Cyberangriffe nehmen stetig zu und betreffen mittlerweile Organisationen jeder Art. Angesichts dieser wachsenden Bedrohung hat die Europäische Union die NIS2-Richtlinie eingeführt, insbesondere für kritische Sektoren, um das allgemeine Cybersicherheitsniveau zu erhöhen und die Widerstandsfähigkeit von Unternehmen gegenüber Cyberrisiken zu verbessern. Welche Organisationen sind von NIS2 betroffen? Die NIS2-Richtlinie erweitert ihren Anwendungsbereich im Vergleich zur vorherigen […]
Cyberangriffe nehmen stetig zu und betreffen mittlerweile Organisationen jeder Art. Angesichts dieser wachsenden Bedrohung hat die Europäische Union die NIS2-Richtlinie eingeführt, insbesondere für kritische Sektoren, um das allgemeine Cybersicherheitsniveau zu erhöhen und die Widerstandsfähigkeit von Unternehmen gegenüber Cyberrisiken zu verbessern.
Welche Organisationen sind von NIS2 betroffen?
Die NIS2-Richtlinie erweitert ihren Anwendungsbereich im Vergleich zur vorherigen Version erheblich. Sie richtet sich nicht mehr nur an kritische Infrastrukturen, sondern betrifft nun eine Vielzahl von Unternehmen und Organisationen.
Zu den hochkritischen Sektoren, die als wesentlich für das Funktionieren der Gesellschaft gelten, gehören insbesondere:
• Energie
• Verkehr
• Bankwesen und Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser und Abwasser
• Digitale Infrastrukturen, wie Cloud-Dienste, Rechenzentren, DNS usw.
• IT-Dienstleistungen / ICT Service Management
• Öffentliche Verwaltungen
• Raumfahrtsektor
Neben dem Tätigkeitsbereich ist die Größe der Organisation das zweite Kriterium für die Anwendbarkeit der NIS2-Richtlinie. Ein Unternehmen ist in der Regel betroffen, wenn es mindestens eines der folgenden Kriterien erfüllt:
• Mindestens 50 Mitarbeiter
• Ein jährlicher Umsatz von mehr als 10 Millionen Euro
• Eine Bilanzsumme von mehr als 10 Millionen Euro
Das bedeutet konkret, dass viele Unternehmen, die sich bisher nicht als kritische Akteure betrachtet haben, nun von NIS2 betroffen sind.
Was sind die wichtigsten Verpflichtungen?
Für die betroffenen Organisationen beschränkt sich die NIS2-Richtlinie nicht auf deren Identifizierung. Sie verpflichtet auch zur Umsetzung konkreter Maßnahmen im Bereich der Cybersicherheit.
Artikel 21 sieht insbesondere die Einführung eines strukturierten Cyber-Risikomanagements vor.
Zu den wichtigsten Verpflichtungen gehören:
• Incident Management, mit Fähigkeiten zur Erkennung, Reaktion und schnellen Meldung von Vorfällen
• Geschäftskontinuität, durch Notfall- und Wiederherstellungspläne
• Sicherheit der Lieferkette, einschließlich der Kontrolle von Lieferanten und Dienstleistern
• Schwachstellenmanagement, mit der Identifizierung und Behebung von Sicherheitslücken
• Schutz von Systemen und Netzwerken durch geeignete technische Maßnahmen
• Sensibilisierung und Schulung der Teams im Hinblick auf Cyberrisiken
Diese Anforderungen zeigen, dass Cybersicherheit nicht mehr ausschließlich als technisches Thema betrachtet werden kann.
Sie wird zu einer strategischen Herausforderung, die mehrere Funktionen innerhalb der Organisation einbindet, insbesondere IT, Recht, Risikomanagement sowie die Geschäftsleitung.
Handeln Sie mit TPO Solutions
Mit variablen Fristen für die Umsetzung, je nach Situation berechnet über 18 oder 30 Monate ab Inkrafttreten des NIS2-Rahmens oder ab der Identifizierung durch das CCB, ist NIS2 weit mehr als eine regulatorische Verpflichtung: Es ist eine Gelegenheit, Ihre Cybersicherheit nachhaltig zu strukturieren.
Unser multidisziplinäres Team unterstützt Sie dabei, Ihre Verpflichtungen zu verstehen, Ihre Cyber-Governance zu strukturieren und einen konkreten sowie wirksamen Ansatz zur NIS2-Compliance umzusetzen.
Möchten Sie mehr erfahren?
👉 Kontaktieren Sie uns:
Sabine Mersch
info@tpo.solutions
+32 87 71 02 00
www.tpo.solutions

