TIS2 – wird es Sie beeinflussen?
Wenn Ihre Tätigkeit mit der Sicherstellung der für die Gesellschaft notwendigen Bedürfnisse verbunden ist, fallen Sie sicherlich in diese Liste. Bitte beachten Sie, dass Unternehmen mit einem Jahresumsatz von mehr als 10 Mio. EUR in die Liste der Richtlinienunternehmer aufgenommen werden.
| Sektor | Klassifizierung | Beispiele |
|---|---|---|
|
Gesundheitssektor
|
Notwendig
|
Behandlungsstellen, Krankenhauslabore
|
|
Digitale Infrastruktur
|
Notwendig
|
Internet, Cloud-Dienstanbieter
|
|
Transport
|
Notwendig
|
Luftverkehrskontrolle, Wasserverkehrskontrolle, Schieneninfrastruktur
|
|
Energie
|
Notwendig
|
Elektrizitäts-, Gas-, Erdölpipeline-Anbieter
|
|
Finanzen
|
Notwendig
|
Banken, Kreditinstitute, Investitionsplattformen
|
|
Anbieter digitaler Dienstleistungen
|
Wichtig
|
E-Commerce-Plattformen im Internet, Cloud-Dienstleister
|
|
Öffentliche Verwaltung
|
Wichtig
|
Staatliche Dienstleistungen
|
|
Produktion
|
Wichtig
|
Medikamente, medizinische Geräte
|
|
Kosmischer Raum
|
Wichtig
|
Satellitenbetreiber
|
|
Essen
|
Wichtig
|
Lebensmittellieferketten
|
|
Post- und Lieferdienste
|
Wichtig
|
Kurierdienste
|
|
Abwasser- und Abfallentsorgung
|
Wichtig
|
Wasserreinigungsanlagen, Abfallentsorgungsdienste
|
|
Anbieter öffentlicher elektronischer Kommunikationsdienste
|
Wichtig
|
Elektronische Plattformen, Kolokationsdienste
|
|
Produktion kritischer Produkte
|
Wichtig
|
Kritische Rohstoffe
|
Wie man sich auf TIS2 vorbereitet / es erfüllt?
MDP CLOUD bietet durchdachte, integrierte und effiziente Lösungen für die Einhaltung von TIS2 an.
Häufig gestellte Fragen zu TIS2
Was ist die TIS2-Richtlinie?
Die TIS2-Richtlinie ist ein Rechtsakt der EU, der darauf abzielt, die Sicherheit von Netzwerken und Informationssystemen in der gesamten Europäischen Union zu verbessern.
Was sind die Hauptanforderungen von TIS2?
Organisationen müssen Maßnahmen zur Cybersicherheit umsetzen, Risikomanagement durchführen, das Incident Management und die Meldung von Vorfällen sicherstellen, regelmäßige Sicherheitsprüfungen durchführen und strenge Anforderungen an die Sicherheit der Lieferkette einhalten.
Wie unterscheidet sich TIS2 von TIS1?
Im Vergleich zu TIS1 erweitert die neue Version der Richtlinie den Kreis der Unternehmen, die ihrer Anwendung unterliegen, erheblich. Neben der Erweiterung kritischer Bereiche wurden auch wichtige Bereiche hinzugefügt. Die Anwendung der Richtlinie auf diese Bereiche wird sich darin äußern, dass Organisationen, die zu kritischen Sektoren gehören, kontinuierlich Nachweise über ihren Cyber-Sicherheitsstatus vorlegen müssen, während wichtige Organisationen im Falle eines Vorfalls überprüft werden.
Kritische Sektororganisationen sind solche, die mehr als 250 Mitarbeiter und einen Jahresumsatz von über 50 Millionen Euro haben; wichtige Organisationen sind solche, die weniger als 50 Mitarbeiter und einen Jahresumsatz von bis zu 10 Millionen Euro haben. Die Kriterien können je nach Sektor variieren. Eine Organisation kann unabhängig von der Größe als kritisch angesehen werden, wenn sie der einzige Anbieter einer kritischen Dienstleistung ist.
Darüber hinaus wird ein Teil der Unternehmen indirekt betroffen sein, da sie als Dienstleister (Dritte) dieser Unternehmen fungieren, bei denen ebenfalls überprüft wird, wie viel Aufmerksamkeit sie der Cyber-Sicherheit schenken.
Für welche Organisationen gilt die TIS2-Richtlinie?
TIS2 gilt für wichtige und wesentliche Dienstleistungsanbieter in verschiedenen Sektoren, einschließlich Energie, Gesundheitswesen, Transport, Finanzen und anderen kritischen Infrastrukturen.
Was passiert, wenn Sie die TIS2-Anforderungen nach dem 18. Oktober 2024 nicht erfüllen?
Wenn Sie keine angemessenen Sicherheitsvorkehrungen treffen, setzen Sie sich der erhöhten Gefahr von Cyberangriffen aus. Solche Angriffe können Ihre Geschäftstätigkeit stören und/oder dem Ruf Ihres Unternehmens schaden.
Darüber hinaus drohen, wenn die notwendigen Veränderungen in der Organisation nicht rechtzeitig umgesetzt werden, Geldstrafen:
- Für Unternehmen und Organisationen im kritischen Sektor können die Geldstrafen bis zu 10.000.000 Eur oder 2% der jährlichen Einnahmen des Vorjahres betragen (die höhere Geldsumme wird gewählt);
- Für Unternehmen und Organisationen im wichtigen Sektor können die Geldstrafen bis zu 7.000.000 Eur oder 1,4% der jährlichen Einnahmen des Vorjahres betragen (die höhere Geldsumme wird gewählt).
Wann tritt die TIS2-Richtlinie in Kraft?
Die TIS2-Richtlinie wurde 2022 genehmigt, und die Mitgliedstaaten sind verpflichtet, sie bis Ende 2024 in ihr nationales Recht umzusetzen.
Wie wirkt sich die TIS2-Richtlinie auf kleine und mittlere Unternehmen (KMU) aus?
Obwohl NIS2 hauptsächlich für wichtige und wesentliche Dienstanbieter gedacht ist, müssen auch bestimmte KMU, insbesondere solche, die in kritischen Infrastrukturen tätig sind oder einen großen Einfluss auf die Cybersicherheit haben, die Anforderungen der Richtlinie erfüllen.
Wie ändern die TIS2-Anforderungen den Umgang mit der Meldung von Cybervorfällen?
Gemäß TIS2 sind Organisationen verpflichtet, unverzüglich über bedeutende Cybervorfälle innerhalb eines bestimmten Zeitraums (in der Regel innerhalb von 24-72 Stunden) zu berichten, einschließlich Informationen über das Ausmaß des Vorfalls und mögliche Auswirkungen.
Gilt die TIS2-Richtlinie nur für EU-Organisationen?
Die TIS2-Richtlinie gilt für alle Organisationen, die wesentliche Dienstleistungen innerhalb der EU erbringen, unabhängig davon, ob sie in der EU ansässig sind oder außerhalb ihrer Grenzen.
Wie wird TIS2 die Sicherheit der Lieferkette beeinflussen?
Die TIS2-Richtlinie verpflichtet Organisationen, die Cybersecurity-Risiken in der Lieferkette zu bewerten und zu verwalten, einschließlich der Anforderung, sicherzustellen, dass ihre Lieferanten ähnliche Sicherheitsstandards einhalten.
Wie hängt die TIS2-Richtlinie mit der GDPR zusammen?
Obwohl die TIS2- und die GDPR-Richtlinien unterschiedliche Ziele verfolgen (TIS2 ist auf Cybersicherheit ausgerichtet, während GDPR dem Datenschutz dient), sind sie eng miteinander verbunden, da beide ein hohes Schutzniveau und die Meldung von Vorfällen erfordern.
Was sollten Organisationen tun, wenn ein Cybervorfall eintritt?
Organisationen müssen unverzüglich den zuständigen Behörden über den Vorfall berichten, den Vorfallmanagementplan umsetzen und Maßnahmen ergreifen, um die Auswirkungen zu verringern und ähnlichen Ereignissen in der Zukunft vorzubeugen.
Kunden
