NIS2

NIS2 ist die zweite Generation der europaeischen Cybersicherheits-Regulierung. Sie trat am 16. Januar 2023 in Kraft, die EU-Frist zur nationalen Umsetzung war der 17. Oktober 2024. In Deutschland wird sie über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt.

Anwendungsbereich: wesentliche Einrichtungen (Energie, Verkehr, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur, ICT-Service-Management, öffentliche Verwaltung, Weltraum) und wichtige Einrichtungen (Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung).

Kernpflichten: zehn Mindestmaßnahmen nach Art. 21 (Risikoanalyse, Incident-Handling, Business Continuity, Lieferkettensicherheit, sichere Beschaffung und Wartung, Wirksamkeitsbewertung, Cyber-Hygiene, Kryptografie, Personalsicherheit, MFA). Meldepflichten mit 24h-Frühwarnung, 72h-Vorfallsmeldung und 1-Monat-Abschlussbericht. Bußgelder bis 10 Mio EUR oder 2 Prozent Umsatz, persönliche Haftung der Geschäftsleitung.