What is the NIS2 Directive?

Directive (EU) 2022/2555, more commonly known as NIS2 is the second iteration of the EU’s Network and Information Security (NIS) directive, and it is the primary cybersecurity standard in the EU. NIS2 updates NIS by expanding the sectors affected by the law and its requirements. By October 17, 2024, EU member states are required to implement NIS2 in their national laws, so all organizations affected by NIS2 must be in compliance by Q4 2024.

Check Point Services KONTAKTIEREN SIE EINEN EXPERTEN

What is the NIS2 Directive?

Die Bedeutung der NIS2-Richtlinie

NIS2 erstellt einen Standardsatz von Cybersicherheitsanforderungen für Organisationen, die den EU-Mitgliedsstaaten wesentliche oder wichtige Dienste bereitstellen. Dadurch verringert sich das Risiko, dass Cyberangriffe auf diese Organisationen erhebliche Auswirkungen auf die EU-Bürger haben könnten.

Von der NIS2-Richtlinie betroffene Sektoren

Organizations that meet all three of the following criteria must comply with the NIS2 Directive by October 18, 2024

NIS

Die NIS2-Richtlinie klassifiziert Sektoren in wesentliche und wichtige Einheiten. Beispiele für wesentliche Einheiten (EE) sind:

  • Energy
  • Verkehrswesen
  • Finanzwesen
  • Öffentliche Verwaltung
  • Gesundheitswesen
  • Raum
  • Wasserversorgung
  • Digitale Infrastruktur

NIS2 wirkt sich auch auf wichtige Einheiten (IE) aus, wie zum Beispiel:

  • Postdienst
  • Abfallmanagement
  • Chemikalien
  • Forschung
  • Essen
  • Fertigung
  • Digitale Anbieter

NIS Providers

Außer von der Branche ist auch die Größe der Organisation von Einfluss auf die NIS2- Compliance . Grundsätzlich müssen EE mindestens 250 Mitarbeiter beschäftigen und einen Jahresumsatz von über 50 Millionen Euro oder eine Bilanzsumme von 43 Millionen Euro aufweisen. IEs müssen grundsätzlich mindestens 50 Mitarbeiter und einen Jahresumsatz bzw. eine Jahresbilanz von mindestens 10 Millionen Euro haben. Allerdings variieren diese Regeln je nach Sektor. Darüber hinaus können Unternehmen, die der einzige Anbieter einer bestimmten Dienstleistung in einem EU-Mitgliedsstaat sind, unabhängig von ihrer Größe als EE oder IE eingestuft werden.

Was sind die NIS2-Anforderungen?

NIS2 erstellt vier Sätze organisatorischer Anforderungen auf hoher Ebene, darunter:

  • Risikomanagement: Organisationen sollten ihre Cyberrisiken durch Reaktion auf Vorfälle, Lieferkettensicherheit, Netzwerksicherheit, Zugriffskontrolle und die Verwendung von Verschlüsselung verwalten.
  • Verantwortung des Unternehmens: Die Unternehmensleitung ist für die Sicherheit des Unternehmens verantwortlich und sollte beim Cyber-Risikomanagement eine aktive und informierte Rolle übernehmen.
  • Meldepflichten: NIS2 definiert Meldepflichten für bedeutende Sicherheitsvorfälle, einschließlich einer 24-stündigen „Frühwarnung“.
  • Geschäftskontinuität: Betroffene Organisationen sollten über Strategien zur Geschäftskontinuität verfügen, darunter die Erstellung von Wiederherstellungsplänen, Notfallverfahren und einem Krisenreaktionsteam.

Darüber hinaus legt sie einen Satz von zehn Mindestanforderungen fest, darunter:

  1. Durchführen von Risikobewertungen und Implementieren von Sicherheitsrichtlinien für IT-Systeme.
  2. Implementieren von Richtlinien und Verfahren für die Verwendung von Kryptografie und Verschlüsselung.
  3. Sicherung und Steuerung der Schwachstelle bei der Systembeschaffung.
  4. Implementieren von Sicherheitsverfahren für Benutzer, die auf vertrauliche Daten zugreifen können.
  5. Verwendung von mehrstufiger Authentifizierung (MFA), kontinuierlicher Authentifizierung und gegebenenfalls verschlüsselter Kommunikation.
  6. Bewertung der Wirksamkeit der implementierten Sicherheitskontrollen.
  7. Planung zur Erkennung und Reaktion auf Vorfälle.
  8. Schulung der Mitarbeiter in grundlegender Computerhygiene.
  9. Planung der Geschäftskontinuität und Notfallwiederherstellung (Backups, fortgesetzter Zugriff usw.)
  10. Sicherung der Lieferkette und Umgang des Unternehmens mit potenziellen Schwachstellen in Drittbeziehungen.

Strafen für NIS2-Verstöße

NIS2 legt verschiedene Arten von Strafen fest, die gegen eine Organisation beiCompliance verhängt werden können, darunter:

  • Nicht-monetäre Strafen: Nationale Aufsichtsbehörden dürfen Organisationen zur Einhaltung der Vorschriften zwingen, sie zwingen, verbindliche Anweisungen zu befolgen, ein Sicherheitsaudit durchzuführen oder ihre Kunden über eine potenzielle Bedrohung zu informieren.

Non Monetary Penalties

  • Administrative Fines: Administrative penalties depend on the type of entity. While significant penalties can be imposed for failure to comply, there are a series of steps that must be taken before an entity is required to pay a monetary fine. The first step is a simple warning, then temporary suspension of the right to provide services within the EU, and only then fines. EEs are subject to fines of the greater of 10 million euros or 2% of global annual revenue. IEs can be fined up to 7 million euros or 1.4% of global annual revenue.
  • Strafrechtliche Sanktionen: NIS2 ermöglicht es, das Top-Management bei grober Fahrlässigkeit persönlich für Sicherheitsvorfälle verantwortlich zu machen. Hierzu gehört die Anordnung an das Unternehmen, Compliance-Verstöße öffentlich zu machen, öffentlich zu erklären, um welchen Verstoß es sich handelte und wer dafür verantwortlich ist, sowie die vorübergehende Sperrung einzelner Personen für die Ausübung von Führungspositionen.

Stellen Sie mit IGS sicher, dass Ihr Unternehmen den NIS2- Compliance

Ziel der NIS2-Richtlinie ist es, das Risiko zu begrenzen, dass Cyberangriffe auf wichtige und bedeutende Einrichtungen in der EU deren Fähigkeit beeinträchtigen, Dienstleistungen für die EU-Bürger bereitzustellen. Diese Aktualisierung der ursprünglichen NIS erweitert den Geltungsbereich der Richtlinie, setzt aktualisierte Anforderungen um und gibt den Regulierungsbehörden die Befugnis, zusätzliche und strengere Strafen gegen Organisationen zu verhängen, die ihre Anforderungen nicht erfüllen.

Achieving compliance with the NIS2 directive by deadlines in Q4 2024 is essential for all affected organizations and requires the implementation of a robust cybersecurity program. Check Point offers support for companies attempting to achieve this and other cybersecurity goals through its Check Point Services program.

Check Point’s External Risk Management offering helps with compliance in several ways, from supply chain monitoring, to attack surface management. See below an overview.

NIS2 Coverage

Demo it here 

Check PointDie NIS2/DORA-Bereitschaftsbewertung von umfasst eine Vor-Ort-Bewertung Check Point der bestehenden einer Organisation Compliance mit der NIS2-Richtlinie durch leitende -Berater. Basierend auf dieser Bewertung bietet Check Point Hinweise, wie Organisationen identifizierte Sicherheitslücken schließen und Compliance des Standards erreichen können. Weitere Informationen dazu, wie Sie Ihre NIS2- Compliance Ziele vor Ablauf der Frist erreichen, erhalten Sie von uns.