NIS2 ist die überarbeitete Version der von der EU 2016 eingeführten Cybersecurity-Richtlinie NIS und konzentriert sich nicht nur auf den Schutz kritischer Infrastrukturen, sondern umfasst deutlich mehr Bereiche und Unternehmen. Dabei steht NIS für "Network and Information Security". Sie definiert unter anderem Kriterien zur Identifikation von Betreibern kritischer Infrastrukturen und legt Mindeststandards für deren Informationssicherheit fest. Ziel ist es, das Sicherheitsniveau in den EU-Mitgliedstaaten zu stärken und zu vereinheitlichen.

Die NIS2-Richtlinie betrifft Unternehmen nur dann, wenn sie mindestens 50 Mitarbeiter oder einen Jahresumsatz / Jahresbilanz von mehr als 10 Millionen Euro aufweisen sowie zu einer der folgenden Branchen zählen (auch Zulieferer, Dienstleister und andere verbundene Unternehmen können betroffen sein):

• wesentliche Organisationen (essential): Energie, Transport, Bankwesen, Finanzmärkte, Gesundheitswesen, Trinkwasser, Digitale Infrastruktur, Abwasser, Öffentliche Verwaltung, ICT Service Management im B2B, Weltraum
• wichtige Organisationen (important): Post- und Kurierdienste, Abfall, Lebensmittel, Chemikalien, digitale Dienste (etwa für Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke), Industrie (unter anderem Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräten) sowie Forschung.

Für beide Gruppen gelten die gleichen Vorgaben. Unterschiede macht die EU jedoch bei drohenden Strafen und Sanktionen.

Die Maßnahmen nach § 30 Abs. 2 müssen mindestens die folgenden Punkte umfassen:

• • Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs, Backup-Management, Krisen-Management
  • Sicherheit der Lieferkette und zwischen Einrichtungen
  • Sicherheit in der Entwicklung, Beschaffung und Wartung
  • Management von Schwachstellen
  • Bewertung der Effektivität von Cybersicherheit und Risiko-Management
  • Cyberhygiene und Schulungen zur Cybersicherheit
  • Kryptografie und Verschlüsselung
  • Personalsicherheit, Zugriffskontrolle und Anlagen-Management
  • Multifaktor-Authentifizierung und kontinuierliche Authentisierung
  • Sichere Kommunikation (Sprach, Video- und Text)
  • Sichere Notfallkommunikation
  • Einsatz von Systemen zur Angriffserkennung (nur Betreiber kritischer Anlagen - § 31 Abs. 2)

Die Sanktionen bei Nichteinhaltung der Anforderungen der NIS2-Richtlinie können erhebliche finanzielle Strafen beinhalten. Abhängig von der Einstufung des Unternehmens als "essential" oder "important" kann die Höchststrafe bis zu 10 Millionen Euro oder bis zu zwei Prozent des globalen Jahresumsatzes des betroffenen Unternehmens betragen. Neben den finanziellen Sanktionen drohen auch betriebliche Einschränkungen wie beispielsweise die vorübergehende Aussetzung bestimmter Dienste oder die Beschränkung von Geschäftsaktivitäten.

Die NIS2-Richtlinie verpflichtet Geschäftsführer, Maßnahmen zum Risikomanagement zu genehmigen und zu überwachen. Bei Nichterfüllung ihrer Pflichten droht persönliche Haftung der Geschäftsführung bis zur Ebene des CEO, insbesondere bei fehlenden Schutzmaßnahmen gegen Sicherheitsvorfälle.