NIS2: Was Unternehmen jetzt wissen müssen
Die NIS2-Richtlinie erweitert die Cybersicherheitspflichten auf zehntausende Unternehmen. Wir erklären, wer betroffen ist und welche Maßnahmen jetzt anstehen.
Mit der NIS2-Richtlinie hebt die EU die Anforderungen an die Cybersicherheit auf ein neues Niveau. Statt weniger Betreiber kritischer Infrastrukturen sind künftig zehntausende Unternehmen verpflichtet, angemessene Sicherheitsmaßnahmen nachzuweisen. Viele Organisationen unterschätzen, dass auch sie betroffen sein könnten.
Wer ist von NIS2 betroffen?
NIS2 unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Maßgeblich sind Sektor, Unternehmensgröße und Umsatz. Betroffen sind grundsätzlich Organisationen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in den definierten Sektoren – darunter Gesundheit, Energie, Transport, digitale Infrastruktur und Teile des verarbeitenden Gewerbes.
- Gesundheitsdienstleister wie Kliniken und bestimmte Versorgungseinrichtungen
- Hersteller von Medizinprodukten
- Anbieter digitaler Dienste und IT-Dienstleister
- Teile der industriellen Fertigung und Lieferkette
Welche Pflichten bringt NIS2 mit sich?
Im Kern verlangt NIS2 ein angemessenes Risikomanagement nach dem Stand der Technik. Dazu gehören technische und organisatorische Maßnahmen, Meldepflichten bei Sicherheitsvorfällen und – besonders wichtig – eine persönliche Verantwortung der Geschäftsleitung.
- Risikoanalyse und Sicherheitskonzepte
- Maßnahmen zur Angriffserkennung und Vorfallsbehandlung
- Business Continuity und Backup-Management
- Mehr-Faktor-Authentifizierung und Zugriffskontrolle
- Schulung und Sensibilisierung der Mitarbeitenden
- Sicherheit in der Lieferkette
“NIS2 macht Cybersicherheit zur Chefsache: Die Geschäftsleitung haftet künftig persönlich für die Umsetzung der Maßnahmen.”
Was Sie jetzt tun sollten
Der erste Schritt ist immer die Feststellung der Betroffenheit. Danach folgt eine Gap-Analyse: Wo steht Ihre Organisation heute im Vergleich zu den Anforderungen? Auf dieser Basis lässt sich ein priorisierter Maßnahmenplan erstellen. Viele der geforderten Maßnahmen – MFA, EDR, Backup-Strategie, Awareness – sind ohnehin sinnvoll und sollten nicht erst durch regulatorischen Druck umgesetzt werden.
Als spezialisierter IT-Dienstleister begleiten wir Sie von der Betroffenheitsanalyse über die Gap-Analyse bis zur nachweisbaren Umsetzung. Sprechen Sie uns an, bevor aus einer Anforderung ein Problem wird.
MSD Computersysteme
IT-Spezialisten für das Gesundheitswesen
Weiterlesen
Ransomware-Schutz für Arztpraxen: Die 7 wichtigsten Maßnahmen
Arztpraxen sind ein beliebtes Ziel für Ransomware. Diese sieben Maßnahmen senken Ihr Risiko drastisch – ohne den Praxisalltag zu stören.
Netzwerksegmentierung richtig umsetzen
Ein flaches Netzwerk ist ein Sicherheitsrisiko. Wir zeigen, wie Segmentierung funktioniert und worauf es bei der Umsetzung ankommt.