Informationssicherheit

Die EU-Richtlinie NIS2 verpflichtet künftig deutlich mehr Unternehmen zur Umsetzung von Maßnahmen der Informationssicherheit. Doch für wen gilt die Richtlinie eigentlich? Was ist jetzt konkret zu tun? Und wo liegen die Unterschiede zur bisherigen Kritis-Regulierung oder zur Datenschutz-Grundverordnung?

In dieser Themenfolge des Datenschutz Talks gibt Stephan Auge, Teamleiter für Managementsysteme bei migosens, einen kompakten Überblick über die aktuelle Rechtslage, die Anforderungen der Richtlinie und praktische Umsetzungsfragen.

Was du aus dieser Folge mitnimmst:

Was ist NIS2?

Ziel: Harmonisierung der Cybersicherheitsstandards in der EU

Hintergrund: Richtlinie ist seit Dezember 2022 in Kraft

Umsetzung in nationales Recht bis Mitte/Ende 2025 (geplant)

Abgrenzung zur DSGVO und zum Cyber Resilience Act

Für wen gilt NIS2?

Gilt für besonders wichtige und wichtige Einrichtungen gemäß Anlage 1 und 2 der Richtlinie

Betrifft neben KRITIS-Unternehmen auch kleinere Unternehmen aus TK, Gesundheitswesen, Energie, Transport, Entsorgung u. v. m.

Keine generelle Schwellenwertgrenze: auch Kleinstunternehmen können betroffen sein

BSI stellt ein Tool zur Betroffenheitsprüfung bereit

Welche Pflichten entstehen?

Selbstregistrierungspflicht beim BSI innerhalb von 3 Monaten nach Inkrafttreten

Umsetzung technischer und organisatorischer Maßnahmen (z. B. Risikomanagement, Incident-Handling, Notfallmanagement)

Aufbau eines Informationssicherheits-Managementsystems (ISMS) analog ISO 27001

Einführung strukturierter Prozesse zur Meldung von Sicherheitsvorfällen

Risikobasierte oder vorfallsbezogene Prüfungspflichten je nach Kategorisierung

Was bedeutet das für bestehende KRITIS-Unternehmen?

Grundanforderungen weitgehend deckungsgleich mit bisherigen BSI-Nachweisverfahren

Erleichterung: Prüfpflicht künftig nur alle drei statt alle zwei Jahre

Synergien zwischen NIS2, ISO 27001 und Datenschutzprozessen sinnvoll nutzbar

Herausforderungen beim Lieferkettenmanagement

Neue Anforderungen an Zulieferer und Dienstleister mit sicherheitsrelevanter Rolle

Verpflichtung zur vertraglichen Übernahme von Sicherheitsvorgaben

Notwendigkeit von Audits oder anderweitiger Steuerungsmaßnahmen

Empfehlung: Business Impact Analyse zur Priorisierung kritischer Dienstleister

Sanktionen und Wettbewerbsvorteile

Sanktionsrahmen: bis zu 10 Mio. Euro oder 2 % vom weltweiten Umsatz (Anlage 1)

Für Anlage 2: bis zu 7 Mio. Euro oder 1,4 % vom Umsatz

Frühzeitige Umsetzung von ISMS als Wettbewerbsvorteil – z. B. bei Ausschreibungen

Informationssicherheit wird zum geschäftskritischen Erfolgsfaktor

Keywords, die in dieser Folge behandelt werden:

NIS2 Richtlinie 2025

NIS2 Anforderungen Unternehmen

Informationssicherheit Pflicht

Cybersecurity Gesetz EU

NIS2 Umsetzung Deutschland

Betroffenheitsanalyse NIS2

ISMS NIS2 ISO 27001

Datenschutz und NIS2

Vorfallmeldung BSI

Lieferkettensicherheit NIS2

Managementsystem Informationssicherheit

DORA vs. NIS2

Cyber Resilience Act EU

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/nis2-pflichten-fuer-unternehmen-das-musst-du-wissen-stephan-auge-im-datenschutz-talk/