{"id":289171,"date":"2023-12-12T00:01:00","date_gmt":"2023-12-11T23:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289171"},"modified":"2023-12-12T23:08:53","modified_gmt":"2023-12-12T22:08:53","slug":"nis2-muss-bis-17-oktober-2024-von-unternehmen-umgesetzt-werden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/12\/nis2-muss-bis-17-oktober-2024-von-unternehmen-umgesetzt-werden\/","title":{"rendered":"NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden"},"content":{"rendered":"

\"SicherheitDie NIS-2-Richtlinie (NIS steht f\u00fcr Network and Information Security) ist zwar bereits am 16. Januar 2023 in Kraft getreten, muss aber erst zum 17. Oktober 2024 von betroffenen Unternehmen verpflichtend umgesetzt werden. Die NIS-2-Richtlinie legt verbindliche Cyber Security-Mindeststandards f\u00fcr Betreiber Kritischer Infrastrukturen fest. NIS-2 betrifft mehr Unternehmen als die seit 2016 geltende Richtlinie NIS-1. Ein Blog-Leser hat mich letztens per Mail kontaktiert und regte an, das Thema im Blog aufzugreifen, denn Oktober 2024 sei ja nicht mehr so weit entfernt. IT-Verantwortliche sollten daher handeln und pr\u00fcfen, ob sie mit der Unternehmens-IT unter die NIS-2-Richtlinie fallen.<\/p>\n

<\/p>\n

NIS-2-Richtlinie der EU<\/h2>\n

\"\"Die NIS-2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die bereits 2022 beschlossen<\/a>, und\u00a0 im Dezember 2022 im Amtsblatt der Europ\u00e4ischen Union ver\u00f6ffentlicht wurde. NIS-2 ist am 16. Januar 2023 offiziell EU-weit in Kraft getreten. Die Mitgliedstaaten haben nun bis Oktober 2024 Zeit, NIS-2 in nationales Recht umzusetzen. In Deutschland erfolgt die Umsetzung durch das NIS-2UmsuCG, welches aktuell als Referentenentwurf vorliegt.\u00a0 Ab dem 17. Oktober 2024 gelten die Vorgaben der Richtlinie NIS-2 in allen EU-L\u00e4ndern.<\/p>\n

Ziel der Richtlinie ist die St\u00e4rkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit. NIS-2 bildet die Grundlage f\u00fcr Risikomanagementma\u00dfnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu geh\u00f6ren etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur.<\/p>\n

Mit der \u00fcberarbeiteten Richtlinie sollen die Anforderungen an die Cybersicherheit und die Umsetzung von Cybersicherheitsma\u00dfnahmen zwischen verschiedenen Mitgliedstaaten harmonisiert werden. Dazu werden Mindestvorschriften f\u00fcr einen Rechtsrahmen und Mechanismen f\u00fcr eine wirksame Zusammenarbeit zwischen den zust\u00e4ndigen Beh\u00f6rden der einzelnen Mitgliedstaaten festgelegt. Die Liste der Sektoren und T\u00e4tigkeiten, f\u00fcr die Verpflichtungen im Hinblick auf die Cybersicherheit gelten, werden aktualisiert und es werden Abhilfema\u00dfnahmen und Sanktionen festgelegt, um die Durchsetzung zu gew\u00e4hrleisten. Eine \u00dcbersicht, warum NIS-2 notwendig wurde, findet sich beispielsweise auf dieser Webseite<\/a>.<\/p>\n

Wer ist von NIS-2 betroffen?<\/h2>\n

W\u00e4hrend nach der alten NIS-1-Richtlinie die Mitgliedstaaten daf\u00fcr zust\u00e4ndig waren, festzulegen, welche Einrichtungen die Kriterien f\u00fcr die Einstufung als Betreiber wesentlicher Dienste erf\u00fcllen, wird mit der neuen NIS 2-Richtlinie ein Schwellenwert f\u00fcr die Gr\u00f6\u00dfe der Unternehmen eingef\u00fchrt, der als allgemeine Regel Europa-weit f\u00fcr die Ermittlung beaufsichtigter Einrichtungen dient. Das bedeutet, dass alle mittleren und gro\u00dfen Einrichtungen, die in den von der Richtlinie erfassten Sektoren t\u00e4tig sind oder unter die Richtlinie fallende Dienste erbringen, in den Anwendungsbereich der Richtlinie fallen. Das f\u00fcr zu einer massiven Ausweitung Zahl der betroffenen Unternehmen, die unter NIS-2 fallen und dann einer erweiterten Berichts und Aufsichtspflicht unterliegen.<\/p>\n

\"Wer<\/a>
\nWer f\u00e4llt unter NIS-2? Quelle: DV-Kontor<\/a>, zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Obiger Screenshot zeigt eine Folie aus einem Workshop des DV-Kontor<\/a>, die aufzeigt, wer k\u00fcnftig als Unternehmen unter den Geltungsbereich der NIS-2-Richtlinie f\u00e4llt (einfach auf das Bild klicken, um eine vergr\u00f6\u00dferte Darstellung abzurufen). Dazu gibt es zwei Kriterien: Die Unternehmensgr\u00f6\u00dfe, bestehend aus Mitarbeiterzahl und Umsatz sowie Jahresbilanzsumme – sowie der Sektor, in dem das Unternehmen t\u00e4tig ist. Bei den Sektoren wird noch zwischen wichtigen und wesentlichen Bereich aufgeteilt.<\/p>\n