Datensicherheit für Unternehmen in NIS-2 vorgeschrieben

Die neue NIS-Richtlinie: Mehr Sicherheit für kritische Infrastrukturen

Mit der NIS-Richtlinie (Network and Information Security Directive) will die EU die Sicherheit von kritischen Infrastrukturen (KRITIS) verbessern. Die Richtlinie wurde erstmals 2016 verabschiedet und ist am 10. August 2018 in Kraft getreten.

Am 16. Januar 2023 wurde eine überarbeitete Version der NIS-Richtlinie, die NIS-2, auf den Weg gebracht, die im Jahr 2024 auf nationaler Ebene umgesetzt werden soll.

Anwendungsbereich

Die NIS-2-Richtlinie erweitert den ursprünglichen Bereich für kritische Infrastrukturen auf das zuarbeitende Gewerbe, so dass im Falle eines Falles auch die Lieferketten geschützt sind. Folgenden „wesentliche“ Sektoren waren bereits ursprünglich enthalten.

Gesundheitswesen
Virtuelle Infrastruktur
Transportwesen
Wasserversorgung
Digitale Dienstleister
Bankwesen
Finanzmarktinfrastruktur
Energie

Zudem sollen in der kommenden Version auch diese „wichtigen“ Entitäten unter die NIS-2-Regularien fallen:

Anbieter öffentlich zugänglicher Kommunikationsnetze oder -dienste
Abwasser
Chemie
Erweiterter Kreis im Gesundheitswesen: Pharma, Forschung und Entwicklung, kritische Medizinprodukte
Lebensmittelproduzenten, -verarbeiter und -händler
Herstellung kritischer Produkte z.B. Computer, Elektronik, Kraftfahrzeuge
Digitale Anbieter wie etwa Social Networking Plattformen, Suchmaschinen und Online Marktplätze
Raumfahrt
Post- und Kurierdienste
Öffentliche Verwaltung

Es hängt von der Unternehmensgröße und dem Umsatz ab, welche Unternehmen die NIS 2-Anforderungen erfüllen müssen. Dabei wird zwischen mittleren und großen Betrieben unterschieden:

Mittlere Unternehmen: 50-250 Mitarbeiter, 10-50 Mio. EUR Umsatz, Bilanzsumme unter 43 Mio. EUR
Große Unternehmen mit mehr als 250 Mitarbeitern, über 50 Mio. EUR Umsatz, Bilanzsumme über 43 Mio. EUR

Pflichten betroffener Unternehmen

Unternehmen haben folgende Maßnahmen zu ergreifen:

Einrichtung eines Risikomanagementsystems für Informationssicherheit (ISMS)
Technische und organisatorische Maßnahmen zur Sicherung ihrer IT-Systeme umsetzen (Stand der Technik)
Regelmäßige Schulungen und Übungen zur Informationssicherheit durchführen

NIS-2 führt darüber hinaus Meldepflichten für Störfälle ein:

Eine erste Meldung eines signifikanten Sicherheitsvorfalles innerhalb von 24 Stunden nach Entdeckung.
Innerhalb von 72 Stunden nach Entdeckung eine erste Bewertung des Vorfalls abgeben.
Einen detaillierten Abschlussbericht innerhalb eines Monats nach Entdeckung des Vorfalls vorlegen.

Haben wir Ihr Interesse an unseren Lösungen geweckt?

Wir freuen uns auf ein Gespräch mit Ihnen!

Mögliche Sanktionen

Neben der Meldepflicht für sicherheitsrelevante Ereignisse verschärft NIS 2 auch die Sanktionen bei Nichteinhaltung der Vorschriften. Für wesentliche Anlagen sind Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vorgesehen, je nachdem, welcher Betrag höher ist. Bei wichtigen Instituten ist das maximale Bußgeld auf 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes begrenzt.

Der Referentenentwurf des Bundesinnenministeriums sieht zudem vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen mit ihrem Privatvermögen für die Einhaltung der Risikomanagementmaßnahmen haften. Die Geldbuße kann bis zu 2 Prozent des weltweiten Jahresumsatzes betragen.

Umsetzung in Deutschland

Die Bundesregierung hat am 29. März 2023 das Gesetz zur Umsetzung der NIS-2-Richtlinie beschlossen. Das Gesetz sieht die nationale Umsetzung bis zum 17. Oktober 2024 vor.

Zusammengefasst

Mit der NIS-2-Richtlinie wurde ein wichtiger Schritt unternommen, um die Sicherheit kritischer Infrastrukturen in der Europäischen Union zu verbessern. Die Richtlinie verpflichtet Unternehmen in kritischen Sektoren, Maßnahmen zu ergreifen, um ihre IT-Systeme zu sichern.

Um die Umsetzungsfristen einzuhalten und sich vor möglichen Sanktionen zu schützen, sollten sich Unternehmen daher frühzeitig mit den Anforderungen der NIS-2-Richtlinie auseinandersetzen.

Fallstudien mit umgesetzten Sicherheitsprojekten

IT-Fürsorge ermöglicht effektive Gesundheitsvorsorge

Krankenhausinformationssystem (KIS) der Klinik Grünstadt erfolgreich umgezogen: Alles Remote – im laufenden Betrieb – ohne Ausfall.

Starline macht SIMTEK Storage wieder flott

Eine System-Auffrischung verhilft SIMTEK für reibungslos ablaufende Workflows, effektive Backups und den gewünschten Vor-Ort-Service.

Archiware-Starline-Video-Fallstudie

Ein Bewegtbild-Beispiel wie wir kreative Medien-Profis mit der Backup-Suite Archiware P5 und LTO-Technik effektiv absicherten.

Unsere Qualitäten

Hohe Kompetenz

Erfahrene und geschulte Techniker führen Leistungs- und Funktionschecks durch und bieten schnelle Hilfe im Fehlerfall.

Kostenlose Betreuung

Unser exzellenter E-Mail Support und unsere technische Hotline sind für unsere Kunden kostenlos.

Hohe Erreichbarkeit

Vertrieb: Sie erreichen uns werktäglich von 7:30 - 17:00 Uhr (Fr. 16:30 Uhr). Support: Hilfestellung von 8:30 - 17:00 Uhr (Fr. 16:30 Uhr)

Innovative Produkte

Unsere Produktmanager und Techniker suchen permanent nach ausgefeilten Server- und Storage-Produkten.

Mehr laden

Noch Fragen

Bernd Widmaier

Vertrieb

Vertriebsleiter und Experte für vertikale Märkte sowie im Bereich Mac, Video-Storage und Media-Streaming.