Zum Inhalt springen
NeoGuard

NIS2

NIS2 (Richtlinie (EU) 2022/2555) ist die EU-Richtlinie für ein einheitlich hohes Cybersicherheitsniveau. Sie kann auch Schweizer Unternehmen betreffen, wenn diese eine EU-Niederlassung haben oder als Zulieferer in der Lieferkette eines regulierten EU-Unternehmens stehen.

NIS2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit und löst die erste NIS-Richtlinie von 2016 ab. Sie verpflichtet Unternehmen in 18 als kritisch eingestuften Sektoren zu Cybersicherheitsmassnahmen und einheitlichen Meldepflichten. Hinweis: Dieser Artikel ist eine vereinfachte Orientierung und keine Rechtsberatung.

Wann betrifft NIS2 ein Schweizer Unternehmen?

Da die Schweiz nicht Teil der EU ist, gilt NIS2 nicht direkt für Unternehmen mit Sitz in der Schweiz. Betroffen sind sie dennoch, wenn sie eine Niederlassung in der EU betreiben oder als Zulieferer in der Lieferkette eines NIS2-regulierten EU-Unternehmens stehen. Regulierte Betreiber müssen nämlich die Sicherheit ihrer Dienstleister berücksichtigen und geben die Anforderungen oft vertraglich weiter (BSI).

Welche Pflichten bringt NIS2 mit sich?

NIS2 verlangt angemessene Massnahmen für das Risikomanagement, darunter Zugriffskontrolle, Verschlüsselung, Lieferkettensicherheit und Notfallpläne. Für bedeutende Sicherheitsvorfälle gilt zudem ein gestuftes Meldesystem: eine Frühwarnung innerhalb von 24 Stunden, eine genauere Meldung innerhalb von 72 Stunden und ein Schlussbericht innerhalb eines Monats (Richtlinie (EU) 2022/2555).

Welche Sanktionen drohen?

NIS2 unterscheidet zwischen «wesentlichen» und «wichtigen» Einrichtungen (BSI). Für wesentliche Einrichtungen sind Bussen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes vorgesehen, für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 % (Richtlinie (EU) 2022/2555).

Quellen

Verwandte Begriffe

DSGVO (Datenschutz-Grundverordnung)nDSG (Neues Datenschutzgesetz)BACS (Bundesamt für Cybersicherheit)