Was ist NIS2?
NIS2 (Richtlinie (EU) 2022/2555) ist die Nachfolgerin der NIS-Richtlinie und erweitert den Kreis der betroffenen Sektoren und Einrichtungen. Sie verpflichtet kritische und wichtige Organisationen in definierten Branchen (z. B. Energie, Verkehr, Gesundheit, digitale Infrastruktur, Teile der Industrie, Abfall, Lebensmittel, Verwaltung) zu angemessenen Maßnahmen der Cyber-Sicherheit und zu Meldepflichten bei erheblichen Vorfällen.
Typische Pflichten
- Risikomanagement: Angemessene technische und organisatorische Maßnahmen (u. a. Zugriffskontrolle, MFA, Patch-Management, Incident Response).
- Meldepflicht: Erhebliche Vorfälle müssen innerhalb definierter Fristen an zuständige Behörden gemeldet werden.
- Lieferketten: Sicherheitsanforderungen können auch an relevante Zulieferer und Dienstleister adressiert werden.
Bezug zum ISMS
Ein ISMS (z. B. nach ISO 27001 oder BSI-Grundschutz) ist ein bewährter Weg, die Anforderungen von NIS2 strukturiert umzusetzen und nachzuweisen. NIS2 verlangt kein formales Zertifikat, aber ein kohärentes Sicherheitsniveau und Dokumentation. Themen wie phishing-resistente MFA für sensible Zugänge oder klare Patch- und Incident-Prozesse sind sowohl für das ISMS als auch für NIS2 relevant.
Relevanz für KMU
Viele KMU fallen unter „wichtige“ Einrichtungen (z. B. bestimmte digitale Dienste, Abfall, Lebensmittel, Forschung). Prüfen Sie, ob Ihr Sektor und Ihre Größe von der nationalen Umsetzung (in Deutschland u. a. BSI, KRITIS) erfasst werden – dann sind Risikoanalyse, angemessene Maßnahmen und Meldepflichten verbindlich.
Kurz gesagt
NIS2 ist die EU-Richtlinie mit erweiterten Cyber-Sicherheits- und Meldepflichten für kritische und wichtige Einrichtungen. Ein ISMS hilft, die Anforderungen strukturiert umzusetzen.