Was ist NIS2 und wen betrifft es?
Die NIS2-Richtlinie (Network and Information Security Directive 2) der Europäischen Union ist seit Oktober 2024 in nationales Recht umzusetzen. Im Vergleich zur Vorgänger-Richtlinie NIS1 erweitert sie den Anwendungsbereich deutlich: Statt einiger hundert Unternehmen sind jetzt schätzungsweise 30.000 Organisationen allein in Deutschland betroffen.
Welche Branchen und Unternehmensgrößen sind betroffen?
Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in kritischen Sektoren:
- Energie, Wasser, Abfall
- Transport und Verkehr
- Gesundheitswesen
- Digitale Infrastruktur und IT-Dienstleister
- Öffentliche Verwaltung
- Lebensmittelversorgung
- Chemische Industrie
Welche Maßnahmen sind Pflicht?
NIS2 schreibt konkrete technische und organisatorische Maßnahmen vor:
- Risikoanalyse und Sicherheitskonzepte für alle IT-Systeme
- Incident Response: Meldepflicht innerhalb von 24 Stunden bei erheblichen Sicherheitsvorfällen
- Business Continuity Management und Backup-Strategie
- Supply-Chain-Sicherheit: Lieferanten und Partner müssen geprüft werden
- Multi-Faktor-Authentifizierung (MFA) für alle privilegierten Zugänge
- Verschlüsselung von Daten in Übertragung und Speicherung
- Regelmäßige Schulungen für Mitarbeiter und Management
Was passiert bei Verstößen?
Die Sanktionen sind empfindlich: Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (für wesentliche Einrichtungen) bzw. bis zu 7 Mio. Euro oder 1,4 % des Jahresumsatzes (für wichtige Einrichtungen). Geschäftsführer können persönlich haftbar gemacht werden.
Wie unterstützt KeDo Solutions bei NIS2?
Wir bieten einen strukturierten NIS2-Readiness-Prozess:
- Kostenlose Betroffenheitsprüfung (30 Min. Telefonberatung)
- GAP-Analyse: Vergleich Ist-Zustand vs. NIS2-Anforderungen
- Maßnahmenplan mit Priorisierung nach Risiko und Budget
- Technische Umsetzung (Firewall, MFA, SIEM, Backup)
- Dokumentation und Nachweisführung für das Audit
