NIS2 – Europäische und nationale Rechtsvorschriften zur Cybersicherheit von Organisationen

Die neue europäische „Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ (NIS2) ist am 17. Oktober 2024 in das Recht der Europäischen Union (EU) eingetreten.

 

Die neue Richtlinie stellt erhebliche Anforderungen an die Angleichung der Cybersicherheitsfähigkeiten von Organisationen in verschiedenen Sektoren, die als wesentlich oder wichtig eingestuft sind.

NIS2 stärkt die Sicherheit der Netzwerke und Informationssysteme der EU, indem sie Betreiber kritischer Infrastrukturen verpflichtet, Mindeststandards für Cybersicherheit einzuführen und Cybervorfälle zu melden. Sie erweitert den Anwendungsbereich der NIS-Richtlinie auf mehr Organisationen und Sektoren und zielt darauf ab, die Sicherheit der Lieferketten zu verbessern, die Berichterstattung zu vereinheitlichen und europaweit strengere Maßnahmen und Sanktionen für ein sichereres und geschützteres Europa einzuführen. 

Diese verbindlichen Standards für die Cybersicherheit, die auf einer Risikobewertung basieren, können wirksam dazu beitragen, die Cybersicherheit von Organisationen zu stärken, die diese Standards übernehmen und einhalten, von denen viele wahrscheinlich Teil einer bestehenden Cybersicherheitspolitik sind. Die Nichteinhaltung dieser verbindlichen Standards kann zu erheblichen Geldstrafen führen. NIS2 – Europäische und nationale Rechtsvorschriften zur Cybersicherheit von Organisationen.

NIS 2

NIS 2

NIS 2

Wie funktioniert das?

Da NIS2 nicht für alle gleichermaßen gilt, bieten wir Ihnen einen kurzen Überblick über diese europäische Richtlinie zur Netz- und Informationssicherheit. Wir erläutern Ihnen die wesentlichen Punkte von NIS2 und für wen sie relevant ist. Informieren Sie sich über die Anforderungen und Best Practices zur Einhaltung von NIS2.

Warum ist das erforderlich?

NIS2 legt Sicherheitsanforderungen fest, die in Bereiche wie Sorgfaltspflicht, Melde- und Überwachungspflichten gegliedert sind und bereits relativ konkret sind, bevor sie offiziell in nationales Recht umgesetzt werden. Dazu gehören unter anderem konkrete Maßnahmenkataloge in Artikel 21 und erhebliche Bußgelder in Artikel 34 (4). Weitere Informationen finden Sie in der Richtlinie: EUR-Lex - 32022L2555 (europa.eu). Darüber hinaus gibt es eine Reihe weiterer wichtiger Elemente, wie z. B. Sicherheit in der Lieferkette, Verantwortlichkeiten der Führungskräfte und Schulungsverpflichtungen.

In welcher Phase befindet sich Ihre Organisation?

Um sicherzustellen, dass Ihre Organisation rechtzeitig auf diese gesetzlichen Anforderungen an die Cybersicherheit vorbereitet ist, ist es wichtig, jetzt mit den richtigen Vorbereitungen zu beginnen. Auch wenn diese Anforderungen noch nicht in nationales Recht umgesetzt sind, ist bereits klar, in welche Richtung es geht, und es lassen sich Parallelen zu bestehenden Rahmenstandards und Best Practices wie ISO 27001 ziehen.

Für wen ist sie vorgesehen?

Zu den Organisationen, die von der neuen europäischen Richtlinie „Netz- und Informationssicherheit 2” (NIS2) betroffen sind, gehören Energieunternehmen, Fluggesellschaften, Wasserversorger, digitale Dienstleister, staatliche Einrichtungen und deren Lieferanten. Um zu überprüfen, ob die Richtlinie für Ihre Organisation gilt, empfehlen wir Ihnen, sich an Ihre lokalen Behörden zu wenden. Bei Fragen wenden Sie sich bitte an uns, um fachkundige Beratung und Unterstützung zu erhalten.

Welche Organisationen sind davon betroffen?

Die NIS2-Richtlinie richtet sich an mehr Arten von Unternehmen und Organisationen als die erste NIS-Richtlinie. Das bedeutet, dass nun mehr öffentliche und private Organisationen die Vorschriften einhalten müssen. 

Zu den Organisationen, die derzeit unter die NIS2-Richtlinie fallen, gehören:

  • Verkehr 

  • Bankwesen

  • Infrastruktur-Finanzmarkt

  • Gesundheitswesen

  • Trinkwasser

  • Digitale Infrastruktur

  • IKT-Dienstleister

  • Abwasser

  • Öffentliche Dienstleistungen

  • Raumfahrt

  • Anbieter digitaler Dienstleistungen
  • Post- und Kurierdienste 
  • Abfallentsorgung 
  • Lebensmittelherstellung 
  • Chemikalien 
  • Forschung 
  • Produktion

Bedeutende Organisationen 

Dies sind große Organisationen, die in einem der in Anhang I der NIS2-Richtlinie aufgeführten Sektoren tätig sind. 

Eine Organisation gilt anhand der folgenden Kriterien als groß: 

  • mindestens 250 Mitarbeiter 
  • Jahresumsatz von mehr als 50 Millionen Euro und Bilanzsumme von mehr als 43 Millionen Euro.


Wichtige Organisationen 

Dies sind mittlere Organisationen, die in einem der in Anhang I genannten Sektoren tätig sind, sowie mittlere und große Organisationen, die in einem der in Anhang II genannten Sektoren tätig sind. 

Eine Organisation gilt als mittelgroß, wenn sie die folgenden Kriterien erfüllt: 

  • mindestens 50 Mitarbeiter oder 
  • Jahresumsatz und Bilanzsumme von mehr als 10 Millionen Euro.


Um sicherzustellen, dass Ihr Unternehmen die Anforderungen von NIS2 erfüllt, ist es wichtig, bereits jetzt mit den Vorbereitungen zu beginnen. 

Obwohl die Anforderungen von NIS2 in der Ukraine noch nicht verabschiedet sind, wird ihre Umsetzung in naher Zukunft erwartet. Die Änderungen betreffen strengere Anforderungen an die Berichterstattung, die Rechenschaftspflicht und die Risikobewertung im Bereich der Cybersicherheit. 

Ukrainische Unternehmen sollten bereits heute mit den Vorbereitungen für diese Änderungen beginnen: Implementieren Sie geeignete Sicherheitsmaßnahmen, aktualisieren Sie Ihre Berichts- und Risikomanagementrichtlinien, um Sanktionen zu vermeiden und die Einhaltung der europäischen Standards sicherzustellen. 

Erfahren Sie mehr über die Vorbereitung auf die NIS2-Anforderungen und die Einhaltung der neuen Standards. Wenden Sie sich an BDO in der Ukraine.  

Unsere Experten unterstützen Sie gerne bei der Anpassung an die Änderungen und der Entwicklung von Sicherheits- und Risikomanagementstrategien für Ihr Unternehmen. 

Die Cybersicherheitslösungen des BDO-Teams in der Ukraine umfassen Folgendes: 


Bitte wenden Sie sich an BDO in der Ukraine, um Beratung und Unterstützung bei der Bewertung Ihrer Cybersicherheit und der Umsetzung der erforderlichen Standards zu erhalten, damit Ihr Unternehmen die Anforderungen dieser Richtlinie erfüllt.


Quelle: BDO Global

KONTAKTIEREN SIE UNS

Ansprechpartner