NIS2: alles, was Sie über das Cybersecurity-Gesetz und den Software-Einkauf wissen müssen
NIS2 ist das grösste europäische Cybersicherheitsgesetz seit Jahren. Für Organisationen in kritischen Sektoren ändert sich viel, auch im Bereich Software-Einkauf und Lieferantenmanagement. Das ist alles, was Sie wissen müssen.
- 15. Januar 2025
- 5 Min.
- NIS2 – Cyber-Sicherheitsrichtlinie
Die NIS2-Richtlinie ist das grösste europäische Cybersicherheitsgesetz seit Jahren. Sie ist breit gefasst, streng in der Durchsetzung und direkt relevant für alle, die in einer Organisation für den Software-Einkauf verantwortlich sind. Das müssen Sie wissen.
Was ist NIS2?
NIS2 steht für Network and Information Security Directive 2, den Nachfolger der ursprünglichen NIS-Richtlinie von 2016. Die Richtlinie verpflichtet Organisationen in kritischen Sektoren, ihre digitale Widerstandsfähigkeit strukturell zu stärken. NIS2 tritt europaweit am 17. Oktober 2024 in Kraft. Die schweizerische Umsetzung über das Cybersicherheitsgesetz wird für das zweite Quartal 2026 erwartet.
Für wen gilt NIS2?
NIS2 gilt für Organisationen in 18 kritischen Sektoren, unterteilt in essentielle und wichtige Einheiten. Dazu zählen: Energie, Verkehr, Gesundheitswesen, Wasser, digitale Infrastruktur, Finanzdienstleistungen, Verwaltung und mehr. Auch Lieferanten von Organisationen in diesen Sektoren können indirekt via der Sorgfaltspflicht in der Lieferkette unter das Gesetz fallen.
Was ändert sich im Vergleich zu NIS1?
Die wichtigsten Änderungen:
Breiter Anwendungsbereich: Viele weitere Sektoren und Organisationen fallen nun unter die Richtlinie
Persönliche Haftung: Führungskräfte sind für die Einhaltung verantwortlich und können persönlich haftbar gemacht werden
Höhere Bussen: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes für essentielle Einheiten
Sorgfaltspflicht in der Lieferkette: Organisationen müssen auch die Sicherheit ihrer Lieferanten überwachen
Meldepflicht: Vorfälle müssen innerhalb von 24 Stunden beim CSIRT gemeldet werden
Was bedeutet NIS2 für den Software-Einkauf?
Die Sorgfaltspflicht in der Lieferkette hat die direkteste Auswirkung auf den Software-Einkauf. Organisationen sind verpflichtet:
Eine aktuelle Übersicht aller ICT-Lieferanten und Software zu führen
Vertragliche Sicherheitsvereinbarungen mit allen relevanten Lieferanten zu treffen
Die Sicherheit der Lieferanten periodisch zu bewerten
Vorfall-Eskalationsverfahren mit kritischen Software-Lieferanten zu vereinbaren
Ohne eine strukturierte Software-Übersicht ist NIS2-Compliance nicht möglich. SoftVaro unterstützt Organisationen dabei, diese Übersicht als Ausgangspunkt für die Compliance zu erstellen.
Häufig gestellte Fragen
Die am häufigsten gestellten Fragen zu diesem Thema.
Was hat NIS2 mit dem Software-Einkauf zu tun?
NIS2 verpflichtet Organisationen, eine aktuelle Übersicht aller Software und ICT-Lieferanten zu führen, inklusive vertraglicher Sicherheitsvereinbarungen. Ohne diese Übersicht ist man nicht konform.
Wann tritt NIS2 in der Schweiz in Kraft?
Das Cybersicherheitsgesetz (schweizerische Umsetzung von NIS2) wird im 2. Quartal 2026 erwartet. Organisationen müssen ab Inkrafttreten der Gesetzgebung konform sein.
Welche Bussen drohen bei Nichteinhaltung von NIS2?
Essentielle Einheiten riskieren Bussen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Wichtige Einheiten bis zu 7 Millionen Euro oder 1,4% des Jahresumsatzes. Führungskräfte können persönlich haftbar gemacht werden.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich die besten Konditionen bei über 4'000 Anbietern. Unabhängig, transparent, innert 24 Stunden.