NIS2 — Bin ich betroffen?

Die NIS2-Richtlinie (Network and Information Security) erweitert den Kreis der Unternehmen, die strenge Cybersicherheitsanforderungen erfüllen müssen, massiv. In Deutschland betrifft sie geschätzt 30.000 Unternehmen.

Europäische Union NIS2 Directive

Was ist NIS2?

Die NIS2-Richtlinie (EU 2022/2555) ist die Nachfolgerin der NIS-Richtlinie von 2016. Sie wurde am 16. Januar 2023 wirksam und muss von den Mitgliedstaaten bis Oktober 2024 in nationales Recht umgesetzt werden (in Deutschland: NIS2UmsuCG).

Wer ist betroffen?

NIS2 unterscheidet zwei Kategorien:

  • Wesentliche Einrichtungen (Essential) — Energie, Transport, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt
  • Wichtige Einrichtungen (Important) — Post/Kurier, Abfall, Chemie, Lebensmittel, Produktion (Medizin, IT, Elektronik, Maschinenbau, Fahrzeuge), Digitale Dienste, Forschung

Schwellenwerte

  • Ab 50 Mitarbeiter oder 10 Mio. EUR Umsatz in einem betroffenen Sektor
  • Kritische Infrastruktur-Betreiber sind unabhängig von der Größe betroffen

NIS2-Betroffenheitscheck

Wählen Sie Ihren Sektor und Ihre Unternehmensgröße — erfahren Sie sofort, ob NIS2 für Sie gilt.

Inspiriert von Europäische Union — NIS2-Richtlinie

Weiterlesen

Trivia

  • NIS2 betrifft in Deutschland geschätzt 30.000 Unternehmen — zehnmal mehr als die alte NIS-Richtlinie.
  • Die Geschäftsleitung haftet persönlich für Cybersicherheit — Delegation reicht nicht.
  • Vorfälle müssen binnen 24 Stunden erstgemeldet und binnen 72 Stunden vollständig gemeldet werden.
  • Die Lieferkette ist mitbetroffen: Auch nicht direkt betroffene Zulieferer müssen Sicherheitsstandards einhalten.
  • Bußgelder für wesentliche Einrichtungen: bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes.