NIS2

    Schutz der digitalen Achillessehnen: NIS2

    Verbesserung der digitalen Resilienz in der EU

    Unternehmen und Lieferketten sind im modernen Wirtschaftsleben digital stark miteinander verwoben. Cyberattacken auf ein Unternehmen können sich daher auf viele auswirken. Die staatliche Organisation von Cybercrime verschärft die Bedrohungslage weiter. Mit NIS2 pocht die EU-Kommission auf schärfere Maßnahmen der Unternehmen zum Schutz der Unternehmensdaten als wirtschaftliche Kernwerte. Ein weitaus größerer Anwenderkreis und eine aktivere Kontrolltätigkeit der Behörden unterscheiden NIS2 markant von der Vorgängerregelung.

    Cybercrime läge als Volkswirtschaft an dritter Stelle.

    Alle Cybercrime-Aktivitäten zusammen machten im Jahr 2025 einen Schaden von geschätzt 10,5 Billionen USD aus. Das entspricht schon fast den Bruttoinlandsprodukten der USA und Chinas. Länder wie Nordkorea nutzen kriminelle Aktivitäten im Umfeld auf Kryptowährungen gezielt zur Devisenbeschaffung. In diesem Szenario ist es unabdingbar zu wissen, wie es um das digitale Risikoprofil der Partnerunternehmen bestellt ist. SLM bietet dafür automatisierte Lösungen.

    NIS2: Wen betrifft es? Wer verantwortet die Umsetzung? Was droht als Strafe?

    29500
     
    deutsche Unternehmen fallen schätzungsweise unter NIS2 (bis zu 5.000 sind es in Österreich).
    38
     
    Prozent der Unternehmen reihen Cyberattacken und Datenlecks als größtes Geschäftsrisiko ein.
    10
     
    Mio. Euro beträgt der Strafrahmen für die Nichteinhaltung der unterschiedlichen Cybersicherheitsmaßnahmen.

    Wichtige Aspekte der NIS2 im Überblick

    • Die alte NIS aus 2016 betraf vor allem Betreiber wesentlicher Dienste in verschiedenen Bereichen (u.a. Gesundheit, Verkehr, digitale Infrastruktur). Betroffene Unternehmen wurden aktiv informiert. Das ändert sich mit NIS2 grundlegend.

      NIS2 kennt zwei Kategorien von Unternehmen, die unter die nationalen Gesetze fallen (in Österreich: NISG; NIS2 ist eine Richtlinie!): 

      - wesentliche Einrichtungen: das sind große Unternehmen (ab 250 MA oder Jahresumsatz ab € 50 Mio. und über € 43 Mio. Bilanzsumme) aus kritischen Sektoren (Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser usw.)

      - wichtige Einrichtungen: das sind mittlere Unternehmen aus diesen Sektoren - außerdem große und mittlere Unternehmen aus sonstigen kritischen Sektoren (Abfall, Chemie, Digitale Dienste usw.)

      - auch Klein- und Kleinstunternehmen können unter NIS2 fallen (z.B. Toplevel-Domainanbieter und Anbieter für Cloudcomputing)

      Die Kriterien für die Anwendbarkeit von NIS2 sind also komplex - Sie wollen wissen ob Ihr Unternehmen darunter fällt?

      In unserem Whitepaper stehen alle Details zur NIS2!

    • Je nach Klassifizierung des Unternehmens als wesentlich oder wichtig (sh. oben, "Wann fällt ein Unternehmen unter NIS2?") werden unterschiedliche Sanktionen und aufsichtsrechtliche Maßnahmen anwendbar.

      Für wesentliche Einrichtungen sind folgende Maßnahmen vorgesehen:

      - regelmäßige gezielte Sicherheitsüberprüfungen (auch ohne Anlass)

      - Stichprobenkontrollen

      - Bußgeldrahmen von € 10 Mio. oder 2 Prozent des weltweiten Umsatzes (je nachdem, was höher ist)

      Wichtige Einrichtungen können von folgenden Maßnahmen betroffen sein:

      - Überprüfungen nur bei begründetem Verdacht

      - Vor-Ort-Kontrollen und externe nachträgliche Aufsichtsmaßnahmen

      - Bußgeldrahmen von € 7 Mio. oder 1,4 Prozent des weltweiten Umsatzes (je nachdem, was höher ist)

       

      Holen Sie hier Ihre kostenlose Guideline zu NIS2, EUDR, CBAM und CSDDD

       

    • Im Wesentlichen pocht die Richtlinie auf mehr Eigenverantwortung hinsichtlich

      - regelmäßige Risikobewertungen

      - persönliche Verantwortlichkeit des Managements

      - konkrete Berichtspflichten

      In unserer kostenlosen Guideline haben wir alle Handlungspflichten übersichtlich dargestellt!

      Einerseits ist im Sinne der Governance die Mitwirkung der Leitungsorgane sicherzustellen: also Risikomanagement-Maßnahmen zu setzen, zu überwachen, an Schulungen teilzunehmen usw. Ebenso werden technische und operative Maßnahmen zur Beherrschung der Risiken und zur Minimierung der Folgen eines Sicherheitsvorfalls gefordert. Ein ganz wesentlicher Punkt ist die Risikobewertung kritischer Lieferanten. Hierbei können automatisierte Abfragen merklich zur Entlastung der Verantwortlichen beitragen. Im Falle von Sicherheitsvorfällen sind schließlich detaillierte Berichtspflichten vorgesehen.

      Lesen Sie in unserer kostenlosen Guideline mehr darüber.

    • Kontrolle und Risikobewertung haben bei den unmittelbaren Anbietern bzw. Lieferanten und Dienstleistern zu erfolgen. Hierbei sind spezifische Schwachstellen zu evaluieren und die Gesamtqualität der Cybersicherheitspraxis zu beurteilen.

      Lesen Sie mehr zu den geforderten konkreten Maßnahmen und zu den einzuhaltenden Fristen im Meldeverfahren!

       

    • Das ist natürlich eine Frage der jeweiligen Unternehmensorganisation. Doch auch, wenn man das Thema aus dem Bauch heraus in der IT verorten möchte, zeigen viele Gespräche, dass die Einholung der Angaben für die Risikoprofile der Lieferanten wohl eher im Einkauf liegen wird. Schließlich ist er der direkte Ansprechpartner und hat auch die Macht, die Abgabe der gewünschten Informationen zu forcieren. 

      Mit automatisierten Abfragen, die je nach Kritikalität des Lieferanten in Abstimmung mit IT oder auch externen Beratern entwickelt werden, lässt sich jedoch für massive Entlastung sorgen. Ein ganz wichtiger Punkt dabei ist es, den Supplier nicht zu überfordern! Im Sinne der Partnerschaft sollte darauf geachtet werden, nur notwendige Angaben abzufragen. Überbordende Fragebögen sind schon aus Gründen der Ressourcen kaum zu beantworten.

    Gratis: Whitepaper EU-Regularien

    Die NIS 2 ist eine wesentliche Regulierung mit einer Fülle an Pflichten und ernsthaften Sanktionsdrohungen. In unserem Whitepaper stellen wir diese detailliert dar - und skizzieren außerdem die aktuell relevanten Regulierungen CBAM, CSDDD und EUDR.

    Mit diesem kostenlosen Download sichern Sie sich das nötige Knowhow!

    Whitepaper

    NIS 2, EUDR, CSDDD und CBAM

    Systematische Darstellung und Einführung für die NIS 2 Richtlinie mit Bezug auf den aktuellen Stand der nationalen Umsetzungen in Deutschland und Österreich. Außerdem drei weitere essenzielle EU-Regularien kompakt dargestellt.

    Lieferantenauskünfte für NIS2 automatisiert einholen

    NIS2 erfordert eine Bewertung der Cyberrisiken der Lieferanten. Dazu werden Auskünfte benötigt. Mit flexibel gestaltbaren Formularen, komplett automatisierter Durchführung und ERP-Schnittstellenkompetenz bietet DIG die passende Lösung, um im Einkauf einen Wertbeitrag zur Cybersicherheit zu leisten - ohne die eigenen Ressourcen zu sehr zu belasten.

    IW-Standardloesung-standard-solution

    Kostenlose Digitalisierungsberatung

    Wir zeigen Ihnen, wie Sie die Lieferantenkommunikation für NIS2 bewältigen.

    IW-Kompass-compass

    Webinar EU-Regularien ansehen

    Wenn Lieferketten zur Lunte werden: Unser Webinar zu NIS2 und Co.

    Wälder schützen, EUDR umsetzen

    Worauf es ankommt, welche Produkte es betrifft und wie die Sorgfaltspflicht effizient erfüllt wird. 

    Verantwortung in der Lieferkette: CSDDD

    Die Chancen fairer Einkaufspraktiken und sauberer Lieferketten für die Wertschöpfung nutzen.

    Drittlandimporte: CBAM praktikabel umsetzen

    Das CO2-Ausgleichssystem CBAM ist eine Herausforderung. Wir zeigen, wie Sie diese bewältigen.

    NIS 2: für mehr digitale Sicherheit in den Lieferketten

    Wie können Risiken in der Lieferkette bewertet, persönliche Verantwortung wahrgenommen und Berichtspflichten erfüllt werden.