NIS2 und für wen es relevant ist

Weil in meinem Netzwerk gerade etwas Panik-Stimmung herrscht wegen NIS2... Calm down!

Für wen ist NIS2 relevant?

Zuerstmal ist NIS2 nur für bestimmte Unternehmen bekannt, nämlich jene aus dem KRITIS-Bereich. Dazu gehören 2 Kategorien / Sektoren:

Essentieller Sektor:

• Energieunternehmen
• Transportunternehmen
• Banken
• Finanzmärkte
• Gesundheitswesen
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• Öffentliche Verwaltung
• Raumfahrt

Wichtiger Sektor:

• Post und Kurierdienste
• Abfallwirtschaft
• Chemikalien
• Ernährung
• Industrie
• Digitale Dienste
• Forschung

Also, liebe Gründer, euren Startups wird das vermutlich erstmal nicht so sehr im Weg stehen, wenn ihr nicht gerade in diesen Sektoren gründet. Zumindest der Bereich "Digitale Dienste" kann aber ja recht breit ausgelegt werden. Aber selbst dann müsst ihr NIS2 erst umsetzen wenn ihr

• eine Größe von 50 bis 250 Mitarbeitern habt und einen jährlichen Umsatz von 10 bis 50 Mio. EUR bzw. eine Bilanzsumme von bis zu 43 Mio. EUR habt.
• eine Größe von 250 Mitarbeitern mit einem Umsatz ≥ 50 Mio. EUR / einer Bilanzsumme ab 43 Mio. EUR habt.

Das dürfte Startups in ihrer Anfangsphase also eher nicht betreffen. Und bei >50 Mitarbeitern sollte man sowieso einen Datenschutzbeauftragten mit im Boot haben.

Was muss da umgesetzt werden?

Das hier im Detail aufzulisten geht sicher etwas zu weit. Aber wenn ihr sowieso bereits ein brauchbares Risiko-Management habt, beispielsweise eines, das sich an ISO 2700x orientiert, seid ihr ziemlich sicher bereits auf der sicheren Seite. Ansonsten lasst euch bitte von euren Datenschutzbeauftragten beraten.

Mein Tipp ist noch immer: Richtet euch vom ersten Tag der Gründung grundlegend an ISO 27001 aus. Dazu könnt ihr das freie Tool Monarc nutzen, mit dem ihr eure Risiken erfassen und entsprechend mit Controls in einem anständigen Rahmen halten könnt.