Die EU-Richtlinie NIS2 verpflichtet künftig deutlich mehr Unternehmen zur Umsetzung von Maßnahmen der Informationssicherheit. Doch für wen gilt die Richtlinie eigentlich? Was ist jetzt konkret zu tun? Und wo liegen die Unterschiede zur bisherigen Kritis-Regulierung oder zur Datenschutz-Grundverordnung?
In dieser Themenfolge des Datenschutz Talks gibt Stephan Auge, Teamleiter für Managementsysteme bei migosens, einen kompakten Überblick über die aktuelle Rechtslage, die Anforderungen der Richtlinie und praktische Umsetzungsfragen.
Was du aus dieser Folge mitnimmst:
Was ist NIS2?
Ziel: Harmonisierung der Cybersicherheitsstandards in der EU
Hintergrund: Richtlinie ist seit Dezember 2022 in Kraft
Umsetzung in nationales Recht bis Mitte/Ende 2025 (geplant)
Abgrenzung zur DSGVO und zum Cyber Resilience Act
Für wen gilt NIS2?
Gilt für besonders wichtige und wichtige Einrichtungen gemäß Anlage 1 und 2 der Richtlinie
Betrifft neben KRITIS-Unternehmen auch kleinere Unternehmen aus TK, Gesundheitswesen, Energie, Transport, Entsorgung u. v. m.
Keine generelle Schwellenwertgrenze: auch Kleinstunternehmen können betroffen sein
BSI stellt ein Tool zur Betroffenheitsprüfung bereit
Welche Pflichten entstehen?
Selbstregistrierungspflicht beim BSI innerhalb von 3 Monaten nach Inkrafttreten
Umsetzung technischer und organisatorischer Maßnahmen (z. B. Risikomanagement, Incident-Handling, Notfallmanagement)
Aufbau eines Informationssicherheits-Managementsystems (ISMS) analog ISO 27001
Einführung strukturierter Prozesse zur Meldung von Sicherheitsvorfällen
Risikobasierte oder vorfallsbezogene Prüfungspflichten je nach Kategorisierung
Was bedeutet das für bestehende KRITIS-Unternehmen?
Grundanforderungen weitgehend deckungsgleich mit bisherigen BSI-Nachweisverfahren
Erleichterung: Prüfpflicht künftig nur alle drei statt alle zwei Jahre
Synergien zwischen NIS2, ISO 27001 und Datenschutzprozessen sinnvoll nutzbar
Herausforderungen beim Lieferkettenmanagement
Neue Anforderungen an Zulieferer und Dienstleister mit sicherheitsrelevanter Rolle
Verpflichtung zur vertraglichen Übernahme von Sicherheitsvorgaben
Notwendigkeit von Audits oder anderweitiger Steuerungsmaßnahmen
Empfehlung: Business Impact Analyse zur Priorisierung kritischer Dienstleister
Sanktionen und Wettbewerbsvorteile
Sanktionsrahmen: bis zu 10 Mio. Euro oder 2 % vom weltweiten Umsatz (Anlage 1)
Für Anlage 2: bis zu 7 Mio. Euro oder 1,4 % vom Umsatz
Frühzeitige Umsetzung von ISMS als Wettbewerbsvorteil – z. B. bei Ausschreibungen
Informationssicherheit wird zum geschäftskritischen Erfolgsfaktor
Keywords, die in dieser Folge behandelt werden:
NIS2 Richtlinie 2025
NIS2 Anforderungen Unternehmen
Informationssicherheit Pflicht
Cybersecurity Gesetz EU
NIS2 Umsetzung Deutschland
Betroffenheitsanalyse NIS2
ISMS NIS2 ISO 27001
Datenschutz und NIS2
Vorfallmeldung BSI
Lieferkettensicherheit NIS2
Managementsystem Informationssicherheit
DORA vs. NIS2
Cyber Resilience Act EU
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/nis2-pflichten-fuer-unternehmen-das-musst-du-wissen-stephan-auge-im-datenschutz-talk/
