NIS2

Was bedeutet NIS2?

NIS2 (Network and Information Security Directive 2) ist die Nachfolgerin der ersten NIS-Richtlinie von 2016 und in Deutschland durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Sie erweitert den Anwenderkreis erheblich gegenüber dem bisherigen IT-SiG 2.0: mehr Sektoren, niedrigere Schwellen (ab 50 Mitarbeitenden oder 10 Mio. € Umsatz in vielen Bereichen), Lieferketten-Anforderungen und persönliche Haftung der Geschäftsführung.

Pflichten umfassen ein dokumentiertes Risikomanagement, Meldefristen bei Sicherheitsvorfällen (24 Stunden Erstmeldung, 72 Stunden detailliert, ein Monat Abschlussbericht), eine verpflichtende Schulung der Geschäftsleitung sowie die Registrierung beim BSI. Bußgelder reichen bis 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes — vergleichbar mit der DSGVO und mit denselben tatsächlichen Durchgriffsmöglichkeiten.

In der Praxis ist NIS2 ein 9- bis 18-Monats-Programm: GAP-Analyse, Risikoanalyse, Maßnahmen­umsetzung (Härtung, Segmentierung, MFA, SIEM, Backups), Awareness-Schulung, Tabletop-Übung, BSI-Registrierung. Modern Next setzt diese Programme mit eigenem Personal um, statt sie an Ihr internes Team zur „Selbsterledigung” zu übergeben.

Verwandte Begriffe

• KRITIS — Kritische Infrastrukturen im Sinne des deutschen BSI-Gesetzes — Einrichtungen, deren Ausfall „erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit” auslösen würde.
• BSI Grundschutz — Methodischer Rahmen des Bundesamts für Sicherheit in der Informationstechnik zur Umsetzung eines ISMS — branchen­neutral, mit konkreten Bausteinen und prüfbaren Anforderungen.
• SIEM — Security Information and Event Management — zentrale Sammelstelle für Log- und Event-Daten aus dem gesamten IT-Betrieb, mit Korrelationsregeln und Alerting.