Die Network and Information Security Richtlinie 2 (kurz NIS2) der Europäischen Union verpflichtet ihre Mitgliedsstaaten zur Umsetzung verbindlicher Sicherheitsmaßnahmen und Meldepflichten für Unternehmen in 18 kritischen Sektoren. Die Richtlinie ersetzt die NIS-Richtlinie aus dem Jahr 2016 und soll das allgemeine Cybersicherheitsniveau in der Europäischen Union verbessern.
Im Vergleich zur Vorgängerrichtlinie erweitert NIS2 den Kreis der betroffenen Unternehmen und verschärft die Pflichten sowie die behördliche Aufsicht. Unternehmen sind nun verpflichtet, einen ganzheitlichen Ansatz für die Sicherheit ihrer Netz- und Informationssysteme zu verfolgen. Die Nichteinhaltung der NIS2-Richtlinie kann zu erheblichen Bußgeldern führen. Mitglieder der Geschäftsführung können persönlich haftbar gemacht werden.
Die NIS2-Richtlinie (EU) 2022/2555 wurde bereits im Jahr 2023 durch die Europäische Union verabschiedet und legt einen Mindeststandard fest, den alle EU-Mitgliedsstaaten einhalten müssen. Ursprünglich sollte die Richtlinie bis zum 17. Oktober 2024 in nationales Recht übersetzt worden sein – in Deutschland ins NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Im Juli 2024 einigte sich das Bundeskabinett auf einen Gesetzesentwurf. Aktuelle Prognosen gehen nun von einer Umsetzung bis März 2025 aus.
Der Geltungsbereich der NIS2-Richtlinie umfasst öffentliche und private Organisationen in 18 spezifischen Sektoren, die entweder ihre Dienste innerhalb der Europäischen Union anbieten oder dort tätig sind und bestimmte Schwellwerte überschreiten. Darüber hinaus gibt es einige Sonderfälle, die trotz der genannten Kriterien gelten können.
Die relevanten Schwellwerte für Unternehmen in “Sektoren mit hoher Kritikalität” sind 250 Beschäftigte oder mehr als 50 Millionen Euro Jahresumsatz oder 43 Millionen Euro Jahresbilanzsumme oder Betreiber kritischer Infrastrukturen (KRITIS). Die Schwellwerte für Unternehmen in anderen kritischen Sektoren liegen bei 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz oder 10 Millionen Euro Jahresbilanzsumme.
Betreiber von Internet-Knoten, DNS-Dienstanbieter, ausgenommen Betreiber von Root-Namenservern, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Vertrauensdiensteanbieter, Betreiber öffentlicher elektronischer Kommunikationsnetze, Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
Gesundheitsdienstleister, EU-Referenzlaboratorien, Einrichtungen, die Forschung und Entwicklung von Arzneimitteln betreiben, Einrichtungen, die bestimmte pharmazeutische Produkte herstellen, Einrichtungen, die kritische Medizinprodukte für Notfälle im Bereich der öffentlichen Gesundheit herstellen
Betreiber von Bodeninfrastrukturen, die sich im Eigentum von EU-Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen, mit Ausnahme der Betreiber öffentlicher elektronischer Kommunikationsnetze
Lieferanten von und Unternehmen, die „Wasser für den menschlichen Gebrauch“ liefern, mit Ausnahme von Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch einen unwesentlichen Teil ihrer Gesamttätigkeit ausmacht, die in der Lieferung anderer Rohstoffe und Güter besteht
Einrichtungen der öffentlichen Verwaltung von Zentralregierungen, entsprechend der Definition eines Mitgliedstaats nach nationalem Recht, Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene, entsprechend der Definition eines Mitgliedstaats nach nationalem Recht
Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln, ausgenommen Unternehmen, für die das Sammeln, Beseitigen oder Behandeln dieses Abwassers kein wesentlicher Teil ihrer allgemeinen Tätigkeit ist
Anbieter von Managed Services, Anbieter von Managed Security Services
Elektrizität, Fernwärme und Kälte, Erdöl, Erdgas, Wasserstoff
Luftfahrt, Schienenverkehr, Schifffahrt, Straßenverkehr
Handelsplatzbetreiber, zentrale Gegenparteien
Banken, Kreditinstitute
Unternehmen der Abfallbewirtschaft, ausgenommen Unternehmen, für die die Abfallbewirtschaft nicht die Haupttätigkeit darstellt.
Anbieter von Postdiensten, einschließlich Anbieter von Kurierdiensten.
Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln, Unternehmen, die aus diesen Stoffen oder Gemischen Erzeugnisse herstellen.
Unternehmen der Nahrungsmittelindustrie, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind.
Herstellung von Medizinprodukten und In-vitro-Diagnostika, Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Herstellung von elektrischen Ausrüstungen, Maschinenbau, Herstellung von Kraftwagen und Kraftwagenteilen, sonstiger Fahrzeugbau.
Anbieter von Online-Marktplätzen, Anbieter von Online-Suchmaschinen, Anbieter von Plattformen für soziale Netzwerkdienste.
Forschungseinrichtungen
Um die Anforderungen der NIS2-Richtlinie zu erfüllen und die Sicherheit Ihrer Netz- und Informationssysteme zu gewährleisten, sind verschiedene Cybersicherheitsmaßnahmen erforderlich. Dazu gehören die Implementierung von Risikoanalyse- und Sicherheitskonzepten, die Sicherstellung der Geschäftskontinuität und Notfallwiederherstellung sowie die Entwicklung eines Incident-Response-Plans zur raschen Bewältigung von Sicherheitsvorfällen.
Darüber hinaus sind Schulungen zur Cyberhygiene, die Einführung von Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung und Sicherheitsmaßnahmen für die Lieferkette von großer Bedeutung. Die genauen Schritte sollten nach einem risikobasierten Ansatz festgelegt werden, um angemessene Sicherheitsstandards zu erreichen.
Gemäß Artikel 20 der NIS2-Richtlinie ist die Geschäftsführung dafür verantwortlich, die Umsetzung der Cybersicherheits-maßnahmen in ihrem Unternehmen zu überwachen.
Ihre Mitglieder können für Verstöße gegen die NIS2-Richtlinie persönlich haftbar gemacht werden und sind verpflichtet, an Schulungen teilzunehmen und diese auch für ihre Mitarbeitenden anzubieten. Die aktive Beteiligung der Geschäftsführung ist entscheidend, um die Umsetzung zu gewährleisten und das Bewusstsein für Sicherheitspraktiken im gesamten Unternehmen zu fördern.
Gemäß Artikel 23 der NIS2-Richtlinie sind Unternehmen dazu verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich zu melden. Dabei gibt die Richtlinie klare Fristen für die Weiterleitung des Vorfalls an die zuständigen Behörden vor. Innerhalb von 24 Stunden nach Kenntnisnahme muss eine Frühwarnung erfolgen, die auch den Verdacht auf rechtswidrige oder böswillige Handlungen sowie grenzüberschreitende Auswirkungen umfasst.
Darüber hinaus muss innerhalb von 72 Stunden ein detaillierter Bericht vorliegen, der eine erste Bewertung des Vorfalls mit Schweregrad, Auswirkungen und Kompromittierungsindikatoren enthält. Ein abschließender Bericht mit ausführlicher Beschreibung, Ursachen, Abhilfemaßnahmen und möglichen grenzüberschreitenden Auswirkungen muss einen Monat nach der Meldung erfolgen.
Eine schnelle und präzise Reaktion auf Sicherheitsvorfälle ist entscheidend, um die Auswirkungen zu minimieren und die Cyber-Sicherheit zu stärken.
Bei Nichteinhaltung der NIS2-Richtlinie drohen Unternehmen erhebliche finanzielle Konsequenzen. Gemäß den Bestimmungen können Bußgelder verhängt werden, die entweder einem Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Vorjahresumsatzes entsprechen – je nachdem, welcher Betrag höher ist. Für Unternehmen, die von den Behörden als weniger bedeutend eingestuft werden, beträgt der Höchstbetrag mindestens 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes des Vorjahres.
Den EU-Mitgliedsstaaten steht es frei, in ihrer nationalen Gesetzgebung strenger zu sein als in der NIS2-Richtlinie vorgesehen. Daher ist es für alle Unternehmen unerlässlich, die Vorgaben des NIS2UmsuCG genau zu befolgen, um mögliche finanzielle Schäden zu vermeiden.
Füllen Sie das Formular aus, um mit uns in Kontakt zu treten. Wir melden uns schnellstmöglich bei Ihnen.
fernao ist ein spezialisiertes Beratungs- und Lösungsunternehmen im Bereich Healthcare IT. Unser Fokus liegt auf der Digitalisierung im Gesundheitswesen, um Patientensicherheit, Effizienz und Kosteneinsparungen zu fördern.
Mit langjähriger Erfahrung unterstützen wir Kliniken und Gesundheitseinrichtungen bei Themen wie Alarmierungslösungen, Cyber Security für medizinische Geräte sowie Krisenmanagement und Business Continuity.
Fernao geht die zentralen Herausforderungen im Gesundheitswesen an: den Fachkräftemangel, der nicht nur Ärzte und Pflegekräfte betrifft, sondern auch IT-Experten. Durch intelligente Automatisierung und optimierte Prozesse entlasten wir vorhandenes Personal.
Gleichzeitig legen wir großen Wert auf Datensicherheit und Datenschutz: Mit robusten Sicherheitssystemen schützen wir sensible Patientendaten vor unbefugtem Zugriff und Cyber-Bedrohungen.
Außerdem sorgen wir für zuverlässige Alarmsysteme und Geräteüberwachung, um im Notfall schnell reagieren zu können und die Funktionalität medizinischer Geräte ständig sicherzustellen.
Nicht zuletzt helfen wir im Kostenmanagement, indem wir Verwaltungsprozesse und Abrechnungssysteme optimieren, um Ausgaben zu kontrollieren und Effizienzgewinne zu realisieren.
• Krankenhausalarm- und Einsatzplanung: Wir entwickeln individuelle Alarm- und Einsatzpläne für verschiedene Risikoszenarien – von Evakuierungen über Pandemien bis hin zu Cyberangriffen. So stellen wir die Betriebsfähigkeit und Patientensicherheit in Krisenzeiten sicher.
• Alarmierungslösungen: Durch die Integration leistungsstarker Alarmserver mit Ihrer Telefonanlage ermöglichen wir eine hochverfügbare Notfallkommunikation, damit kritische Informationen schnell und zuverlässig übermittelt werden.
• Asset Vulnerability Management: Unsere IT-Lösungen überwachen medizintechnische Geräte kontinuierlich, erkennen Wartungsbedarf frühzeitig und minimieren Ausfallrisiken. Dadurch wird die Verfügbarkeit entscheidender Geräte maximiert.
Durch unsere maßgeschneiderten Lösungen zur Überwachung medizintechnischer Geräte und Alarmierung stellen wir sicher, dass im Notfall sofort eingegriffen werden kann. Das reduziert Risiken und steigert die Sicherheit der Patienten.
Parallel optimieren wir Arbeitsabläufe in Kliniken, sodass Pflege- und Medienteams ihren Fokus stärker auf die Versorgung richten können. Das führt direkt zu einer höheren Patientenzufriedenheit und verbessertem Behandlungserlebnis.