NIS-2-Richtlinie

NIS-2-Richtlinie: Was jetzt für Unternehmen wichtig ist

Die neue EU-Richtlinie für Cybersicherheit im Überblick

Jetzt anhören: Alle Infos zu NIS-2 gibt es auch im Podcast. Zur aktuellen Folge

Was ist NIS-2?

Mit der NIS-2-Richtlinie gelten ab Oktober 2024 für viele Unternehmen und Organisationen in 18 kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten – auch für viele, die bisher nicht betroffen waren. NIS2 ersetzt die NIS Directive von 2016 und zielt auf ein besseres gemeinsames Cybersicherheitsniveau in der EU ab. Im Vergleich zur vorigen NIS Directive erweitert NIS2 stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Bei Verstößen gegen die NIS2 Directive drohen hohe Geldstrafen.

Was bedeutet NIS?

NIS-Richtlinie steht für „Network and Information Security“-Richtlinie.

Wann tritt NIS-2 in Kraft?

NIS-2-Richtlinie (EU) 2022/2555 (Volltext als PDF) ist seit 2023 auf EU-Ebene in Kraft
Als Richtlinie nicht direkt anwendbar, sondern erst in nationales Recht umzusetzen
Das nationale Recht muss ab 18. Oktober 2024 angewendet werden
NIS2 gibt Mindeststandard vor, d.h. die EU-Staaten dürfen strengere Vorschriften erlassen
In Deutschland wurde bisher ein Referentenentwurf für das NIS2-Umsetzungsgesetz bekannt

NIS-2: Wer ist betroffen?

Die EU-weite NIS-2-Richtlinie gilt für folgende Einrichtungen, die ihre Dienste in der Europäischen Union erbringen oder ihre Tätigkeiten dort ausüben:

Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme

Einige Sonderfälle unabhängig von ihrer Größe

Übersicht der 18 betroffenen Sektoren

Die NIS2 Directive betrifft Einrichtungen aus 18 Sektoren, die in Anhang I und II aufgeführt sind. Darin steht für jeden Sektor genau, welche „Art der Einrichtung“ betroffen ist. Entscheidend ist daher, ob Sie einer darin genannten Art der Einrichtung entsprechen. Diese Einrichtungen werden in Anhang I und Anhang II jeweils noch genauer definiert.

Sektoren mit hoher Kritikalität (Anhang I der NIS-2):

Energie

Teilsektor	Art der Einrichtung
Elektrizität	Elektrizitätsunternehmen Verteilernetzbetreiber Übertragungsnetzbetreiber Erzeuger nominierte Strommarktbetreiber Marktteilnehmer, die Aggregierungs-, Laststeuerungs- oder Energiespeicherungsdienste anbieten Betreiber von Ladepunkten für Elektromobilität
Fernwärme und -kälte	Betreiber von Fernwärme oder Fernkälte
Erdöl	Betreiber von Erdöl-Fernleitungen Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen zentrale Bevorratungsstellen
Erdgas	Versorgungsunternehmen Verteilernetzbetreiber Fernleitungsnetzbetreiber Betreiber einer Speicheranlage Betreiber einer LNG-Anlage Erdgasunternehmen Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas
Wasserstoff	Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung

Verkehr

Bankwesen
Teilsektor Art der Einrichtung
–
Kreditinstitute
Finanzmarktinfrastrukturen
Teilsektor Art der Einrichtung
–
Betreiber von Handelsplätzen
zentrale Gegenparteien

Teilsektor	Art der Einrichtung
Luftverkehr	Luftfahrtunternehmen Flughafenleitungsorgane Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen
Schienenverkehr	Infrastrukturbetreiber Eisenbahnunternehmen
Schifffahrt	Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt Leitungsorgane von Häfen, einschließlich ihrer Hafenanlagen Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben Betreiber von Schiffsverkehrsdiensten
Straßenverkehr	Straßenverkehrsbehörden, die für Verkehrsmanagement und Verkehrssteuerung verantwortlich sind (außer öffentliche Einrichtungen, für die das Verkehrsmanagement oder der Betrieb intelligenter Verkehrssysteme ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist) Betreiber intelligenter Verkehrssysteme

Teilsektor	Art der Einrichtung
–	Kreditinstitute

Teilsektor	Art der Einrichtung
–	Betreiber von Handelsplätzen zentrale Gegenparteien

Gesundheitswesen

Teilsektor	Art der Einrichtung
–	Gesundheitsdienstleister EU-Referenzlaboratorien Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben Einrichtungen, die bestimmte pharmazeutische Erzeugnisse herstellen Einrichtungen, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen

Trinkwasser

Teilsektor	Art der Einrichtung
–	Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“ außer Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist

Abwasser

Teilsektor	Art der Einrichtung
–	Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln außer Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist

Digitale Infrastruktur

Verwaltung von IKT-Diensten (B2B)
Teilsektor Art der Einrichtung
–
Anbieter verwalteter Dienste
Anbieter verwalteter Sicherheitsdienste

Teilsektor	Art der Einrichtung
–	Betreiber von Internet-Knoten DNS-Dienstanbieter, ausgenommen Betreiber von Root-Namenservern TLD-Namenregister Anbieter von Cloud-Computing-Diensten Anbieter von Rechenzentrumsdiensten Betreiber von Inhaltszustellnetzen Vertrauensdiensteanbieter Anbieter öffentlicher elektronischer Kommunikationsnetze Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste

Teilsektor	Art der Einrichtung
–	Anbieter verwalteter Dienste Anbieter verwalteter Sicherheitsdienste

Öffentliche Verwaltung

Teilsektor	Art der Einrichtung
–	Einrichtungen der öffentlichen Verwaltung von Zentralregierungen entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht

Weltraum

Teilsektor	Art der Einrichtung
–	Betreiber von Bodeninfrastrukturen, die sich im Eigentum von EU-Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen außer Anbieter öffentlicher elektronischer Kommunikationsnetze

Sonstige kritische Sektoren (Anhang II der NIS-2):

Post- und Kurierdienste
Teilsektor Art der Einrichtung
–
Anbieter von Postdiensten
einschließlich Anbieter von Kurierdiensten
Abfallbewirtschaftung
Teilsektor Art der Einrichtung
–
Unternehmen der Abfallbewirtschaftung
ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist
Produktion, Herstellung und Handel mit chemischen Stoffen
Teilsektor Art der Einrichtung
–
Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln
Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Teilsektor Art der Einrichtung
–
Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

Teilsektor	Art der Einrichtung
–	Anbieter von Postdiensten einschließlich Anbieter von Kurierdiensten

Teilsektor	Art der Einrichtung
–	Unternehmen der Abfallbewirtschaftung ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist

Teilsektor	Art der Einrichtung
–	Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren

Teilsektor	Art der Einrichtung
–	Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

Verarbeitendes Gewerbe/Herstellung von Waren

Anbieter digitaler Dienste
Teilsektor Art der Einrichtung
–
Anbieter von Online-Marktplätzen
Anbieter von Online-Suchmaschinen
Anbieter von Plattformen für Dienste sozialer Netzwerke
Forschung
Teilsektor Art der Einrichtung
–
Forschungseinrichtungen

Teilsektor	Art der Einrichtung
Herstellung von Medizinprodukten und In-vitro-Diagnostika	Einrichtungen, die Medizinprodukte herstellen Einrichtungen, die In-vitro-Diagnostika herstellen außer Einrichtungen aus Anhang I, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen
Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
Herstellung von elektrischen Ausrüstungen	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
Maschinenbau	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
Herstellung von Kraftwagen und Kraftwagenteilen	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
sonstiger Fahrzeugbau	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

Teilsektor	Art der Einrichtung
–	Anbieter von Online-Marktplätzen Anbieter von Online-Suchmaschinen Anbieter von Plattformen für Dienste sozialer Netzwerke

Teilsektor	Art der Einrichtung
–	Forschungseinrichtungen

8 Schritte: Wie fange ich mit der Umsetzung der NIS-2-Richtlinie an?

Jetzt Video ansehen

Was müssen von NIS-2 betroffene Unternehmen und Organisationen tun?

Maßnahmen zum Risikomanagement für Cybersicherheit (Art. 21)

Laut NIS2 müssen Sie mindestens die folgenden Cybersecurity-Maßnahmen umsetzen, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu beherrschen – und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder gering zu halten. Sie müssen die IT-Systeme und deren physische Umwelt schützen („All-Gefahren-Ansatz“). Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen.

Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
Supply Chain: Sicherheit in der Lieferkette
Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme
Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall

Deutscher NIS2-Gesetzesentwurf:
Nur zertifizierte IKT-Produkte und -Dienste dürfen genutzt werden.

Verantwortung der Geschäftsführung (Art. 20)

muss die Umsetzung der Maßnahmen überwachen und haftet für Verstöße
muss an Schulungen teilnehmen und diese den Beschäftigten anbieten

Meldepflicht von Sicherheitsvorfällen (Art. 23)

Die EU NIS2 Directive schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Die Richtlinie sieht diese Fristen vor, um den Vorfall der Behörde zu melden:

Frühwarnung innerhalb von 24 h ab Kenntnis:
Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.
Ausführlicher Bericht innerhalb von 72 h ab Kenntnis:
Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.
Fortschritts-/Abschlussbericht ein Monat nach Meldung:
Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.

Registrierung (Art. 3 / Art. 27)

Wenn NIS-2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren – wie genau, wird noch festgelegt. Folgende Informationen sind einzureichen:

Name Ihrer Einrichtung
Anschrift und Kontaktdaten, einschließlich E-Mail-Adressen, IP-Adressbereiche und Telefonnummern
ggf. den relevanten Sektor und Teilsektor gemäß Anhang I oder II
ggf. eine Liste der EU-Mitgliedstaaten, in denen Sie Dienste erbringen

Sie benötigen Hilfe bei der Umsetzung von NIS-2?

Kontaktieren Sie uns

Was passiert, wenn Sie die NIS-2 Vorschriften nicht einhalten?

Bei Verstößen gegen die Risikomanagementmaßnahmen (Art. 21) oder Meldepflicht von Sicherheitsvorfällen (Art. 23) drohen hohe Geldstrafen. Die NIS2 Directive trifft eine Einteilung in wesentliche und wichtige Einrichtungen. Während die Pflichten grundsätzlich gleich sind, unterscheiden sie sich darin, wie streng die Aufsicht ist und wie hoch die Geldstrafen bei Non-Compliance ausfallen.

	Wesentliche Einrichtungen	Wichtige Einrichtungen
Aufsicht durch Behörden	Proaktive Aufsicht, zum Beispiel: regelmäßige Sicherheitsprüfungen Ad-hoc-Prüfungen Vor-Ort-Kontrollen Anforderung von Nachweisen Anweisungen mit Fristen	Reaktive Aufsicht nach Hinweisen auf Verstöße, zum Beispiel: gezielte Sicherheitsprüfungen Vor-Ort-Kontrollen Anforderung von Nachweisen Anweisungen mit Fristen
Geldstrafen bei Verstößen gegen Art. 21 oder 23	Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist	Höchstbetrag von mindestens 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist
Wer zählt dazu?	Große Unternehmen aus Anhang I: > 249 Beschäftigte, oder > 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz Größenunabhängige Sonderfälle	Große Unternehmen aus Anhang II: > 249 Beschäftigte, oder > 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz Mittlere Unternehmen aus Anhang I oder Anhang II: mind. 50 Beschäftigte, oder > 10 Mio. EUR Umsatz und > 10 Mio. EUR Bilanz kein großes Unternehmen Größenunabhängige Sonderfälle: Einrichtungen, die vom Staat als „wichtig“ eingestuft werden (zum Beispiel alleinige Anbieter)

NIS-2-Merkblatt herunterladen

Wie G DATA Lösungen Ihnen helfen, die NIS-2-Vorschriften zu erfüllen

Artikel 20: Governance / Schulung der Geschäftsführung und Belegschaft

Vorgaben der NIS-2-Richtlinie	G DATA Lösungen
(2) Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.	Security Awareness Trainings Mit spannenden E-Learning-Angeboten schulen Sie Ihre Geschäftsführung und Mitarbeitenden in IT-Sicherheit. → Mehr erfahren Incident Readiness Trainings Bereiten Sie sich optimal auf Cyberangriffe vor – um im Ernstfall Zeit und Kosten zu sparen. → Mehr erfahren

Artikel 21: Risikomanagementmaßnahmen im Bereich der Cybersicherheit

Vorgaben der NIS-2-Richtlinie	G DATA Lösungen
(1) Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen (…). (2) Die in Absatz 1 genannten Maßnahmen müssen (…) zumindest Folgendes umfassen: (2) a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;	IT-Security Assessment Erhalten Sie eine objektive Risikoeinschätzung und Beurteilung Ihres Cybersecurity Levels. → Mehr erfahren Penetration Test Finden Sie Ihre Sicherheitslücken, bevor Cyberkriminelle es tun. → Mehr erfahren Security Monitoring Erkennen Sie rechtzeitig Cyberangriffe auf Ihre kritischen Systeme. → Mehr erfahren
(2) b) Bewältigung von Sicherheitsvorfällen [d.h. Verhütung, Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen oder die Reaktion darauf und die Erholung davon];	Managed Endpoint Detection and Response Ihr 24/7-Expertenschutz: Wir erkennen und stoppen Cyberangriffe für Sie. → Mehr erfahren Incident Response Vertrauen Sie auf Sofort-Hilfe bei Sicherheitsvorfällen durch unser erfahrenes Notfallteam. → Mehr erfahren Incident Response Rahmenvertrag Ihre optimale Kombination aus Prävention und Sofort-Hilfe. → Mehr erfahren
(2) f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;	IT-Security Assessment Erhalten Sie eine objektive Risikoeinschätzung und Beurteilung Ihres Cybersecurity Levels. → Mehr erfahren Security Monitoring Erkennen Sie rechtzeitig Cyberangriffe auf Ihre kritischen Systeme. → Mehr erfahren
(2) g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;	Security Awareness Trainings Mit spannenden Online-Kursen schulen Sie Ihre Geschäftsführung und Mitarbeitenden in IT-Sicherheit. → Mehr erfahren

Vorgaben der NIS-2-Richtlinie

G DATA Lösungen

(1)

Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen (…).

(2)

Die in Absatz 1 genannten Maßnahmen müssen (…) zumindest Folgendes umfassen:

(2) a)

Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;

IT-Security Assessment

Erhalten Sie eine objektive Risikoeinschätzung und Beurteilung Ihres Cybersecurity Levels.

→ Mehr erfahren

Penetration Test

Finden Sie Ihre Sicherheitslücken, bevor Cyberkriminelle es tun.

→ Mehr erfahren

Security Monitoring

Erkennen Sie rechtzeitig Cyberangriffe auf Ihre kritischen Systeme.

→ Mehr erfahren

(2) b)

Bewältigung von Sicherheitsvorfällen [d.h. Verhütung, Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen oder die Reaktion darauf und die Erholung davon];

Managed Endpoint Detection and Response

Ihr 24/7-Expertenschutz: Wir erkennen und stoppen Cyberangriffe für Sie.

→ Mehr erfahren

Incident Response

Vertrauen Sie auf Sofort-Hilfe bei Sicherheitsvorfällen durch unser erfahrenes Notfallteam.

→ Mehr erfahren

Incident Response Rahmenvertrag

Ihre optimale Kombination aus Prävention und Sofort-Hilfe.

→ Mehr erfahren

(2) f)

Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;

IT-Security Assessment

Erhalten Sie eine objektive Risikoeinschätzung und Beurteilung Ihres Cybersecurity Levels.

→ Mehr erfahren

Security Monitoring

Erkennen Sie rechtzeitig Cyberangriffe auf Ihre kritischen Systeme.

→ Mehr erfahren

(2) g)

grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;

Security Awareness Trainings

Mit spannenden Online-Kursen schulen Sie Ihre Geschäftsführung und Mitarbeitenden in IT-Sicherheit.

→ Mehr erfahren

Artikel 23: Berichtspflichten

Vorgaben der NIS-2-Richtlinie	G DATA Lösungen
(4) Die Mitgliedstaaten stellen sicher, dass die betreffenden Einrichtungen dem CSIRT oder gegebenenfalls der zuständigen Behörde für die Zwecke der Meldung nach Absatz 1 Folgendes übermitteln: (4) a) unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, eine Frühwarnung, in der gegebenenfalls angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;	Managed Endpoint Detection and Response Dank gemanagter Angriffserkennung und -abwehr auf Ihren Endpoints können Sie kurze Meldefristen im Ernstfall einhalten. → Mehr erfahren Security Monitoring Cyberangriffe rechtzeitig erkennen und Meldepflichten einhalten – speziell für Ihre kritischen Systeme. → Mehr erfahren
(4) b) unverzüglich, in jedem Fall aber innerhalb von 72 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, eine Meldung über den Sicherheitsvorfall, in der gegebenenfalls die unter Buchstabe a genannten Informationen aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden.	Managed Endpoint Detection and Response Dank gemanagter Angriffserkennung und -abwehr auf Ihren Endpoints können Sie kurze Meldefristen im Ernstfall einhalten. → Mehr erfahren
(4) d) spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls (…) einen Abschlussbericht, der Folgendes enthält: i) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen; ii) Angaben zur Art der Bedrohung bzw. zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat; iii) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen; iv) gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls;	Incident Response Die Hilfe unseres Notfallteams ermöglicht Ihnen, die Pflicht zum Abschlussbericht (Ursachenanalyse etc.) einzuhalten. → Mehr erfahren Incident Response Rahmenvertrag Ihre optimale Kombination aus Prävention und Sofort-Hilfe im Notfall – zur Einhaltung des Abschlussberichts. → Mehr erfahren

Vorgaben der NIS-2-Richtlinie

G DATA Lösungen

(4)

Die Mitgliedstaaten stellen sicher, dass die betreffenden Einrichtungen dem CSIRT oder gegebenenfalls der zuständigen Behörde für die Zwecke der Meldung nach Absatz 1 Folgendes übermitteln:

(4) a)

unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, eine Frühwarnung, in der gegebenenfalls angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;

Managed Endpoint Detection and Response

Dank gemanagter Angriffserkennung und -abwehr auf Ihren Endpoints können Sie kurze Meldefristen im Ernstfall einhalten.

→ Mehr erfahren

Security Monitoring

Cyberangriffe rechtzeitig erkennen und Meldepflichten einhalten – speziell für Ihre kritischen Systeme.

→ Mehr erfahren

(4) b)

unverzüglich, in jedem Fall aber innerhalb von 72 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, eine Meldung über den Sicherheitsvorfall, in der gegebenenfalls die unter Buchstabe a genannten Informationen aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden.

Managed Endpoint Detection and Response

Dank gemanagter Angriffserkennung und -abwehr auf Ihren Endpoints können Sie kurze Meldefristen im Ernstfall einhalten.

→ Mehr erfahren

(4) d)

spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls (…) einen Abschlussbericht, der Folgendes enthält:

i) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen;

ii) Angaben zur Art der Bedrohung bzw. zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;

iii) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;

iv) gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls;

Incident Response

Die Hilfe unseres Notfallteams ermöglicht Ihnen, die Pflicht zum Abschlussbericht (Ursachenanalyse etc.) einzuhalten.

→ Mehr erfahren

Incident Response Rahmenvertrag

Ihre optimale Kombination aus Prävention und Sofort-Hilfe im Notfall – zur Einhaltung des Abschlussberichts.

→ Mehr erfahren

Sie benötigen Hilfe bei der Umsetzung der NIS2 Directive?

Kontakt aufnehmen

Hinweis: Die zur Verfügung gestellten Informationen dienen lediglich Ihrer Information und ersetzen keine individuelle juristische Beratung.

Soforthilfe nach einem Cyberangriff

Wie wir direkt helfen:

NIS-2-Richtlinie: Was jetzt für Unternehmen wichtig ist

Die neue EU-Richtlinie für Cybersicherheit im Überblick

Was ist NIS-2?

Maßnahmen zum Risikomanagement für Cybersicherheit (Art. 21)

Verantwortung der Geschäftsführung (Art. 20)

Meldepflicht von Sicherheitsvorfällen (Art. 23)

Registrierung (Art. 3 / Art. 27)

Wesentliche Einrichtungen

Wichtige Einrichtungen

Diese Einrichtungen fallen unabhängig von ihrer Größe unter die NIS2 Directive:

Risikobasierter Ansatz: Welche Maßnahmen sind angemessen?

Supply Chain: Was bedeutet „Sicherheit in der Lieferkette“?

Ein Sicherheitsvorfall gilt als „erheblich“, wenn:

Diese Einrichtungen gelten laut Directive unabhängig von ihrer Größe als „wesentliche Einrichtungen“: