikoanalyse- und Sicherheitskonzepte für Informationssysteme
Aufrechterhaltung des Betriebs und Wiederherstellung nach einem Notfall
Incident-Response-Plan zur schnellen Bewältigung von Sicherheitsvorfällen
Cyberhygiene und Schulungen zur Cybersicherheit
Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
Sicherheit der Lieferkette: Sicherheitsmassnahmen bei Erwerb, Entwicklung und Wartung von Netzwerkinformationssystemen
Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
Personalsicherheit, Zugriffskontrolle und Anlagenmanagement
Rolle der Geschäftsführung
Das Management kann persönlich haftbar gemacht werden
Gemäss Artikel 20 der NIS2-Richtlinie ist die Geschäftsführung dafür verantwortlich, die Umsetzung der Cybersicherheitsmassnahmen in ihrem Unternehmen zu überwachen.
Ihre Mitglieder können für Verstösse gegen die NIS2-Richtlinie persönlich haftbar gemacht werden und sind verpflichtet, an Schulungen teilzunehmen und diese auch für ihre Mitarbeitenden anzubieten. Die aktive Beteiligung der Geschäftsführung ist entscheidend, um die Umsetzung zu gewährleisten und das Bewusstsein für Sicherheitspraktiken im gesamten Unternehmen zu fördern.
Umgang mit Sicherheitsvorfällen
NIS2-konformer Umgang mit Sicherheitsvorfällen
Gemäss Artikel 23 der NIS2-Richtlinie sind Unternehmen dazu verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich zu melden. Dabei gibt die Richtlinie klare Fristen für die Weiterleitung des Vorfalls an die zuständigen Behörden vor. Innerhalb von 24 Stunden nach Kenntnisnahme muss eine Frühwarnung erfolgen, die auch den Verdacht auf rechtswidrige oder böswillige Handlungen sowie grenzüberschreitende Auswirkungen umfasst.
Darüber hinaus muss innerhalb von 72 Stunden ein detaillierter Bericht vorliegen, der eine erste Bewertung des Vorfalls mit Schweregrad, Auswirkungen und Kompromittierungsindikatoren enthält. Ein abschliessender Bericht mit ausführlicher Beschreibung, Ursachen, Abhilfemassnahmen und möglichen grenzüberschreitenden Auswirkungen muss einen Monat nach der Meldung erfolgen.
Eine schnelle und präzise Reaktion auf Sicherheitsvorfälle ist entscheidend, um die Auswirkungen zu minimieren und die Cyber-Sicherheit zu stärken.
Folgen bei Missachtung
Verstösse haben Konsequenzen
Bei Nichteinhaltung der NIS2-Richtlinie drohen Unternehmen erhebliche finanzielle Konsequenzen. Gemäss den Bestimmungen können Bussgelder verhängt werden, die entweder einem Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Vorjahresumsatzes entsprechen – je nachdem, welcher Betrag höher ist. Für Unternehmen, die von den Behörden als weniger bedeutend eingestuft werden, beträgt der Höchstbetrag mindestens 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes des Vorjahres.
Den EU-Mitgliedsstaaten steht es frei, in ihrer nationalen Gesetzgebung strenger zu sein als in der NIS2-Richtlinie vorgesehen. Daher ist es für alle Unternehmen unerlässlich, die Vorgaben des NIS2UmsuCG genau zu befolgen, um mögliche finanzielle Schäden zu vermeiden.
Lösungen
Unsere Lösungen zur Umsetzung der NIS2-Richtlinie
ISMS-Beratung (ISO/IEC 27001:2022)
Mit unserer Unterstützung können Sie Ihr ISMS definieren, steuern und kontinuierlich verbessern, um die Sicherheit Ihrer sensiblen Informationen und Daten zu gewährleisten.
Mehr zu ISMS
Business Continuity Management
Entwickeln Sie mit uns gemeinsam individuelle und ganzheitliche Strategien zur Aufrechterhaltung des Geschäftsbetriebs in unvorhersehbaren Szenarien.
Mehr erfahren zu BCM
Notfall- und Krisenmanagement
Wir bereiten Sie und Ihr Unternehmen oder Ihre Organisation gezielt und effektiv auf den Ernstfall vor, um Schäden zu minimieren und schnellstmöglich zur Normalität zurückzukehren.
Incident Response
Eine schnelle und gute Reaktion auf Störfälle ist für jede Organisation unerlässlich – und wird durch die neuen Richtlinien zu Meldepflicht und Haftung wird sie nun noch wichtiger.
Endpoint Detection and Response (EDR) und Extended Detection & Response (XDR)
Steigern Sie Ihre Sicherheit durch Echtzeit-Erkennung von Anomalien, forensische Analyse und erweiterte Bedrohungsübersicht durch die Kombination von Datenerfassung und Sicherheitsdaten.
Backup-Management und Wiederherstellung
Gewährleisten Sie die Sicherheit Ihrer Daten durch wirksame Sicherheitsmassnahmen, um im Notfall einen unterbrechungsfreien Betriebsablauf sicherzustellen und potenzielle Ausfallzeiten zu minimieren.
Pentesting
Identifizieren und beheben Sie Sicherheitslücken in ihrem Unternehmen durch gezielte Penetrationstests, um Ihr System zu stärken.
Red Teaming
Mit unseren fundierten Analysen und massgeschneiderten Angriffsszenarien identifizieren wir Schwachstellen in Ihren Systemen, bewerten das Risikopotenzial und bieten umfassende Lösungsansätze.
Identity and Access Management (IAM)
Schützen Sie Ihre Infrastrukturen und Systeme durch modernstes Identity and Access Management.
Next Generation Firewalls
Moderne Infrastrukturen benötigen modernen Schutz. Mit unserem Angebot an Next Generation Firewalls schützen Sie sich effektiv vor Cyberkriminalität.
Security Awareness
Halten Sie Ihr Team auf dem neuesten Stand in Sachen Cybersicherheit und reduzieren Sie so die Wahrscheinlichkeit menschlicher Fehler.
SIEM
Implementieren Sie ein leistungsstarkes SIEM (Security Information and Event Management) zur Echtzeitüberwachung und Analyse von Sicherheitsereignissen.
SOAR
Nutzen Sie eine SOAR-Plattform (Security Orchestration, Automation and Response) zur Automatisierung von Sicherheitsvorfällen und Optimierung von Workflows.
Cloud Security
Cloud-Sicherheitsstandards gewährleisten eine konsistente und robuste Sicherheitsinfrastruktur für Ihre Daten und Anwendungen in der Cloud-Umgebung.
OT Security
Neben der IT müssen auch vernetzte Fabriken berücksichtigt werden. Erkennen Sie Bedrohungen für Ihre OT-Umgebung frühzeitig, um sie abwehren und Ihr Unternehmen schützen zu können.
Governance & Compliance
Stellen Sie die vollständige Einhaltung der NIS2-Richtlinie durch ein effektives Governance- und Compliance-Framework in Ihrem Unternehmen sicher.
Managed SOC
Bedrohungen zu erkennen ist nur der Anfang. Mit unserem Managed SOC Service steht Ihnen rund um die Uhr ein hochspezialisiertes Team zur Seite, das Ihre IT-Infrastruktur überwacht und Sicherheitsbedrohungen abwehrt.
Die wichtigsten Fragen auf einen Blick
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie ist eine EU-weite Vorschrift zur Erhöhung der Cybersicherheit. Sie legt verbindliche Sicherheitsmassnahmen und Meldepflichten für Unternehmen in verschiedenen Sektoren fest.
Wer ist von der NIS2-Richtlinie betroffen?
Welche Massnahmen müssen Unternehmen umsetzen?
Was passiert bei Verstössen gegen die NIS2-Richtlinie?
Wann tritt die NIS2-Richtlinie in Kraft?
Wo finde ich weitere Informationen zur NIS2-Richtlinie?
Welche Sektoren sind in der NIS2-Richtlinie als kritisch definiert?
Was sind die Hauptziele der NIS2-Richtlinie?
Gibt es Ausnahmen oder Sonderregelungen für bestimmte Unternehmen?
Wie können Unternehmen sicherstellen, dass sie die Anforderungen der NIS2-Richtlinie erfüllen?
Welche Rolle spielen Schulungen in Bezug auf die NIS2-Richtlinie?
Was sind die wichtigsten Unterschiede zur Vorgängerversion?
NIS2-Richtlinie: Alle Blog-Artikel im Überblick
Unsere aktuellen Beiträge zu NIS2, deren Umsetzung und ihre Auswirkungen
Wir konnten Ihre Frage nicht beantworten?
Dann schreiben Sie uns eine E-Mail an: helpdesk@somnitec.ch. Einer unserer Experts wird sich zeitnah bei Ihnen melden. Alternativ erreichen Sie uns jederzeit telefonisch unter der +41 844 535353.
Wir navigieren Sie sicher durch NIS2
Sprechen Sie mit unseren Experts
Sie benötigen Unterstützung bei der Umsetzung der NIS2-Richtlinie? Von der Geschäftsführung bis zur operativen Umsetzung in IT, OT und IoT müssen alle wissen, was zu tun ist. Wir zeigen Ihnen, wie NIS2 Ihre Branche betrifft und was das für Sie bedeutet.
Gemeinsam identifizieren wir potenzielle Schwachstellen und bewerten mögliche Auswirkungen, um darauf aufbauend gezielte Massnahmen zu ergreifen. Sind potenzielle Schwachstellen erkannt, können diese beseitigt werden. Wir sorgen für den nötigen Schutz und entwickeln individuelle Lösungen. Vereinbaren Sie noch heute Ihr kostenloses Erstgespräch, um die NIS2-Richtlinie bereits zeitnah in Ihrem Unternehmen umzusetzen.
Cyber Security ist nicht Ihr Kerngeschäft? Unseres schon.
Die Anforderungen und Strafen sind hoch, die Meldefristen kurz. Umso wichtiger ist es für Sie, einen effektiven und effizienten Partner an Ihrer Seite zu haben. Von der Erstberatung über die technologische Umsetzung bis hin zum Management Ihrer Sicherheitslösungen: Wir sind für Sie da. Seit 32 Jahren.