EU NIS2 ist der europäische Rahmen für Betreiber Kritischer Infrastrukturen und legt Cyber Security Mindeststandards in der EU fest. NIS2 erweitert Betroffenheit und Pflichten deutlich – ab 2024 müssen Unternehmen 18 Sektoren ab 50 Mitarbeitern und 10 Mio. EUR Umsatz neue Cyber Security Pflichten umsetzen.
NIS 2 löst die bisherige NIS-Direktive ab, wurde 2022 nach langen Verhandlungen von Parlament und Rat der EU angenommen. EU-Staaten müssen NIS2 bis Oktober 2024 in nationales Recht überführen, in Deutschland möglicherweise mit dem IT-Sicherheitsgesetz 3.0. Parallel reguliert EU RCE/CER Resilienz bei Betreibern.
Die EU NIS2-Direktive überarbeitet und ersetzt die bisherige NIS Direktive von 2016. Der vom Europäischen Parlament verabschiedete Entwurf von November 2022 enthält deutlich mehr Betroffenheit, Pflichten und Aufsicht:
Die Betroffenheit wird in NIS 2 nach uniformen Kriterien festgestellt — reguliert werden mittlere und große Unternehmen der achtzehn Sektoren nach Größe gem. 2003/361/EC:
Der Hauptteil von kritischen Sektoren und Betreibern besteht in NIS2 aus Essential Entities in elf Sektoren.
Die Important Entities sind der zweite Teil an Betroffenen in NIS2 und bestehen aus sieben weiteren Sektoren.
Die Sicherheitsmaßnahmen für KRITIS orientieren sich an der Konkretisierung der Anforderungen des BSI für KRITIS-Betreiber und Prüfer mit 100 Kontrollen basierend auf C5. Andere Security Standards sind für KRITIS auch möglich.
Wenn Sie Fragen haben oder weitere Informationen benötigen, dann melden Sie sich bitte einfach.