Die NIS-2-Richtlinie (EU 2022/2555) verpflichtet Unternehmen ab bestimmter Größe in definierten Sektoren zu verbindlichen Cybersicherheitsmaßnahmen. In Deutschland umgesetzt durch das NIS2UmsuCG.

Betroffen (vereinfacht):

Unternehmen mit mehr als 50 Mitarbeitern oder 10 Mio. EUR Umsatz
Tätig in einem der 18 Sektoren (Produktion, Post, Lebensmittel, digitale Infrastruktur u. a.)
Auch Zulieferer kritischer Sektoren können indirekt verpflichtet sein

Pflichten (Art. 21): 10 Mindestmaßnahmen von Risiko-Management bis Basishygiene (MFA, Backup, Patching), Incident-Meldewesen (24-h-Frühwarnung, 72-h-Erstmeldung, 1-Monats-Abschlussbericht), Leitungs-Schulung und Lieferketten-Sicherheit.

Haftung: Die Geschäftsführung ist explizit für die Aufsicht verantwortlich — Verstöße können mit bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes geahndet werden, zusätzlich persönliche zivil- und bussgeldrechtliche Haftung der Leitung.

Siehe auch: NIS-2 Compliance.

NIS-2 Richtlinie

Noch Fragen?
Wir erklären es in 15 Minuten.

Noch Fragen?Wir erklären es in 15 Minuten.

Noch Fragen?
Wir erklären es in 15 Minuten.