Jedes betroffene Unternehmen* ist verpflichtet:
• eine Risikobewertung für die Cybersicherheit durchzuführen
• angemessene und verhältnismäßige Sicherheitsmaßnahmen, zu treffen, um die Integrität, Verfügbarkeit, Vertraulichkeit der Unternehmensdaten zu gewährleisten
• Compliance sicherzustellen

Gründe für die Einführung der Richtlinie
• fortschreitende Digitalisierung und die damit verbundenen Sicherheitsrisiken erfordern verstärkte Schutzmaßnahmen
• einen Rahmen für erhöhte Cybersicherheit in Europa zu schaffen, der präventive und effektive Abwehrmethoden gegen Cyberangriffe bietet

Konsequenzen bei Nichteinhaltung
• Geschäftsführer sind verantwortlich für die Cybersicherheit ihrer Unternehmen
• bei Missachtung der NIS-2-Richtlinie drohen Strafen von bis zu 10 Millionen Euro oder 2 % desweltweiten Vorjahresumsatzes, in schweren Fällen sogar bis zu 20 Millionen Euro oder 4 %

Unsere Unterstützung bei den wichtige Schritte zur Einhaltung der NIS-2-Richtlinie
1. Betroffenheitsanalyse: Wir prüfen gemeinsam mit Ihnen, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist
2. Identifikation von Pflichten und Schwachstellen: Es ist notwendig, die spezifischen Anforderungen der NIS-2 zu verstehen und die Sicherheitslücken zu identifizieren.
3. Nachbesserung und Umsetzung: Wir entwickeln einen Aktionsplan für technische und organisatorische Verbesserungen, um identifizierte Mängel zu beheben und die Richtlinie zu erfüllen.

Achtung: auch kleine Unternehmen, die in die u.g. Branchensektoren fallen, können von der NIS-2 Richtlinie betroffen sein, wenn sie als Dienstleister oder Lieferant für NIS-2-pflichtigeGroßunternehmen tätig sind.

Klassifizierung von Unternehmen nach NIS-2 betrifft nicht nur KRITIS-Betreiber

Betreiber kritischer Anlagen (Kritis)
1. Energie
2. Informationstechnik und
Telekommunikation
3. Transport und Verkehr
4. Gesundheit
5. Medien und Kultur
6. Wasser
7. Ernährung
8. Finanz- und Versicherungswesen
9. Siedlungsabfallentsorgung
10.Staat und Verwaltung

Besonders wichtige Unternehmen**
1. Energie
2. Verkehr
3. Bankwesen
4. Finanzenmarkzinfrastrukture
5. Gesundheitswesen
6. Trinkwasser
7. Abwasser
8. Digitale Infrastrukturen
9. Verwaltung von IKT Diensten
10. öffentliche Verwaltung
11. Weltraum

Wichtige Unternehmen**
1. Post und Kurierdienste
2. Abfallbewirtschaftung
3. Chemikalien (Produktion, Herstellung, Handel)
4. Lebensmittel (Produktion, Verarbeitung, Vertrieb)
5. Verarbeitendes Gewerbe / Herstellung von Waren
6. Anbieter digitaler Dienste
7. Forschung

**Unternehmensgröße : Besonders wichtige und wichtige Einrichtungen aus den o.g. Branchensektoren je nach Größe:

Mittel: 50 – 250 Beschäftigte; 10 – 50 Mio € Umsatz oder < 43 Mio € Bilanz

Groß: > 250 Beschäftigte; > 50 Mio € Umsatz oder > 43 Mio € Bilanz

Davon unabhängig hat die NIS-2 Richtlinie interessante Bezüge zum Datenschutz:

So sieht Art. 2 Abs. 14 NIS-2 Richtlinie vor, dass Einrichtungen, Aufsichtsbehörden und andere Adressaten der Richtlinie personenbezogene Daten verarbeiten dürfen, soweit dies für die Zwecke der Richtlinie erforderlich ist. Die Verarbeitung muss jedoch im Einklang mit der Datenschutzgrundverordnung erfolgen und auf einer Rechtsgrundlage beruhen. Insoweit stellt Erwägungsgrund 121 der NIS-2-Richtlinie klar, dass die Verarbeitung personenbezogener Daten zur Gewährleistung der Sicherheit von Netz- und Informationssystemen auf eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c und Art. 6 Abs. 3 DSGVO gestützt werden kann. Darüber hinaus kann nach Erwägungsgrund 121 der NIS-2-Richtlinie die Datenverarbeitung auch auf der Grundlage eines berechtigten Interesses erfolgen.