Ab 18.10.24 gelten für viele bisher nicht betroffene Unternehmen verpflichtende Sicherheitsmaßnahmen.
Was ist NIS-2?
NIS-2 ist die EU-Richtlinie zur Netzwerk- und Informationssicherheit, die bereits seit dem 27.12.2022 auf EU-Ebene in Kraft ist. NIS steht für „Network and Information Security“. (Quelle: DAS BSI)
Ab wann gilt die NIS-2 Richtlinie?
NIS-2 gilt bereits, kann aber nicht direkt angewendet werden, sondern muss zunächst in nationales Recht umgesetzt werden. Ab dem 18. Oktober 2024 muss das nationale Recht angewendet werden.
Was besagt die NIS-2 Richtlinie?
Für viele Unternehmen und Organisationen, die bisher nicht betroffen waren, werden ab Oktober verpflichtende Sicherheitsmaßnahmen und Meldepflichten gelten. Das Ziel von NIS-2 ist ein besseres gemeinsames Cybersicherheitsniveau in der EU. NIS-2 erweitert den Kreis der betroffenen Unternehmen, deren Pflichten und die Möglichkeiten der behördliche Aufsicht.
Wer ist betroffen?
NIS-2 betrifft private und öffentliche Unternehmen in 18 kritischen Sektoren, die mindestens 50 Beschäftigte oder mindestens 10 Mio. EUR Jahresumsatz bzw. Jahresbilanzsumme haben. Darüber hinaus gilt sie auch für Sonderfälle unabhängig von ihrer Größe. (Quelle: GDATA)
Sonderfälle
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste
- Vertrauensdiensteanbieter
- TLD-Namensregistrierungen und DNS-Dienstanbieter (außer Betreiber von Root-Namenservern)
- Alleinige Anbieter, die essentiell für Gesellschaft und Wirtschaft sind
- Einrichtungen, deren Ausfall einen großen Effekt auf öffentliche Ordnung, Sicherheit oder Gesundheit hätte
- Einrichtungen, deren Ausfall zu einem Systemrisiko mit grenzübergreifenden Folgen führen könnte
- Einrichtungen, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind
- Vom EU-Mitgliedstaat definierte Einrichtung der öffentlichen Verwaltung der Zentralregierung oder kritische Einrichtung der öffentlichen Verwaltung auf regionaler Ebene
- Kritische Infrastrukturen gemäß Richtlinie (EU) 2022/2557
- Einrichtungen, die Domänennamenregistrierungsdienste erbringen
- Zusätzlich gilt die neue Richtlinie indirekt auch für Dienstleister und Lieferanten von betroffenen Einrichtungen.
(Quelle: GDATA)