Was ist die NIS-2 Richtlinie?
Seit Januar 2023 gilt in der Europäischen Union die NIS 2 Richtlinie. Diese ist der erste Schritt in einem Prozess, der allgemein zu mehr...
Die NIS-2 Richtlinie ist Anfang des Jahres in Kraft getreten. Diese soll dazu dienen die allgemeine IT Sicherheit in der EU zu verbessern. Insbesondere die sogenannten KRITIS Unternehmen sind davon betroffen und müssen sich um eine angemessene IT Sicherheit kümmern. Allerdings ist der Kreis der Unternehmen, die zur kritischen Infrastruktur gehören, mittlerweile deutlich erweitert worden. Daher erfahren Sie in diesem Artikel, welche Unternehmen genau von der NIS-2 Richtlinie betroffen sind und ob vielleicht auch Sie dazu gehören.
Inhaltsverzeichnis
In letzter Zeit war die kritische Infrastruktur in Deutschland oder Europa immer mal wieder Thema in den Medien. Oft wird dabei auf die ganz typischen Bereiche wie zum Beispiel die Energieversorgung eingegangen. Bei genauerer Betrachtung gehört aber deutlich mehr als die typischen Sektoren wie Nahrung, Energie, Wasser zur kritischen Infrastruktur. Tatsächlich sind unsere Gesellschaft und unsere Wirtschaft auf eine Reihe von Unternehmen und Organisationen angewiesen, um funktionieren zu können. Die EU hat sich dem Schutz unserer kritischen Infrastruktur angenommen und die NIS-2 Richtlinie verabschiedet. Diese definiert in zwei Anhängen zwei unterschiedlich kritische Bereiche – die typischen KRITIS Unternehmen und die etwas weiter gefasste kritische Infrastruktur.
In Anhang 1 werden die Sektoren gelistet, die man bereits als typische KRITIS Sektoren kennt. So gehören hierzu natürlich der Energiesektor, der Verkehrssektor und der Gesundheitssektor. Dazu kommen Banken und die Finanzmarktinfrastruktur. Des Weiteren werden hier die Bereiche Trinkwasser und Abwasser sowie die digitale Infrastruktur gelistet. Außerdem wird die Verwaltung von Informations- und Kommunikationstechnologie Diensten im B2B Bereich, die öffentliche Verwaltung und der Weltraumsektor genannt.
In Anhang 2 nennt die NIS-2 Richtlinie Post- und Kurierdienste, die Abfallbewirtschaftung und Forschung. Dazu kommen Anbieter digitaler Dienste und das verarbeitende Gewerbe bzw. die Herstellung von Waren. Außerdem zählen Produktion, Herstellung und Vertrieb von chemischen Stoffen oder Lebensmitteln zu den kritischen Sektoren.
Die NIS-2 Richtlinie unterscheidet nun allerdings noch zwischen wesentlichen und wichtigen Einrichtungen. Ein Unternehmen (oder eine Organisation), welches sich in Anhang 1 wiederfindet, wird als wesentliche Einrichtung eingestuft, wenn es mindestens 250 Beschäftigte hat oder mehr als 50 Mio. EUR Jahresumsatz oder mehr als 43 Mio. EUR Jahresbilanzsumme. Sind diese Kriterien nicht erfüllt, kann das Unternehmen allerdings in die Kategorie der wichtigen Einrichtungen fallen, bei der wiederum andere Kriterien gelten.
Wichtige Einrichtungen sind demnach alle Betriebe, die sich in Anhang 1 oder 2 wiederfinden und mindestens 50 Beschäftigte haben oder über 10 Mio. EUR Jahresumsatz oder Jahresbilanzsumme.
Die genauen Unterschiede in der Gesetzgebung liegen dann bei den einzelnen Mitgliedsstaaten. Doch letztlich sollte es für Sie ausschlaggebend sein, dass Sie sich überhaupt in den Anhängen wiederfinden und entsprechende Maßnahmen ergreifen. So werden Sie zum Beispiel ohnehin in Intrusion Detection Lösungen investieren müssen.
Vielleicht haben Sie bereits festgestellt oder wissen bereits, dass Sie zu den KRITIS Unternehmen gehören. Dann sollten Sie auf jeden Fall keine Zeit verlieren und sich zeitnah um eine gute IT Sicherheit bemühen. So können Sie sämtliche Gesetze und Anforderungen vergleichsweise entspannt auf sich zukommen lassen. Aber vielleicht haben Sie auch festgestellt, dass die NIS-2 Richtlinie an einigen Stellen recht weit gefasst ist (z.B. digitale Dienste). Möglicherweise fallen Sie in solche Bereiche. Dann sollten Sie auf jeden Fall prüfen, ob die Kriterien bezüglich wesentlicher und wichtiger Einrichtungen auf Sie zutreffen. Falls ja, empfehlen wir Ihnen, sich weiter zu informieren und eventuell bereits erste Investitionen in Ihre IT Sicherheit zu tätigen. Wie bereits erwähnt führt mittlerweile im Grunde ohnehin kein Weg mehr an modernen Einbruchserkennung und Einbruchbekämpfungssystemen wie unseren Security Operation Center Services vorbei.
Sie möchten Ihren Status Quo mit den NIS-2 Maßnahmen vergleichen? Dann laden Sie sich unsere kostenlose Checkliste herunter, die wertvolle Tipps für die Implementation ihres IT Sicherheitskonzepts bietet und mögliche Fragen aus ihren Köpfen beseitigen kann.
Seit Januar 2023 gilt in der Europäischen Union die NIS 2 Richtlinie. Diese ist der erste Schritt in einem Prozess, der allgemein zu mehr...
Vor fast einem Jahr trat die zweite EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und...
Mit der Einführung der NIS2 Richtlinie ergibt sich eine Reihe von Anforderungen und Besonderheiten bei der Wirtschaftsprüfung, die vielleicht auch...