Anforderungen der NIS-2-Richtlinien für Unternehmen
Wer ist von NIS-2 betroffen?
Mit dem Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) im Herbst 2024 sind Organisationen in 18 Sektoren mit mindestens 50 Mitarbeitenden und einem Umsatz von 10 Millionen Euro betroffen, die als „wesentlich“ und „wichtig“ gelten. Zusätzlich sollen einige Einrichtungen, insbesondere in der digitalen Infrastruktur und der öffentlichen Verwaltung, unabhängig von ihrer Größe reguliert werden.
Ob Ihr Unternehmen betroffen ist, können Sie auf Seite 4 der Broschüre von Infinigate ermitteln. Sie brauchen lediglich den QR-Code scannen.
Wer fällt unter die Kategorie "wesentlich" und "wichtig"?
Infrastrukturen aus den folgenden Bereichen:
- Energie
- Transport
- Banken- und Finanzwesen
- Bildungswesen
- Wasserversorgung
- Digitale Infrastruktur
- ITK-Dienstleistungsmanagement
- Öffentliche Verwaltung
- Weltraum
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Produktion und Vertrieb von Chemikalien
- Lebensmittelproduktion, -verarbeitung und -vertrieb
- Industrie & Herstellung (Medizinprodukte und In-vitro, Datenverarbeitung, Elektronik, Optik, Elektrische Ausrüstung, Maschinenbau, Kraftwagen und Teile, Fahrzeugbau)
- Digitale Anbieter (Marktplätze, Suchmaschinen, Soziale Netzwerke)
- Forschungsinstitute
Zu beachten ist: Die NIS2-Vorschriften betreffen nicht nur Unternehmen in erster Linie, sondern auch deren Auftragnehmer. Zudem gibt es Ausnahmeregelungen, wodurch die NIS2-Direktive unabhängig von Unternehmensgröße und Umsatz Anwendung finden kann, insbesondere wenn kritische Tätigkeiten ausgeführt werden oder Systemrisiken bestehen.
Wer ist nicht betroffen von NIS-2?
Unternehmen, die Tätigkeiten in den Bereichen Verteidigungnationale und öffentliche Sicherheit sowie Strafverfolgung ausüben. Im Gegensatz zu öffentlichen Verwaltungen auf zentraler und regionaler Ebene sind die Justiz, Parlamente und Zentralbanken vom Anwendungsbereich ausgenommen.
Was ist jetzt zu tun?
Unternehmen müssen eigenständig feststellen, in welche Bereiche sie möglicherweise fallen, und sich innerhalb von drei Monaten nach dieser Identifikation beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Sicherheitsvorfälle sind unverzüglich zu melden.
In der Broschüre unseres Partners Infinigate, die auch Quelle für diese Seite ist, finden Sie viele weitere Details zu Anforderungen für Unternehmen und eine NIS-2 Schritt für Schritt Umsetzung.