Adding Value Consulting

Kostenloses ITIL4-Webinar 26. Sep, 12:30 CEST. Registrieren Sie sich auf unserer Startseite!

NIS2 und der Weg zu stärkerer Cybersicherheit in Schweden und der EU

Dieser Artikel erläutert die NIS2-Richtlinie der EU, was sie für schwedische Organisationen bedeutet und wie man sich auf die neuen Cybersicherheitsanforderungen vorbereiten kann. Erfahren Sie mehr über wesentliche Verpflichtungen, Berichtsfristen, Managementverantwortlichkeiten und wie Schulungen Ihrem Team helfen können, die Einhaltung zu erreichen und Widerstandsfähigkeit aufzubauen.

NIS2 und der Weg zu stärkerer Cybersicherheit in Schweden und der EU

Inhaltsverzeichnis

  • Einführung

  • Von NIS zu NIS2 – warum eine Aktualisierung?

  • Wer fällt unter die NIS2-Richtlinie?

  • Wesentliche Anforderungen in NIS2

  • Wie werden schwedische Unternehmen und Organisationen betroffen sein?

  • Möglichkeiten mit NIS2

  • Herausforderungen auf dem Weg

  • Was sollten Unternehmen jetzt tun?

  • Empfohlene Kurse bei AVC

  • Fazit

Einführung

Die Digitalisierung durchdringt weiterhin alle Bereiche der Gesellschaft. Geschäftsmodelle, kritische gesellschaftliche Funktionen und der Alltag der Bürger basieren zunehmend auf digitaler Infrastruktur. Diese Entwicklung geht jedoch mit einem starken Anstieg der Anfälligkeit für Cyberangriffe, Datenverletzungen und andere IT-bezogene Vorfälle einher. Um die digitale Widerstandsfähigkeit ihrer Mitgliedstaaten zu stärken, hat die EU einen neuen Rahmen eingeführt: die NIS2-Richtlinie

Since October 17, 2024, NIS2 has been part of Swedish law, introducing major new requirements for businesses and public organizations. Here we outline what the directive means, why it is important, and how to prepare in practice.

Von NIS zu NIS2 – warum eine Aktualisierung?

Die erste NIS-Richtlinie (2016) war der erste gemeinsame Rahmen der EU für Cybersicherheit. Ihr Zweck war es sicherzustellen, dass Betreiber wesentlicher Dienste und Anbieter digitaler Dienste ein grundlegendes Sicherheitsniveau hatten und dass schwerwiegende Vorfälle gemeldet wurden.

Trotzdem hat die Anzahl der Cyber-Bedrohungen in den letzten Jahren dramatisch zugenommen: Ransomware-Angriffe, staatlich geförderte Cyberkriege, Angriffe auf die Lieferkette und Sabotageakte gegen kritische Infrastrukturen. NIS1 wurde nicht mehr als ausreichend erachtet.

NIS2 zielt daher darauf ab:

  • Decken Sie mehr Sektoren und Unternehmen ab – nicht nur die wichtigsten gesellschaftlichen Funktionen.
  • Erhöhen Sie die Anforderungen an das Risikomanagement, Sicherheitsmaßnahmen und die Berichterstattung von Vorfällen.
  • Create a more uniform application throughout the EU, so that the level of security does not vary between member states.
  • Geben Sie den Behörden mehr Befugnisse zur Überwachung und Eingriff bei Nichteinhaltung.

Wer fällt unter die NIS2-Richtlinie?

Einer der bedeutendsten Änderungen ist, dass die Richtlinie den Anwendungsbereich auf mehr Betroffene ausweitet. NIS1 galt hauptsächlich für Energie, Verkehr, Finanzen, Gesundheitswesen und digitale Infrastruktur.

NIS2 fügt weitere Sektoren hinzu, einschließlich:

  • Öffentliche Verwaltung
  • Abfall- und Abwassermanagement
  • Lebensmittelproduktion und -verteilung
  • Herstellung bestimmter kritischer Produkte (z. B. Medizinprodukte, Pharmazeutika, Chemikalien, Elektronik)
  • Anbieter von IT- und Cybersicherheitsdiensten

Ein weiterer wichtiger Unterschied besteht darin, dass die Richtlinie alle mittelgroßen und großen Unternehmen in den festgelegten Sektoren umfasst. Kleine Unternehmen (weniger als 50 Mitarbeiter und weniger als 10 Millionen Euro Umsatz) sind im Allgemeinen ausgenommen, können jedoch einbezogen werden, wenn sie als besonders kritisch betrachtet werden.

Für Schweden bedeutet dies, dass deutlich mehr Organisationen als zuvor – sowohl öffentliche als auch private – die Anforderungen erfüllen müssen.

Wesentliche Anforderungen in NIS2

NIS2 legt den betroffenen Parteien eine Reihe spezifischer Verpflichtungen auf. Die wichtigsten davon sind unten aufgeführt:

1. Sicherheitsmaßnahmen

Organisationen müssen sowohl technische als auch organisatorische Maßnahmen ergreifen, um Risiken zu verwalten. Dazu können gehören:

  • Cybersicherheits-Governance und Risikomanagement auf Managementebene.
  • Maßnahmen zur Vorbeugung, Erkennung und Bewältigung von Vorfällen.
  • Sicherheit in Lieferketten.
  • Sicherheit in Netzwerken und Systemen, einschließlich Verschlüsselung und Multi-Faktor-Authentifizierung.
  • Kontinuitäts- und Wiederherstellungspläne für den Fall von Störungen.

2. Vorfallberichterstattung

NIS2 verschärft die Meldepflichten:

  • Frühwarnmeldung innerhalb von 24 Stunden nach Erkennung eines Vorfalls.
  • Detaillierter Bericht innerhalb von 72 Stunden.
  • Ein abschließender Bericht muss innerhalb eines Monats nach dem Vorfall eingereicht werden.

Das bedeutet, dass Organisationen Verfahren für schnelle interne Berichterstattung, Analyse und Kommunikation mit den Behörden etablieren müssen.

3. Verantwortung des Managements

Eine wesentliche Änderung ist, dass die Unternehmensführung und die Vorstände ausdrücklich dafür verantwortlich gemacht werden, sicherzustellen, dass die Organisation die Anforderungen erfüllt. Sie müssen:

  • Genehmigen Sie die Sicherheitsmaßnahmen.
  • Nehmen Sie an einer Cybersicherheitsschulung teil.
  • Für schwerwiegende Mängel persönlich zur Verantwortung gezogen werden.

4. Regulierungsbehörden und Sanktionen

Jeder Mitgliedstaat benennt Aufsichtsbehörden mit der Befugnis zu:

  • Führen Sie Audits und Inspektionen durch.
  • Fordern Sie Informationen und Nachweise zur Einhaltung an.
  • Bindungsanweisungen erteilen.
  • Verhängen Sie Bußgelder bei Nichteinhaltung.

Das Ausmaß der Sanktionen ist hoch – bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes für die schwerwiegendsten Verstöße.

Wie werden schwedische Unternehmen und Organisationen betroffen sein?

In Schweden wird derzeit an der Entwicklung eines neuen Gesetzes für Cybersicherheit gearbeitet, um das vorherige NIS-Gesetz zu ersetzen. Es wird erwartet, dass es spätestens im Herbst 2024 in Kraft tritt.

Für schwedische Schauspieler bedeutet dies, dass sie folgendes tun müssen:

  • Bestimmen Sie, ob sie abgedeckt sind
    • Organisationen müssen feststellen, ob sie zu den Sektoren und Größenklassen gehören, die unter NIS2 fallen.

  • Stärkung der Steuerung und Verwaltung
    • Das Management muss in Cybersicherheit geschult werden und das Thema in das Gesamtrisikomanagement der Organisation integrieren.
  • Führen Sie Lückenanalysen durch
    • Wie gut erfüllen die aktuellen Sicherheitsmaßnahmen die Anforderungen der NIS2? Wo liegen die Lücken?
  • Erstellen Sie robuste Verfahren zur Vorfallberichterstattung
    • Prozesse sind erforderlich, um Vorfälle zeitnah zu erkennen, zu analysieren und zu melden.
  • Sichern Sie die Lieferkette
    • Da viele Cyberbedrohungen über Subunternehmer verbreitet werden, müssen Organisationen auch Anforderungen an ihre Partner stellen.

Möglichkeiten mit NIS2

Es ist einfach, NIS2 nur als Belastung mit erhöhten Kosten und mehr Verwaltungsaufwand zu betrachten. Aber die Richtlinie kann auch als Chance gesehen werden:

  • Erhöhte Wettbewerbsfähigkeit: Unternehmen, die eine hohe Cybersicherheit nachweisen können, werden für Kunden und Partner attraktiver.
  • Gestärktes Vertrauen: Die Gewährleistung einer sicheren Verarbeitung von Daten und Systemen schafft Vertrauen.
  • Verbesserte Widerstandsfähigkeit: Investitionen in Sicherheit verringern das Risiko kostspieliger Unterbrechungen, Datenverletzungen und Schäden an der Marke.
  • Standardisierung: Durch die Harmonisierung der Regeln bietet die EU Unternehmen, die in mehreren Ländern tätig sind, ein klareres und einheitlicheres Spielfeld.

Herausforderungen auf dem Weg

Allerdings gibt es echte Herausforderungen:

  • Komplexität: Viele Organisationen haben heutzutage kein klares Bild ihrer digitalen Vermögenswerte und Risiken.
  • Fachkräftemangel: Experten für Cybersicherheit sind sowohl im privaten als auch im öffentlichen Sektor knapp.
  • Kosten: Investitionen in Systeme, Prozesse und Schulungen können erheblich sein, insbesondere für mittelständische Unternehmen.
  • Kulturwandel: Cybersicherheit muss zu einem selbstverständlichen Teil der gesamten Organisation werden – nicht nur zur Verantwortung der IT-Abteilung.

Was sollten Unternehmen jetzt tun?

Um gut auf NIS2 vorbereitet zu sein, sollten schwedische Unternehmen und Organisationen bereits Folgendes tun:

  • Bilden Sie eine Projektgruppe, die für die NIS2-Konformität verantwortlich ist.
  • Schulen Sie den Vorstand und das Management in den neuen Anforderungen und Risiken.
  • Führen Sie eine Statusanalyse der Informationssicherheit und des Risikomanagements durch.
  • Führen Sie Verfahren für das Incident-Management ein und üben Sie Szenarien.
  • Binden Sie Lieferanten ein und stellen Sie sicher, dass sie angemessene Sicherheitsanforderungen erfüllen.

Empfohlene Kurse bei AVC

Um Ihrer Organisation dabei zu helfen, die neuen NIS2-Anforderungen zu erfüllen, empfehlen wir zwei maßgeschneiderte E-Learning-Programme:

  • SecurityLearn® NIS2 Essentials – Ein E-Learning-Kurs, der ein grundlegendes Verständnis für Cybersicherheitsrisiken und die Einhaltungspflichten gemäß Artikel 20 der NIS2-Richtlinie vermittelt. Entwickelt für nicht-technisches Personal, fördert er das Bewusstsein und unterstützt eine Kultur der Sicherheit in der gesamten Organisation.
  • Zertifizierter NIS2 (CNIS2) – Ein E-Learning-Kurs für Manager, Spezialisten und Fachleute, die für die Implementierung und Aufrechterhaltung der NIS2-Konformität verantwortlich sind. Diese fortgeschrittene Schulung schließt die Lücke zwischen den besten Praktiken der Cybersicherheit und der organisatorischen Steuerung und vermittelt den Teilnehmern die Fähigkeiten, Risiken zu managen, Vorfälle zu adressieren und die Einhaltung zu gewährleisten.

Beide Kurse werden online auf Englisch durchgeführt und beinhalten ein Zertifikat. Sie vermitteln das Wissen und die Werkzeuge, die Sie benötigen, um die Anforderungen der neuen Richtlinie zu erfüllen.

Fazit

NIS2 markiert eine neue Ära für die Cybersicherheit in Europa. Während sich die DSGVO auf den Datenschutz und die Privatsphäre von Einzelpersonen konzentrierte, fokussiert sich NIS2 auf Robustheit und Resilienz in der gesamten digitalen Infrastruktur.

Für schwedische Unternehmen und Organisationen ist die Botschaft klar: Cybersicherheit ist längst keine Angelegenheit mehr nur für Spezialisten in der IT-Abteilung – es ist eine strategische Managementaufgabe mit rechtlichen, finanziellen und Vertrauensimplikationen.

Das Warten darauf, dass das neue Gesetz in Kraft tritt, kann kostspielig sein. Aber rechtzeitig zu handeln, kann den Unterschied ausmachen, ob man NIS2 als schwere regulatorische Last sieht – oder als Chance, das eigene Geschäft für die Zukunft zu stärken.


Quellen

  • Die Regierung. Neue Vorschriften zur Cybersicherheit SOU 2024:18 – Teilbericht der Untersuchung zur Umsetzung der NIS2- und CER-Richtlinien. Stockholm: Schwedische staatliche Untersuchungen, 05. März 2024. regeringen.se
  • Europäische Kommission. Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Niveau der Cybersicherheit in der Union (NIS2-Richtlinie). Amtsblatt der Europäischen Union, 27. Dezember 2022. eur-lex.europa.eu
  • ENISA – Europäische Agentur für Cybersicherheit. NIS2-Richtlinie: Überblick und wichtige Ressourcen. enisa.europa.eu

You also could like

Prompt Engineering: Wie KI-Fähigkeiten Effizienz und Wachstum antreiben

19 Aug, 2025

Prompt Engineering: Wie KI-Fähigkeiten Effizienz und Wachstum antreiben

Von der Automatisierung des Kundensupports bis hin zur Unterstützung intelligenterer Entscheidungen und Produktinnovationen ist effektives Prompt Engineering zu einer entscheidenden Fähigkeit für Fachleute in verschiedenen Branchen geworden. In diesem Artikel erläutern wir, was Prompt Engineering ist, wie es moderne Geschäftspraktiken neu gestaltet und welche Herausforderungen es lösen hilft.
Dein Job wird nicht verschwinden, aber er wird sich mit KI verändern

29 Jul, 2025

Dein Job wird nicht verschwinden, aber er wird sich mit KI verändern

Entdecken Sie, wie KI-Zertifizierungen, die auf beruflichen Rollen basieren, die berufliche Entwicklung in verschiedenen Sektoren transformieren. Dieser Beitrag untersucht, warum allgemeine KI-Trainings nicht ausreichen und wie maßgeschneiderte, berufsspezifische Programme Marketingspezialisten, HR-Führungskräfte, Verkaufsteams, Manager und andere dabei unterstützen, KI effektiv in ihrer täglichen Arbeit anzuwenden.
PRINCE2-Prognostizierung: Warum sie zu kurz greift – und wie EVS das beheben kann

15 May, 2025

PRINCE2-Prognostizierung: Warum sie zu kurz greift – und wie EVS das beheben kann

Erfahren Sie, wie Sie das Prinzip „Management by Exception“ von PRINCE2 in greifbare Projektprognosen umsetzen können. Dieser Beitrag stellt die Earned Value Schedule (EVS) vor – ein einfaches, praktisches Werkzeug, das eine wesentliche Lücke in PRINCE2 schließt und Projektmanagern hilft, Fortschritt, Kosten und Leistung klar zu verfolgen.
KI vs. maschinelles Lernen vs. tiefes Lernen: Verständnis der Schlüsselunterschiede

17 Apr, 2025

KI vs. maschinelles Lernen vs. tiefes Lernen: Verständnis der Schlüsselunterschiede

In diesem Blogbeitrag untersuchen wir die wesentlichen Unterschiede zwischen Künstlicher Intelligenz (KI), maschinellem Lernen (ML) und tiefem Lernen (DL) und konzentrieren uns darauf, wie diese Technologien moderne Geschäftspraktiken prägen.
View More (26)