CER und NIS2 – Wer, was, wann
CER ergänzt NIS2 durch den Fokus auf die operative Resilienz, während NIS2 die Sicherheit von Netzwerken und Informationssystemen adressiert.
Ziel:
Stärkung der Resilienz und des Schutzes kritischer Einrichtungen, die wesentliche Dienste in der EU bereitstellen – insbesondere gegenüber Cyber-, physischen und hybriden Bedrohungen.
Inkrafttreten:
Kritische Einrichtungen müssen bis spätestens 17. Juli 2026 identifiziert werden.
Betroffene Sektoren:
- Energie (Strom, Öl, Heizung, Wasserstoff, Gas)
- Transport (Luft-, Bahn-, Wasser-, Straßenverkehr, ÖPNV)
- Bankwesen (Kreditinstitute)
- Finanzmarktinfrastruktur (Handelsplätze, zentrale Gegenparteien)
- Gesundheitswesen (Krankenhäuser, Forschungslabore, Pharmahersteller usw.)
- Trinkwasserversorgung
- Abwasserentsorgung
- Digitale Infrastruktur (DNS, IXP, Cloud, Rechenzentren, usw.)
- Öffentliche Verwaltung
- Raumfahrt (bodenbasierte Infrastrukturen)
- Lebensmittel (Produktion, Verarbeitung, Verteilung)
Zentrale Ziele:
- Stärkung der Cyber- und physischen Resilienz kritischer Infrastrukturen
- Verbesserung von Risikobewertungen auf nationaler und organisatorischer Ebene
- Besserer Umgang mit grenzüberschreitenden Auswirkungen und Förderung der Zusammenarbeit der Mitgliedstaaten
Pflichten für kritische Einrichtungen:
- Durchführung von Risikobewertungen
- Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden
- Teilnahme an Inspektionen, Audits und Einhaltung der Vorgaben
Durchsetzung:
Erfolgt durch nationale Aufsichtsbehörden. Die Critical Entities Resilience Group (CERG) unterstützt die EU-weite Koordination.
Beziehung zu NIS2:
CER ergänzt NIS2 durch ihren Fokus auf operative Resilienz, während NIS2 technische und organisatorische Maßnahmen für Netzwerke und Informationssysteme fokussiert.
Was ist NIS2?
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist ein Gesetz der Europäischen Union, das Mindestanforderungen an die Cybersicherheit für kritische Infrastrukturen in der EU festlegt. Sie ersetzt die ursprüngliche NIS-Richtlinie und tritt am 18. Oktober 2024 in Kraft.
Ziel:
Verbesserung und Harmonisierung der Cybersicherheitsstandards in der EU und Verringerung der Fragmentierung durch die alte NIS-Richtlinie.
Wer ist betroffen?
Organisationen, die alle folgenden Kriterien erfüllen:
- Tätigkeit in der EU
- Mehr als 50 Mitarbeitende und über 10 Mio. € Umsatz
- Zugehörigkeit zu einem kritischen Sektor, z. B.:
- Energie, Transport, Banken, Gesundheit, Wasser
- IKT, digitale Infrastruktur, öffentliche Verwaltung
- Lebensmittel, Chemie, Produktion, Raumfahrt usw.
Einstufung:
- Wesentliche Einrichtungen: Große, besonders relevante Organisationen
- Wichtige Einrichtungen: Mittelgroße, aber dennoch kritische Organisationen
Zentrale Anforderungen:
- Umsetzung von Maßnahmen zum Management von Cybersicherheitsrisiken
- Meldung schwerwiegender Vorfälle an nationale CSIRTs
- Risikomanagement in der Lieferkette
- Verantwortung auf Führungsebene
- Dokumentation und regelmäßige Audits zur Compliance
Meldepflichten:
- Frühwarnung
- Vorfallmeldung
- Zwischen-, Abschluss- und Fortschrittsberichte
Strafen bei Nichteinhaltung:
- Wesentliche Einrichtungen: Bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes
- Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4 % des weltweiten Umsatzes
Haftung der Geschäftsführung:
Führungskräfte haften direkt für die Einhaltung der Cybersicherheitsvorgaben.
Sehen Sie sich unsere Produkte an
Unsere Sicherheitsabdeckungen wurden zur Verbesserung der Netzwerksicherheit entwickelt.
Einzigartiges elektronisches Schlüsselsystem bietet die höchste Sicherheit auf dem Markt.