• Der NIS-2-Congress trägt dazu bei, Deutschland durch vielfältige Dialoge zu einer Cybernation zu machen.
• Der NIS-2-Congress fördert “IT-Security-Talente” und trägt dazu bei, dass sie Cyber-Sicherheit in Deutschland auch als Gemeinschaftsaufgabe begreifen.
• Der Initiator und der Congress-Beirat garantieren, dass der NIS-2-Congress eine Non-Profit-Veranstaltung ist.

Auf dem NIS-2-Congress erwarten Sie exklusive Keynotes und Vorträge, Workshops, Schulungen, Podiumsdiskussionen, Round Table und Areas für persönliche Gespräche mit Referenten, Ministerien, Verbänden und IT-Sicherheitsexperten.

Zudem gibt es diverse Fachaussteller aus IT-Security Branche, Ministerien, Behörden und Verbänden.

Zu den Teilnehmenden zählen insbesondere IT-Security Experten, Fachkräfte, Informationssicherheits-Beauftragte (ISB), Compliance Officer, Auditoren, Geschäftsführende, Vorstände, CTO / IT-Leitende, CIO / CISO

Der NIS-2-Congress findet am Mittwoch und Donnerstag, den 10. und 11. Juli 2024, in Stuttgart am Flughafen im Mövenpick Hotel Stuttgart Airport statt.

Die Richtlinie NIS 2 (Network and Information Systems Security Directive 2) betrifft eine Vielzahl von Unternehmen und Organisationen in der Europäischen Union. Sie erweitert den Anwendungsbereich der vorherigen NIS-Richtlinie und bezieht sich insbesondere auf Betreiber wesentlicher Dienste (Operators of Essential Services, OES) und Anbieter digitaler Dienste (Digital Service Providers, DSP), aber auch auf andere Sektoren und Arten von Einrichtungen. Auch Betreiber wichtiger Dienste sind betroffen, nur eben mit weniger Geldstrafen und nicht proaktiver-Form der Aufsicht. Ziel der Richtlinie ist die Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU.

Welche Unternehmen sind von NIS-2 betroffen?

• Betreiber wesentlicher Dienste (OES): Dazu gehören Unternehmen aus kritischen Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur. Diese Unternehmen sind oft so wichtig, dass ihre Beeinträchtigung oder ihr Ausfall erhebliche negative Auswirkungen auf die nationale Sicherheit, das Wirtschaftsleben, die öffentliche Sicherheit oder die Gesundheit der Bürger haben könnte.
• Anbieter digitaler Dienste (DSPs): Zu den DSPs gehören Cloud-Computing-Dienste, Online-Marktplätze und Suchmaschinen. Diese Unternehmen spielen eine zentrale Rolle in der digitalen Wirtschaft und sind häufig global und grenzüberschreitend tätig.
• Öffentliche Verwaltung: Teile der NIS 2-Richtlinie könnten auch für Behörden gelten, insbesondere für solche, die kritische Dienste anbieten oder verwalten.
• Lieferketten: Unternehmen, die als wesentlicher Teil der Lieferkette für OES oder DSP fungieren, auch wenn sie selbst nicht direkt als solche klassifiziert sind, da Sicherheitsvorfälle in der Lieferkette die Sicherheit und Belastbarkeit von OES und DSP beeinträchtigen können.

Warum ist NIS-2 für diese Unternehmen relevant?

• Sicherheit und Widerstandsfähigkeit: Diese Unternehmen sind aufgrund ihrer Bedeutung und des potenziellen Schadens, den ein erfolgreicher Angriff verursachen kann, häufig Ziel von Cyber-Angriffen.
• Vertrauen und Stabilität: Die Stabilität und Verlässlichkeit von OES und DSPs sind entscheidend für das Vertrauen der Öffentlichkeit und die Stabilität von Gesellschaft und Wirtschaft.
• Wirtschaftliche Auswirkungen: Zwischenfälle in diesen Bereichen können schwerwiegende wirtschaftliche Folgen haben, einschließlich Störungen des Binnenmarktes oder erheblicher finanzieller Verluste.
• Gesellschaftliche Auswirkungen: Ein Ausfall oder eine Beeinträchtigung kann weitreichende Folgen für das tägliche Leben haben, z. B. für die Gesundheitsversorgung oder die Energieversorgung.
• Einhaltung und rechtliche Folgen: Die Nichteinhaltung der NIS-2-Anforderungen kann zu rechtlichen Konsequenzen, Bußgeldern und Reputationsschäden führen.

Die Hauptziele der NIS-2-Richtlinie umfassen

• Erweiterung des Geltungsbereichs: Die NIS2-Richtlinie erweitert den Geltungsbereich über kritische Infrastrukturen hinaus auf ein breiteres Spektrum von Sektoren und Dienstleistungen. Dazu gehören wichtige öffentliche und private Organisationen und Anbieter von kritischen Diensten wie Energie, Verkehr, Bankwesen, Gesundheitswesen, digitale Infrastruktur, öffentliche Verwaltung und Weltraum. Auch digitale Dienste wie Cloud-Computing-Plattformen, soziale Netzwerke und Datenverarbeitungsdienste werden erfasst.
• Verschärfung der Sicherheitsanforderungen: Die Richtlinie sieht vor, dass die betroffenen Organisationen geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Dies beinhaltet auch die Notwendigkeit, Risiken zu bewerten und Maßnahmen zur Verhütung und Minderung dieser Risiken zu ergreifen.
• Verbesserte Berichterstattung über Sicherheitsvorfälle: Die NIS 2-Richtlinie verschärft die Anforderungen an Organisationen, erhebliche Sicherheitsvorfälle zu melden. Dies soll eine schnelle und koordinierte Reaktion auf Zwischenfälle ermöglichen und dazu beitragen, die Auswirkungen von Zwischenfällen auf die öffentliche Sicherheit und die Wirtschaft zu minimieren.
• Förderung der nationalen und EU-weiten Zusammenarbeit: Die Richtlinie zielt darauf ab, die Zusammenarbeit zwischen den Mitgliedstaaten zu verbessern, einschließlich des Austauschs von Informationen über Bedrohungen und Zwischenfälle. Dazu gehört auch die Stärkung der Rolle des EU-Cybersicherheitszentrums.
• Sicherheits- und Belastbarkeitsstandards für Lieferketten und Beziehungen zu Drittanbietern: Die NIS 2-Richtlinie betont die Bedeutung der Sicherheit in der Lieferkette und fordert Organisationen auf, ihre Lieferanten und Partner sorgfältig zu bewerten und sicherzustellen, dass diese ebenfalls angemessene Sicherheitsmaßnahmen ergreifen.
• Strengere Durchsetzung und Sanktionen: Die Richtlinie sieht strengere Durchsetzungsmechanismen und höhere Strafen bei Nichteinhaltung vor, um die Einhaltung der Sicherheitsstandards zu gewährleisten. Es haften die Geschäftsführer für den möglichen entstehenden Schaden. Sanktionen werden damit auf eine persönliche Ebene gehoben.
  Hypothetische Beispiele: Lösegeldzahlungen, entstanden durch Ransomware-Angriffe, wenn die Geschäftsleitung ihren Pflichten nicht nachgekommen ist. Aber auch Bußgelder, etc.
• Fokus auf Innovation und Technologieentwicklung: Die NIS 2-Richtlinie erkennt die Bedeutung der Anpassung an neue Technologien und die sich ständig weiterentwickelnde Cyber-Bedrohungslandschaft an. Sie fördert die Entwicklung und Anwendung innovativer Sicherheitstechnologien und -praktiken.

Die NIS-2-Richtlinie zielt darauf ab, das Sicherheitsniveau in der gesamten EU zu erhöhen, die Widerstandsfähigkeit gegen Cyber-Bedrohungen zu stärken und einen einheitlichen Ansatz zur Cyber-Sicherheit in verschiedenen Sektoren und Ländern zu fördern.

Das NIS 2-Gesetz, eine Erweiterung und Aktualisierung der ursprünglichen NIS-Richtlinie (Network and Information Systems Directive), bringt einige wichtige Änderungen und Anforderungen für Organisationen im Bereich der Cybersicherheit mit sich. Die notwendigen Änderungen umfassen

• Erweiterter Anwendungsbereich: Das NIS 2-Gesetz erweitert den Anwendungsbereich auf weitere Sektoren und Unternehmenstypen. Dazu gehören nun auch kleinere Organisationen und Unternehmen, die wichtige Dienste anbieten, sowie digitale Dienstleister wie soziale Netzwerke und Cloud-Dienste.
• Verschärfte Sicherheitsanforderungen: Unternehmen müssen strengere und umfassendere Sicherheitsmaßnahmen umsetzen, um den erhöhten Anforderungen der Richtlinie gerecht zu werden. Dazu gehören ein verbessertes Risikomanagement und die Umsetzung von Maßnahmen zur Prävention, Erkennung und Reaktion auf Cyberangriffe.
• Verbesserte Meldepflichten für Sicherheitsvorfälle: Organisationen müssen ihre Fähigkeit verbessern, Sicherheitsvorfälle zu erkennen und zu melden. Die Anforderungen an die Meldung von Sicherheitsvorfällen werden verschärft, um eine schnelle und effektive Reaktion zu ermöglichen.
• Sicherheitsanforderungen für die Lieferkette: Organisationen müssen ihre Lieferkette auf potenzielle Sicherheitsrisiken überprüfen und sicherstellen, dass ihre Lieferanten und Partner angemessene Sicherheitsstandards einhalten.
• Stärkere Aufsicht und Durchsetzung: Das NIS 2-Gesetz erweitert die Befugnisse der nationalen Aufsichtsbehörden. Unternehmen müssen sich auf strengere Kontrollen und möglicherweise höhere Strafen bei Verstößen einstellen.
• Förderung der nationalen und EU-weiten Zusammenarbeit: Das Gesetz fördert eine verstärkte Zusammenarbeit zwischen den Mitgliedstaaten und innerhalb der EU, um den Austausch von Informationen über Bedrohungen und bewährte Verfahren zu erleichtern.
• Anpassung an technologische Entwicklungen: Unternehmen müssen ihre Cybersicherheitsstrategien kontinuierlich an neue Technologien und die sich verändernde Bedrohungslandschaft anpassen. Dies kann die Einführung neuer Technologien, Schulungen und die Anpassung bestehender Prozesse umfassen.
• Aufbau von Kapazitäten und Sensibilisierung: Organisationen müssen in die Schulung ihrer Mitarbeiter investieren und das Bewusstsein für Cybersicherheit schärfen, um sicherzustellen, dass alle Beteiligten die Bedeutung von Cybersicherheit verstehen und entsprechend handeln.

Diese Änderungen spiegeln das wachsende Bewusstsein für die Bedeutung der Cybersicherheit in einer zunehmend digitalisierten Welt wider und zielen darauf ab, ein höheres Schutzniveau für Netze und Informationssysteme in der EU zu erreichen.

Die „NIS2 Richtlinie“ der Europäischen Union muss bis zum 18. Oktober 2024 in Deutschland in nationales Recht umgesetzt werden. Diese Richtlinie, offiziell als Richtlinie (EU) 2022/2555 bekannt, zielt darauf ab, ein höheres Niveau der Cyber-Sicherheit innerhalb der EU zu etablieren und umfasst strengere Anforderungen als die vorherige NIS-Richtlinie.