Flicken reicht in der IT-Sicherheit nicht aus

Wir von ESET unterstützen Sie bei der technischen Umsetzung von NIS2

Flicken reicht in der IT-Sicherheit nicht aus

Wir von ESET unterstützen Sie bei der technischen Umsetzung von NIS2

Was ist NIS2?

Die NIS2-Richtlinie, auch bekannt als die neue Version der Netz- und Informationssicherheitsrichtlinie (NIS), ist eine europäische Richtlinie, um die Cybersicherheit in der Europäischen Union (EU) zu stärken. Die neue Richtlinie soll Organisationen noch besser darauf vorbereiten, sich vor Cyberbedrohungen zu schützen und die Cyber-Infrastruktur der EU sicherer und robuster zu machen. Nach der offiziellen Veröffentlichung Ende 2022 haben die Mitgliedstaaten 21 Monate Zeit - also bis zum 17. Oktober 2024 - um die Vorgaben der Richtlinie in der nationalen Gesetzgebung konkret umzusetzen.

↗ Zur Webinaraufzeichnung

 

 

Welche Sektoren sind in der NIS2-Richtlinie erfasst?

Mit NIS2 werden einheitliche Regeln für mittlere und große Einrichtungen eingeführt, die in 18 Sektoren tätig sind. Dazu gehören nun "sehr kritische Sektoren" sowie "kritische Sektoren". Alle  Einrichtungen in diesen Bereichen, die unter die NIS2-Anforderungen fallen,  müssen die Rechtsvorschriften erfüllen.

Whitepaper: NIS2 und die Lieferkette

Welche IT-Security-Anforderungen gelten künftig für Unternehmen und ihre Zulieferer? Erfahren Sie mehr im ESET Whitepaper.

↗ Zum Download

Welche Organisationen werden von NIS2 erfasst?

Welche Organisationen werden von NIS2 erfasst?

Von der NIS2-Richtlinie betroffen sind Organisationen aus Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Management (B2B), Regierung und Raumfahrt sowie Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter und Forschung. Hinzu kommen alle von der bestehenden NIS-Richtlinie erfassten Organisationen und Infrastrukturen, womit sich der Geltungsbereich in der Neufassung deutlich erweitert.

Welche Anforderungen stellt NIS2?

Die NIS2-Richtlinie stellt weitergehende Anforderungen an die Cybersicherheit von Organisationen und Unternehmen. So sollen sie geeignete Maßnahmen zum Risikomanagement für Cybersicherheit ergreifen. Unter anderem müssen sie Risikoanalysen durchführen und sind verpflichtet, Vorfälle mit erheblichen Auswirkungen auf den Geschäftsbetrieb zu melden. Die Leitung einer Organisation oder eines Unternehmens, also Geschäftsführer oder Vorstände, ist für die Einhaltung der NIS2-Vorgaben verantwortlich. Alle Organisationen, die unter die NIS2-Richtlinie fallen - wesentlich oder wichtig - müssen ihrer Sorgfaltspflicht nachkommen.

Welche Anforderungen stellt NIS2?

Weiterführende Webinare

Der IT-Security Hersteller ESET bietet das ganze Jahr über verschiedene Webinare zu NIS2 und IT Security Themen an.

↗ Zur Anmeldung

Alles, was Sie über die NIS2-Richtlinie wissen müssen

In diesem Whitepaper geben unsere Experten einen Überblick über die wichtigsten Anforderungen der NIS2-Richtlinie und in welchem Umfang sie für Unternehmen in der EU gelten. Auch die damit verbundenen Verpflichtungen zur Einhaltung der Vorgaben werden hierin beleuchtet.

Mithilfe dieses Whitepapers erfahren Sie, wie Sie Ihr Unternehmen vor Cyber-Bedrohungen schützen können und die NIS2-Richtlinie problemlos einhalten.

↗ Jetzt weiterlesen

Wie können sich Unternehmen vorbereiten?

Organisationen können sich mit gezielten Anpassungen ihrer Prozesse und Abläufe auf die Einführung der NIS2-Richtlinie vorbereiten. Die Planung schließt die Sicherheit der Informationssysteme genauso ein wie ein funktionelles Risikomanagement und die Berücksichtigung der Lieferkette in die Sicherheitsabläufe. Darüber hinaus sollte ein Krisenmanagement verfügbar sein, das bei größeren Cybervorfällen eingreift und die Betriebskontinuität wiederherstellen kann. Nicht zuletzt ist die Beachtung der Meldepflicht bei entsprechend kategorisierten Vorfällen eine vorgeschriebene Maßnahme, die es einzuhalten gilt.

↗ Zum Überblick NIS2 + ESET Lösungen

Was passiert mit Unternehmen, die die NIS2-Richtlinie nicht einhalten?

Was passiert mit Unternehmen, die die NIS2-Richtlinie nicht einhalten?

Eine Sorgfaltspflicht und Meldepflicht sorgt für die Durchsetzung der NIS2-Richtlinie und gewährleistet die wirksame Einhaltung der Vorschriften. Entsprechend sind Bußgelder und Strafen bei Nichteinhaltung der Vorschriften vorgesehen. So können Verstöße mit Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens geahndet werden, je nachdem, welcher Betrag höher ist. Die nationalen Aufsichtsbehörden können ihre eigenen Modalitäten für die Verhängung von Geldbußen entwickeln und anwenden.

 

 

 

Bedeutung für Geschäftsführer (Geschäftsführerhaftung)

Die NIS2-Richtlinie nimmt Geschäftsführer und Vorstände in die Verantwortung. Das bedeutet, dass sie die Maßnahmen zum Risikomanagement billigen und überwachen müssen. Kommen sie ihren Pflichten nicht nach, ist eine persönliche Haftung möglich. Diese Haftung bezieht sich insbesondere auf mangelnde Vorsorgemaßnahmen, um eine Kompromittierung zu verhindern - gemäß der in der Richtlinie definierten Schweregrade. Daher ist es für die Geschäftsführung eines Unternehmens von essenzieller Bedeutung, dass alle in der NIS2-Richtlinie geforderten Maßnahmen umgesetzt werden.
↗ Zum Podcast

Wann wird die Richtlinie in Kraft treten?

Wann wird die Richtlinie in Kraft treten?

Ende 2022 wurde die NIS2-Richtlinie offiziell veröffentlicht. Die Mitgliedsstaaten der Europäischen Union haben bis zum 17. Oktober 2024 Zeit, um die Bestimmungen der Richtlinie in die nationale Gesetzgebung zu integrieren. Ab diesem Zeitpunkt hat die Richtlinie in Form von jeweiligen Landesgesetzen in der EU ihre Gültigkeit.

Ist Ihr Unternehmen auf dem Stand der Technik?

Auch wenn Ihr Unternehmen nicht unter die NIS2-Richtlinie fällt, ist es nicht weniger entscheidend, dass Ihre IT-Sicherheit auf dem Stand der Technik ist. Aus einem einfachen Grund: Die in der NIS2-Richtlinie angesprochene Bedrohungslage betrifft nicht nur die dort aufgeführten Organisationen, sondern alle Unternehmen. Und wer von einer Cyberattacke betroffen ist, hat zumeist mit empfindlichen wirtschaftlichen Konsequenzen zu rechnen, von hohem Reputations- und Vertrauensverlust bis hin zum Konkurs. Auch Cyberversicherungen können bei Nichteinhalten des Stands der Technik die Schadensregulierung verweigern.

↗ Whitepaper lesen

 

 

 

 

Jetzt ESET Experten kontaktieren

Strategischer Experte
Maik Wetzel

Technischer Experte
Michael Schröder

Unsere Inhalte ersetzen keine rechtliche Beratung. Bitte wenden Sie sich für Ihren konkreten Fall an eine Rechtsanwältin oder Rechtsanwalt Ihres Vertrauens.