NIS2: alles, was Sie über das Cybersicherheitsgesetz und die Softwarebeschaffung wissen müssen
NIS2 ist das umfangreichste europäische Cybersicherheitsgesetz seit Jahren. Für Organisationen in kritischen Sektoren ändert sich viel, auch im Bereich der Softwarebeschaffung und Lieferantenverwaltung. Das ist alles, was Sie wissen müssen.
- 15. Januar 2025
- 5 Min.
- NIS2 – Cyber-Sicherheitsrichtlinie
Die NIS2-Richtlinie ist das umfangreichste europäische Cybersicherheitsgesetz seit Jahren. Sie hat einen weiten Anwendungsbereich, ist streng in der Durchsetzung und direkt relevant für alle, die in einer Organisation für die Softwarebeschaffung verantwortlich sind. Das ist, was Sie wissen müssen.
Was ist NIS2?
NIS2 steht für Network and Information Security Directive 2, den Nachfolger der ursprünglichen NIS-Richtlinie von 2016. Die Richtlinie verpflichtet Organisationen in kritischen Sektoren dazu, ihre digitale Widerstandsfähigkeit systematisch zu stärken. NIS2 tritt europaweit am 17. Oktober 2024 in Kraft. Die niederländische Umsetzung über das Cyber-Sicherheitsgesetz wird für das 2. Quartal 2026 erwartet.
Für wen gilt NIS2?
NIS2 gilt für Organisationen in 18 kritischen Sektoren, unterteilt in essentielle und wichtige Einrichtungen. Dazu gehören beispielsweise: Energie, Verkehr, Gesundheitswesen, Wasser, digitale Infrastruktur, Finanzdienstleistungen, Behörden und mehr. Auch Lieferanten von Organisationen in diesen Sektoren können indirekt durch die Sorgfaltspflicht in der Lieferkette von der Regelung betroffen sein.
Was ändert sich gegenüber NIS1?
Die wichtigsten Änderungen:
Größerer Anwendungsbereich: Viel mehr Sektoren und Organisationen fallen nun unter die Richtlinie
Persönliche Haftung: Führungskräfte sind für die Einhaltung verantwortlich und können persönlich haftbar gemacht werden
Höhere Bußgelder: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für essentielle Einrichtungen
Sorgfaltspflicht in der Lieferkette: Organisationen müssen auch die Sicherheit ihrer Lieferanten überprüfen
Meldepflicht: Zwischenfälle müssen innerhalb von 24 Stunden beim CSIRT gemeldet werden
Was bedeutet NIS2 für die Softwarebeschaffung?
Die Sorgfaltspflicht in der Lieferkette hat die direkteste Auswirkung auf die Softwarebeschaffung. Organisationen sind verpflichtet:
Eine aktuelle Übersicht aller IT-Lieferanten und Software zu führen
Vertragliche Sicherheitsvereinbarungen mit allen relevanten Lieferanten zu treffen
Die Sicherheit der Lieferanten regelmäßig zu bewerten
Verfahren zur Eskalation von Vorfällen mit kritischen Softwarelieferanten zu vereinbaren
Ohne eine strukturierte Softwareübersicht ist die NIS2-Konformität nicht machbar. SoftVaro unterstützt Organisationen dabei, diese Übersicht als Ausgangspunkt für die Compliance zu erstellen.
Häufig gestellte Fragen
Die am häufigsten gestellten Fragen zu diesem Thema.
Was hat NIS2 mit Softwarebeschaffung zu tun?
NIS2 verpflichtet Organisationen, eine aktuelle Übersicht aller Software und IT-Lieferanten zu führen, inklusive vertraglicher Sicherheitsvereinbarungen. Ohne diese Übersicht sind Sie nicht konform.
Wann tritt NIS2 in Deutschland in Kraft?
Das Cyber-Sicherheitsgesetz (deutsche Umsetzung von NIS2) wird im 2. Quartal 2026 erwartet. Organisationen müssen ab Inkrafttreten des Gesetzes sofort konform sein.
Welche Bußgelder drohen bei Nichteinhaltung von NIS2?
Essentielle Einrichtungen riskieren Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 % des Jahresumsatzes. Führungskräfte können persönlich haftbar gemacht werden.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich den besten Deal bei über 4.000 Anbietern. Unabhängig, transparent, innerhalb von 24 Stunden.