NIS2 Compliance
NIS2 (Network and Information Security Directive 2) is the EU cybersecurity directive mandatory since October 2024 for "essential" and "important" entities. It extends NIS1 with new sectors (energy, health, transport, critical supply chains), mandates risk management, requires incident reporting within 24/72 hours and makes management personally liable.
NIS2 verpflichtet betroffene Unternehmen zu zehn Mindest-Cybersecurity-Massnahmen: Risikoanalyse-Policy, Incident-Handling, Business Continuity, Supply-Chain-Security, Vulnerability-Management, Cybersecurity-Awareness-Trainings, Verschluesselung, Zugriffskontrolle, Asset-Management und Multi-Faktor-Authentifizierung. Reporting-Fristen: Erst-Notification 24h, ausfuehrliche Meldung 72h, Final Report 30 Tage nach dem Vorfall. In Deutschland setzt das NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstaerkungsgesetz) die Direktive um. Sanktionen: bis zu 10 Mio EUR oder 2% des globalen Umsatzes fuer "wesentliche" Einrichtungen.