Verpflichtungen für Unternehmen*

Jedes betroffene Unternehmen ist verpflichtet:
• eine Risikobewertung für die Cybersicherheit durchzuführen
• angemessene und verhältnismäßige Sicherheitsmaßnahmen, zu treffen, um die Integrität, Verfügbarkeit, Vertraulichkeit der Unternehmensdaten zu gewährleisten
• Compliance sicherzustellen

Warum wurde diese Richtlinie eingeführt?
• Die fortschreitende Digitalisierung und die damit verbundenen Sicherheitsrisiken machen verstärkte Schutzmaßnahmen notwendig.
• Es soll ein Rahmen für erhöhte Cybersicherheit in Europa geschaffen werden, der präventive und effektive Abwehrmethoden gegen Cyberangriffe bietet.

Strafen bei Nichteinhaltung der NIS-2 Richtlinie

Geschäftsführer sind direkt verantwortlich für die Einhaltung der Richtlinie. Bei Verstößen drohen:
• Geldstrafen von bis zu 10
Millionen Euro oder 2 % des weltweiten Vorjahresumsatzes, in schweren
Fällen sogar bis zu 20 Millionen Euro oder 4 %.
• Reputationsverluste und rechtliche Konsequenzen

Hier Beratungstermin kostenfrei reservieren.

Unsere Unterstützung bei den wichtigsten Schritten zur Einhaltung der NIS-2-Richtlinie
1. Betroffenheitsanalyse: Wir prüfen gemeinsam mit Ihnen, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist
2. Identifikation von Pflichten und Schwachstellen: Es ist notwendig, die spezifischen Anforderungen der NIS-2 zu verstehen und die Sicherheitslücken zu identifizieren.
3. Nachbesserung und Umsetzung: Wir entwickeln einen Aktionsplan für technische und organisatorische Verbesserungen, um identifizierte Mängel zu beheben und die Richtlinie zu erfüllen.

Achtung: auch kleine Unternehmen, die in die u.g. Branchensektoren fallen, können von der NIS-2 Richtlinie betroffen sein, wenn sie als Dienstleister oder Lieferant für NIS-2-pflichtigeGroßunternehmen tätig sind.

Klassifizierung von Unternehmen nach NIS-2 betrifft nicht nur KRITIS-Betreiber

Betreiber kritischer Anlagen (Kritis)
1. Energie
2. Informationstechnik und
Telekommunikation
3. Transport und Verkehr
4. Gesundheit
5. Medien und Kultur
6. Wasser
7. Ernährung
8. Finanz- und Versicherungswesen
9. Siedlungsabfallentsorgung
10.Staat und Verwaltung

Besonders wichtige Unternehmen**
1. Energie
2. Verkehr
3. Bankwesen
4. Finanzenmarkzinfrastrukture
5. Gesundheitswesen
6. Trinkwasser
7. Abwasser
8. Digitale Infrastrukturen
9. Verwaltung von IKT Diensten
10. öffentliche Verwaltung
11. Weltraum

Wichtige Unternehmen**
1. Post und Kurierdienste
2. Abfallbewirtschaftung
3. Chemikalien (Produktion, Herstellung, Handel)
4. Lebensmittel (Produktion, Verarbeitung, Vertrieb)
5. Verarbeitendes Gewerbe / Herstellung von Waren
6. Anbieter digitaler Dienste
7. Forschung

**Unternehmensgröße : Besonders wichtige und wichtige Einrichtungen aus den o.g. Branchensektoren je nach Größe:

Mittel: 50 – 250 Beschäftigte; 10 – 50 Mio € Umsatz oder < 43 Mio € Bilanz

Groß: > 250 Beschäftigte; > 50 Mio € Umsatz oder > 43 Mio € Bilanz

Davon unabhängig hat die NIS-2 Richtlinie interessante Bezüge zum Datenschutz:

So sieht Art. 2 Abs. 14 NIS-2 Richtlinie vor, dass Einrichtungen, Aufsichtsbehörden und andere Adressaten der Richtlinie personenbezogene Daten verarbeiten dürfen, soweit dies für die Zwecke der Richtlinie erforderlich ist. Die Verarbeitung muss jedoch im Einklang mit der Datenschutzgrundverordnung erfolgen und auf einer Rechtsgrundlage beruhen. Insoweit stellt Erwägungsgrund 121 der NIS-2-Richtlinie klar, dass die Verarbeitung personenbezogener Daten zur Gewährleistung der Sicherheit von Netz- und Informationssystemen auf eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c und Art. 6 Abs. 3 DSGVO gestützt werden kann. Darüber hinaus kann nach Erwägungsgrund 121 der NIS-2-Richtlinie die Datenverarbeitung auch auf der Grundlage eines berechtigten Interesses erfolgen.

Hier Beratungstermin kostenfrei reservieren.