Referenz6 Antworten
Häufige Fragen, klare Antworten.
NIS2 ist am 17. Oktober 2024 in Kraft getreten. Die Mitgliedstaaten mussten sie bis zu diesem Datum umsetzen. Die nationale Durchsetzung variiert, aber die materiellen Pflichten gelten jetzt für betroffene Einrichtungen.
Wesentliche Einrichtungen arbeiten in den kritischsten Sektoren (Energie, Verkehr, Bankwesen, Gesundheit, öffentliche Verwaltung über bestimmten Schwellen usw.) und unterliegen einer Ex-ante-Aufsicht. Wichtige Einrichtungen unterliegen einer Ex-post-Aufsicht, müssen aber denselben Pflichtensockel nach Artikel 21 erfüllen.
Grundsätzlich gilt NIS2 für mittlere und große Einrichtungen (>50 Beschäftigte oder >10 Mio. € Umsatz) in den abgedeckten Sektoren. Einige Einrichtungen sind unabhängig von ihrer Größe betroffen — DNS-Anbieter, TLD-Registries und bestimmte kritische Anbieter.
Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen, wobei der höhere Wert gilt. Bis zu 7 Mio. € oder 1,4 % für wichtige Einrichtungen. Leitungsorgane können persönlich haftbar gemacht werden.
Nein. NIS2 verlangt nur die Meldung erheblicher Vorfälle — solche, die schwerwiegende Betriebsunterbrechungen oder finanzielle Verluste verursacht haben oder verursachen können oder andere natürliche oder juristische Personen betroffen haben.
Sie überlappen sich, decken aber unterschiedliche Aspekte ab. Die DSGVO schützt personenbezogene Daten. DORA zielt speziell auf den Finanzsektor. Der CRA betrifft Produkte mit digitalen Elementen. NIS2 setzt den Pflichtensockel zur Cybersicherheit für betroffene Organisationen in 18 Sektoren.
Handeln · Selbstcheck starten§ Handeln
Bereit, das in Zahlen zu fassen?
Nehmen Sie die 21-Punkte-Bewertung vor. Score in zwei Minuten. Sie gehen mit einem priorisierten Maßnahmenplan, vorbereitet für die Vorlage im Aufsichtsorgan.