{"id":31472,"date":"2024-07-24T12:05:18","date_gmt":"2024-07-24T10:05:18","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31472"},"modified":"2024-07-24T12:05:18","modified_gmt":"2024-07-24T10:05:18","slug":"what-is-nis2-directive","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/what-is-nis2-directive\/31472\/","title":{"rendered":"Was ist die NIS-2-Richtlinie und wie bereitet man sich darauf vor?"},"content":{"rendered":"<p>Das heutige Thema ist die Richtlinie NIS\u00a02, die darauf abzielt, die Cyberresilienz kritischer Infrastrukturen und essenzieller und wichtiger Einrichtungen zu verbessern. NIS\u00a02 scheint f\u00fcr die Informationssicherheit in der EU das zu tun, was die DSGVO f\u00fcr den Datenschutz der Benutzer getan hat.<\/p>\n<p>Es wird nicht lange dauern, bis die neue Richtlinie in nationales Recht umgesetzt wird. Wenn dein Unternehmen also noch nicht bereit ist, ist es jetzt an der Zeit, Schritte zu unternehmen.<\/p>\n<p>\u00a0<\/p>\n<h2>Was ist NIS\u00a02?<\/h2>\n<p>Die \u00fcberarbeitete Richtlinie zur Netzwerk- und Informationssicherheit (<a href=\"https:\/\/digital-strategy.ec.europa.eu\/de\/policies\/nis2-directive\" target=\"_blank\" rel=\"noopener nofollow\">NIS 2<\/a>) ist die EU-weite Gesetzgebung zur Cybersicherheit. NIS\u00a02 aktualisiert und erg\u00e4nzt die urspr\u00fcngliche NIS-Richtlinie, die 2016 verabschiedet wurde, und schafft einen Rechtsrahmen, um das Gesamtniveau der Cybersicherheit in der EU zu verbessern.<\/p>\n<p>Die aktualisierte NIS-2-Richtlinie konzentriert sich auf drei Hauptbereiche:<\/p>\n<ul>\n<li><strong>Erweiterung des Anwendungsbereichs<\/strong>: Die sieben Sektoren, die unter die urspr\u00fcngliche NIS-Richtlinie fallen, werden durch eine Reihe neuer Bereiche erg\u00e4nzt<\/li>\n<li><strong>Neue Mechanismen f\u00fcr die Meldung von Vorf\u00e4llen und den Informationsaustausch<\/strong>: NIS\u00a02 schreibt vor, dass schwerwiegende Vorf\u00e4lle zeitnah gemeldet werden<\/li>\n<li><strong>Strengere Durchsetzung der Einhaltung der Vorschriften<\/strong>: Die aktualisierte NIS\u00a02 f\u00fchrt spezifische Sanktionen bei Verst\u00f6\u00dfen ein, darunter Geldbu\u00dfen von bis zu 2\u00a0% des weltweiten Jahresumsatzes<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<h2>F\u00fcr welche Organisationen gilt NIS\u00a02?<\/h2>\n<p>Wie bereits erw\u00e4hnt, erweitert die revidierte Richtlinie den Anwendungsbereich gegen\u00fcber der urspr\u00fcnglichen Version von 2016 <em>erheblich<\/em>. Dar\u00fcber hinaus f\u00fchrt NIS\u00a02 eine Klassifikation ein, die die abgedeckten Sektoren in zwei Kategorien unterteilt:<\/p>\n<ul>\n<li><strong>Sektoren mit hoher Kritikalit\u00e4t (Anhang\u00a0I):<\/strong>\n<ul>\n<li>Energie (Strom, Fernw\u00e4rme und K\u00fchlung, Gas, Wasserstoff, \u00d6l)<\/li>\n<li>Verkehr (Luft, Schiene, Wasser, Stra\u00dfe)<\/li>\n<li>Bankwesen<\/li>\n<li>Finanzmarktinfrastruktur<\/li>\n<li>Gesundheit<\/li>\n<li>Trinkwasser<\/li>\n<li>Abwasser<\/li>\n<li>Digitale Infrastruktur<\/li>\n<li>ICT-Servicemanagement (MSP, MSSP)<\/li>\n<li>Einrichtungen der \u00f6ffentlichen Verwaltung<\/li>\n<li>Weltraum<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<ul>\n<li><strong>Andere kritische Sektoren (Anhang\u00a0II):<\/strong>\n<ul>\n<li>Post- und Kurierdienste<\/li>\n<li>Abfallwirtschaft<\/li>\n<li>Herstellung, Herstellung und Vertrieb von Chemikalien<\/li>\n<li>Produktion, Verarbeitung und Vertrieb von Lebensmitteln<\/li>\n<li>Herstellung (medizinische Ger\u00e4te, Computer, elektronische oder optische Produkte, elektrische Ger\u00e4te, Maschinen, Kraftfahrzeuge, andere Transportmittel)<\/li>\n<li>Digitale Anbieter<\/li>\n<li>Forschung<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p>Neben der Klassifizierung von Sektoren f\u00fchrt NIS\u00a02 eine zus\u00e4tzliche Klassifizierung bestimmter Einheiten ein. Auch sie besteht aus zwei Kategorien:<\/p>\n<ul>\n<li><strong>Essenziell (Artikel\u00a03.1):<\/strong>\n<ul>\n<li>Gro\u00dfe Einheiten (Jahresumsatz \u00fcber 50\u00a0Mio.\u00a0\u20ac) in Sektoren hoher Kritikalit\u00e4t<\/li>\n<li>Zertifizierungsstellen, Top-Level-Domain-Registrare und DNS-Anbieter, unabh\u00e4ngig von der Unternehmensgr\u00f6\u00dfe<\/li>\n<li>Telekommunikationsanbieter ab dem Mittelstand (Umsatz \u00fcber 10\u00a0Mio.\u00a0\u20ac)<\/li>\n<li>Institutionen der \u00f6ffentlichen Verwaltung<\/li>\n<li>Jede Einheit, die zu einem hochkritischen Sektor oder einem anderen kritischen Sektor geh\u00f6rt, der von einem EU-Mitgliedstaat als <em>essenziell<\/em> eingestuft wird<\/li>\n<li>Unternehmen, die gem\u00e4\u00df der <a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2022\/2557\/oj\" target=\"_blank\" rel=\"noopener nofollow\">Richtlinie (EU) 2022\/2557<\/a> als <em>kritisch<\/em> eingestuft sind<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<ul>\n<li><strong>Wichtig (Artikel\u00a03.2):<\/strong>\n<ul>\n<li>Mittelst\u00e4ndische Unternehmen (Jahresumsatz 10-50\u00a0Mio.\u00a0\u20ac) in hochkritischen Sektoren<\/li>\n<li>Mittlere und gro\u00dfe Unternehmen in anderen kritischen Sektoren<\/li>\n<li>Alle Entit\u00e4ten, die von einem EU-Mitgliedstaat als <em>wichtig<\/em> eingestuft werden<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p>Zu welcher Kategorie eine Entit\u00e4t geh\u00f6rt, hat erhebliche praktische Auswirkungen. Die Aktivit\u00e4ten von Einrichtungen, die als <em>essenziell<\/em> eingestuft werden, unterliegen einer viel strengeren und proaktiven Kontrolle, einschlie\u00dflich stichprobenartiger Razzien, besonderer Sicherheitskontrollen und Aufforderungen zum Nachweis der Konformit\u00e4t. Bei Nichteinhaltung von NIS\u00a02 k\u00f6nnen <strong><em>essenzielle<\/em> Einrichtungen mit einer Geldbu\u00dfe von bis zu 10\u00a0Millionen\u00a0\u20ac oder 2\u00a0% des weltweiten Jahresumsatzes belegt werden<\/strong>.<\/p>\n<p>Als wichtig eingestufte Einrichtungen haben mehr Luft\u00a0\u2013 sie unterliegen weniger strengen Kontrollen. <strong>F\u00fcr als <em>wichtig<\/em> eingestufte Entit\u00e4ten sind die Strafen etwas geringer: bis zu 7\u00a0Millionen Euro oder 1,4\u00a0% des weltweiten Jahresumsatzes<\/strong>.<\/p>\n<p>\u00a0<\/p>\n<h2>Zeitleiste f\u00fcr NIS\u00a02<\/h2>\n<p>NIS\u00a02 ist im Gegensatz zur DSGVO eine <a href=\"https:\/\/european-union.europa.eu\/institutions-law-budget\/law\/types-legislation_de\" target=\"_blank\" rel=\"noopener nofollow\">Richtlinie<\/a> und keine <em>Verordnung<\/em> der Europ\u00e4ischen Union. Dies bedeutet, dass die EU-Mitgliedstaaten gesetzlich verpflichtet sind, ihre nationalen Rechtsvorschriften innerhalb der festgelegten Frist zu \u00e4ndern. Im Fall von NIS\u00a02 endet die Frist am 17.\u00a0Oktober\u00a02024.<\/p>\n<p>Dar\u00fcber hinaus m\u00fcssen die EU-Mitgliedstaaten bis zum 17.\u00a0April\u00a02025 Listen mit <em>essenziellen<\/em> und <em>wichtigen<\/em> Einrichtungen erstellen, die NIS\u00a02 unterliegen.<\/p>\n<p>Es ist sinnvoll, sich die Zeitleiste der Hauptphasen von NIS\u00a02 noch einmal genauer anzusehen:<\/p>\n<ul>\n<li>Juli 2016: Annahme der <a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2016\/1148\/oj\" target=\"_blank\" rel=\"noopener nofollow\">Richtlinie (EU) 2016\/1148<\/a>, der urspr\u00fcnglichen NIS<\/li>\n<li>Mai 2018: Frist f\u00fcr die Umsetzung der NIS-Richtlinie durch die EU-Mitgliedstaaten in nationales Recht<\/li>\n<li>Juli 2020: Beginn der Konsultationen der Europ\u00e4ischen Kommission (EK) zur \u00dcberarbeitung der NIS<\/li>\n<li>Dezember 2020: Ver\u00f6ffentlichung des Vorschlags f\u00fcr NIS\u00a02 durch die Europ\u00e4ische Kommission<\/li>\n<li>Mai 2022: Abstimmung im Europ\u00e4ischen Parlament \u00fcber die Verabschiedung der Richtlinie NIS\u00a02<\/li>\n<li>November 2022: Verabschiedung der Richtlinie NIS\u00a02 durch den Rat der EU<\/li>\n<li>Dezember 2022: Ver\u00f6ffentlichung der Richtlinie NIS\u00a02 im Amtsblatt der EU unter dem Titel <a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2022\/2555\/oj\" target=\"_blank\" rel=\"noopener nofollow\">Richtlinie (EU) 2022\/2555<\/a><\/li>\n<li>Januar 2023: Inkrafttreten der Richtlinie NIS\u00a02<\/li>\n<li>Oktober 2024: Frist f\u00fcr die Umsetzung der Richtlinie NIS\u00a02 durch die EU-Mitgliedstaaten in nationales Recht<\/li>\n<li>April 2025: Frist f\u00fcr die Erstellung von Listen der <em>essenziellen<\/em> und <em>wichtigen<\/em> Entit\u00e4ten durch die EU-Mitgliedstaaten. Danach m\u00fcssen diese Listen regelm\u00e4\u00dfig aktualisiert werden\u00a0\u2013 mindestens alle zwei Jahre<\/li>\n<li>Oktober 2027: \u00dcberpr\u00fcfung der Richtlinie NIS\u00a02<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<h2>Wie bereitet man sich auf die Implementierung von NIS\u00a02 vor?<\/h2>\n<ul>\n<li>Einstufung, ob und inwieweit die Anforderungen von NIS\u00a02 auf dein Unternehmen zutreffen<\/li>\n<li>Untersuchung, wie die NIS-Richtlinie in deinem EU-Mitgliedstaat in nationales Recht umgesetzt wurde<\/li>\n<li>Befolgen der Empfehlungen der nationalen Cybersicherheitsbeh\u00f6rden<\/li>\n<li>Bewertung und Entwicklung technischer, betrieblicher und organisatorischer Ma\u00dfnahmen f\u00fcr die Verwaltung von Netzwerk- und Informationssystemen; Sicherheitsrisiken<\/li>\n<\/ul>\n<p>Weitere Informationen \u00fcber die aktualisierte EU-Richtlinie \u00fcber die Netzwerk- und Informationssicherheit und dar\u00fcber, wie Unternehmen sich auf ihr Inkrafttreten vorbereiten k\u00f6nnen, findest du auf unserer <a href=\"https:\/\/go.kaspersky.com\/nis2-de.html?utm_medium=some\" target=\"_blank\" rel=\"noopener nofollow\">speziellen Webseite zu NIS\u00a02<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Im Januar 2023 ist die aktualisierte EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) in Kraft getreten. Die Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, sie in nationales Recht umzusetzen. Was bedeutet das und wie bereitet man sich darauf vor?<\/p>\n","protected":false},"author":2726,"featured_media":31473,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108,10],"tags":[1759,274,844,4167,2510,1692,4165,4164,4166,4162,1653,4163],"class_list":{"0":"post-31472","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"category-tips","11":"tag-b2b","12":"tag-bedrohungen","13":"tag-business","14":"tag-compliance","15":"tag-dsgvo","16":"tag-eu","17":"tag-iks","18":"tag-industrial-security","19":"tag-kritische-infrastrukturen","20":"tag-nis-2","21":"tag-security","22":"tag-sicherheit-von-industriellen-steuerungssystemen"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/what-is-nis2-directive\/31472\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/what-is-nis2-directive\/30234\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/what-is-nis2-directive\/29090\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/what-is-nis2-directive\/51536\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/what-is-nis2-directive\/22050\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/b2b\/","name":"B2B"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31472","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=31472"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31472\/revisions"}],"predecessor-version":[{"id":31477,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31472\/revisions\/31477"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/31473"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=31472"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=31472"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=31472"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}