Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

NIS-2

Was ist NIS-2?

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete Fassung der ursprünglichen NIS-Richtlinie der EU und legt neue Anforderungen an die Cybersicherheit für kritische und wichtige Einrichtungen innerhalb der Europäischen Union fest. Ziel der Richtlinie ist es, die Resilienz und Sicherheitsmaßnahmen für Netz- und Informationssysteme zu stärken, insbesondere im Hinblick auf zunehmende Cyberbedrohungen und Abhängigkeiten digitaler Dienste.

NIS-2 erweitert den Anwendungsbereich auf deutlich mehr Sektoren und verpflichtet Unternehmen zu umfassenden Maßnahmen in den Bereichen Risikomanagement, Incident-Reporting, Business Continuity und Lieferketten-Sicherheit. Sie verpflichtet Mitgliedsstaaten zudem, Aufsichts- und Sanktionsmechanismen bereitzustellen.

Wichtige Merkmale von NIS-2

  • Erweiterter Geltungsbereich
    → Gilt für mehr Sektoren (z. B. Gesundheitswesen, Energie, Verkehr, Digitalanbieter) und Unternehmen ab bestimmter Größe
  • Cybersecurity-Risikomanagementpflichten
    → Einführung technischer und organisatorischer Maßnahmen (z. B. Zugriffskontrollen, Sicherheitsrichtlinien, Business Continuity)
  • Meldepflicht bei Sicherheitsvorfällen
    → Notifizierung an zuständige Behörde innerhalb von 24 Stunden nach Vorfall-Erkennung
  • Haftung der Unternehmensleitung
    → Management ist für die Umsetzung und Überwachung von Sicherheitsmaßnahmen verantwortlich
  • Sanktionen und Bußgelder
    → Strafen bei Nichtbefolgung der Richtlinie (bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes)

Anwendung in der Praxis

Ein Cloud-Service-Provider mit europäischem Hauptsitz fällt unter die Kategorie „wichtige Einrichtung“ gemäß NIS-2. Um die Anforderungen der Richtlinie zu erfüllen, implementiert das Unternehmen ein umfangreiches Informationssicherheits-Managementsystem (ISMS) inklusive Risikoanalyse, Backupstrategie, Zugangskontrollrichtlinien und Notfallkonzept. Außerdem wird ein Security Operations Center (SOC) eingerichtet, das verdächtige Aktivitäten zentral überwacht und Meldepflichten gemäß der NIS-2-Richtlinie fristgerecht ausführt. Die Unternehmensleitung erhält eine verpflichtende Cybersicherheitsschulung und trägt die Verantwortung für die Umsetzung.

Verwandte Begriffe

zum Glossar