NIS2 Compliance
NIS2 (Network and Information Security Directive 2) ist die seit Oktober 2024 in der EU verpflichtende Cybersecurity-Direktive fuer "wesentliche" und "wichtige" Einrichtungen. Sie erweitert NIS1 um neue Sektoren (Energie, Gesundheit, Transport, kritische Lieferketten), verpflichtet zu Risikomanagement, Incident-Reporting binnen 24/72 Stunden und macht Geschaeftsleitung persoenlich haftbar.
NIS2 verpflichtet betroffene Unternehmen zu zehn Mindest-Cybersecurity-Massnahmen: Risikoanalyse-Policy, Incident-Handling, Business Continuity, Supply-Chain-Security, Vulnerability-Management, Cybersecurity-Awareness-Trainings, Verschluesselung, Zugriffskontrolle, Asset-Management und Multi-Faktor-Authentifizierung. Reporting-Fristen: Erst-Notification 24h, ausfuehrliche Meldung 72h, Final Report 30 Tage nach dem Vorfall. In Deutschland setzt das NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstaerkungsgesetz) die Direktive um. Sanktionen: bis zu 10 Mio EUR oder 2% des globalen Umsatzes fuer "wesentliche" Einrichtungen.