NIS2: alles, was Sie über das Cybersicherheitsgesetz und den Softwareeinkauf wissen müssen
NIS2 ist das grösste europäische Cybersicherheitsgesetz seit Jahren. Für Organisationen in kritischen Branchen ändert sich viel, auch beim Softwareeinkauf und Lieferantenmanagement. Das ist alles, was Sie wissen müssen.
- 15. Januar 2025
- 5 Min.
- NIS2 – Cyber-Sicherheitsrichtlinie
Die NIS2-Richtlinie ist das grösste europäische Cybersicherheitsgesetz seit Jahren. Sie hat einen weiten Geltungsbereich, wird streng durchgesetzt und ist direkt relevant für alle, die in einer Organisation für den Softwareeinkauf verantwortlich sind. Das müssen Sie wissen.
Was ist NIS2?
NIS2 steht für Network and Information Security Directive 2, den Nachfolger der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Die Richtlinie verpflichtet Organisationen in kritischen Branchen, ihre digitale Widerstandsfähigkeit nachhaltig zu stärken. NIS2 tritt in Europa am 17. Oktober 2024 in Kraft. Die Schweizer Umsetzung via Cyber-Sicherheitsgesetz wird für das 2. Quartal 2026 erwartet.
Für wen gilt NIS2?
NIS2 gilt für Organisationen in 18 kritischen Branchen, aufgeteilt in essentielle und wichtige Einheiten. Denken Sie an: Energie, Verkehr, Gesundheitswesen, Wasser, digitale Infrastruktur, Finanzdienstleistungen, öffentliche Verwaltung und mehr. Auch Lieferanten von Organisationen in diesen Branchen können indirekt unter das Gesetz fallen via Kettensorgfaltspflicht.
Was ändert sich gegenüber NIS1?
Die wichtigsten Änderungen:
Grössere Reichweite: Viel mehr Branchen und Organisationen fallen jetzt unter die Richtlinie
Persönliche Haftung: Führungskräfte sind verantwortlich für die Einhaltung und können persönlich haftbar gemacht werden
Höhere Bussgelder: Bis zu €10 Millionen oder 2 % des weltweiten Jahresumsatzes für essentielle Einheiten
Kettensorgfaltspflicht: Organisationen müssen auch die Sicherheit ihrer Lieferanten überprüfen
Meldepflicht: Vorfälle müssen innert 24 Stunden beim CSIRT gemeldet werden
Was bedeutet NIS2 für den Softwareeinkauf?
Die Kettensorgfaltspflicht ist der direkteste Einfluss auf den Softwareeinkauf. Organisationen sind verpflichtet:
eine aktuelle Übersicht aller ICT-Lieferanten und Software zu pflegen
vertragsrechtliche Sicherheitsvereinbarungen mit allen relevanten Lieferanten zu treffen
die Sicherheit der Lieferanten periodisch zu bewerten
Eskaltationsverfahren für Vorfälle mit kritischen Softwarelieferanten zu vereinbaren
Ohne eine strukturierte Softwareübersicht ist NIS2-Compliance nicht erreichbar. SoftVaro hilft Organisationen, diese Übersicht als Startpunkt für die Compliance zu erstellen.
Häufig gestellte Fragen
Die meistgestellten Fragen zu diesem Thema.
Was hat NIS2 mit Softwareeinkauf zu tun?
NIS2 verpflichtet Organisationen, eine aktuelle Übersicht aller Software und ICT-Lieferanten zu führen, inklusive vertragsrechtlicher Sicherheitsvereinbarungen. Ohne diese Übersicht sind Sie nicht compliant.
Wann tritt NIS2 in der Schweiz in Kraft?
Das Cyber-Sicherheitsgesetz (Schweizer Umsetzung von NIS2) wird für das 2. Quartal 2026 erwartet. Organisationen müssen ab Inkrafttreten des Gesetzes sofort compliant sein.
Was sind die Bussgelder bei Nicht-Einhaltung von NIS2?
Essentielle Einheiten riskieren Bussgelder bis zu €10 Millionen oder 2 % des weltweiten Jahresumsatzes. Wichtige Einheiten bis zu €7 Millionen oder 1,4 % des Jahresumsatzes. Führungskräfte können persönlich haftbar gemacht werden.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich die besten Konditionen bei über 4'000 Lieferanten. Unabhängig, transparent, innert 24 Stunden.