NIS2: Alles, was Sie über das Cybersicherheitsgesetz und den Softwareeinkauf wissen müssen
NIS2 ist das bedeutendste europäische Cybersicherheitsgesetz seit Jahren. Für Organisationen in kritischen Sektoren ändert sich viel, auch im Bereich Softwareeinkauf und Lieferantenmanagement. Hier erfahren Sie alles, was Sie wissen müssen.
- 15. Januar 2025
- 5 Min.
- NIS2 – Richtlinie zur Cybersicherheit
Die NIS2-Richtlinie ist das umfangreichste europäische Cybersicherheitsgesetz der letzten Jahre. Sie ist breit gefasst, streng in der Durchsetzung und direkt relevant für alle, die für den Softwareeinkauf in einer Organisation verantwortlich sind. Das müssen Sie wissen.
Was ist NIS2?
NIS2 steht für Network and Information Security Directive 2 und ist der Nachfolger der ursprünglichen NIS-Richtlinie von 2016. Die Richtlinie verpflichtet Organisationen in kritischen Sektoren, ihre digitale Widerstandsfähigkeit dauerhaft zu stärken. NIS2 tritt europaweit am 17. Oktober 2024 in Kraft. Die niederländische Umsetzung durch das Cybersecurity-Gesetz wird für das zweite Quartal 2026 erwartet.
Für wen gilt NIS2?
NIS2 gilt für Organisationen in 18 kritischen Sektoren, unterteilt in wesentliche und wichtige Einrichtungen. Dazu zählen beispielsweise Energie, Verkehr, Gesundheitswesen, Wasser, digitale Infrastruktur, Finanzdienstleistungen, Behörden und mehr. Auch Lieferanten von Organisationen in diesen Sektoren können indirekt über die Kettensorgfaltspflicht unter das Gesetz fallen.
Was ändert sich im Vergleich zu NIS1?
Die wichtigsten Änderungen:
Größerer Anwendungsbereich: Viel mehr Sektoren und Organisationen fallen jetzt unter die Richtlinie
Persönliche Haftung: Führungskräfte sind für die Einhaltung verantwortlich und können persönlich haftbar gemacht werden
Höhere Geldstrafen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen
Kettensorgfaltspflicht: Organisationen müssen auch die Sicherheit ihrer Lieferanten überprüfen
Meldepflicht: Vorfälle müssen innerhalb von 24 Stunden beim CSIRT gemeldet werden
Was bedeutet NIS2 für den Softwareeinkauf?
Die Kettensorgfaltspflicht hat die direkteste Auswirkung auf den Softwareeinkauf. Organisationen sind verpflichtet:
Eine aktuelle Übersicht über alle IT-Lieferanten und Software zu führen
Vertragliche Sicherheitsvereinbarungen mit allen relevanten Lieferanten abzuschließen
Die Sicherheit der Lieferanten regelmäßig zu bewerten
Vorfall-Eskalationsverfahren mit kritischen Software-Lieferanten zu vereinbaren
Ohne eine strukturierte Softwareübersicht ist die NIS2-Compliance nicht realisierbar. SoftVaro unterstützt Organisationen dabei, diese Übersicht als Ausgangspunkt für die Compliance zu erstellen.
Häufig gestellte Fragen
Die meistgestellten Fragen zu diesem Thema.
Was hat NIS2 mit dem Softwareeinkauf zu tun?
NIS2 verpflichtet Organisationen, eine aktuelle Übersicht über alle Software und IT-Lieferanten einschließlich vertraglicher Sicherheitsvereinbarungen zu führen. Ohne diese Übersicht sind Sie nicht compliant.
Wann tritt NIS2 in Deutschland in Kraft?
Die Cybersecurity-Gesetzgebung (deutsche Umsetzung von NIS2) wird für das zweite Quartal 2026 erwartet. Organisationen müssen ab Inkrafttreten des Gesetzes sofort compliant sein.
Welche Strafen drohen bei NIS2-Nichteinhaltung?
Wesentliche Einrichtungen riskieren Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes. Führungskräfte können persönlich haftbar gemacht werden.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich den besten Deal bei über 4.000 Anbietern. Unabhängig, transparent, innerhalb von 24 Stunden.