The new NIS-2 directive

Network and information security policy

EU legislation: Cybersecurity

Getting ready for the NIS-2 Directive

What is the NIS-2 Directive?

The NIS-2 Directive is EU-wide legislation on network and information security. The aim is to strengthen the cyber security of companies and ensure a uniformly high level of security in the EU. Each company is responsible for assessing whether it is affected by the Network and Information Security Directive (NIS-2 for short). The type of business activity in the EU is the decisive factor. A total of 18 sectors are affected by the NIS-2 Directive. It actually has its origins in the NIS Directive (Network and Information Security Directive), which was introduced in 2016. The NIS-2 Directive came into force on January 16, 2023 and must be implemented by the EU by October 17, 2024 and must be transposed into national law by the EU member states. What has changed compared to the NIS Directive? With the introduction of NIS-2 Directive

  • the scope of application has been extended to numerous additional sectors,
  • stricter safety requirements have been introduced,
  • established stricter liability regulations for the management and
  • higher penalties introduced for non-compliance.

What is the purpose of the NIS-2 Directive?

Our world is changing and becoming increasingly digital – devices and systems are becoming more intelligent and increasingly networked. This advancing digitalization not only brings immense benefits and opportunities, but also growing risks and challenges in the area of cyber security. In view of these risks, security measures are becoming increasingly important. The NIS-2 Directive will ultimately encourage companies to take action against cyber threats in order to improve the level of security in EU member states and ensure the protection of critical infrastructure and sensitive data.

Regulatory Compliance
What costs are involved?

Essential facilities

Essential facilities

Fines of up to EUR 10 million or 2% of the previous year’s total worldwide turnover of the company to which the organization belongs. The company management is held responsible for any violations and is therefore liable. Delegation is not possible in full, so the rule is “you get what you pay for”.

Important facilities

Important facilities

Fines of up to EUR 7.5 million or 1.4% of the previous year’s total global turnover of the company to which the entity belongs The company management is held responsible for any violations and is therefore liable. Delegation is not possible in full, so the rule is “you get what you pay for”.

Am I affected?

These companies urgently need to prepare

What does this mean for your company?

The directive affects companies and organizations associated with the KRITIS sector, i.e. those that play a significant role in society and the economy, but also companies that are involved in the supply chain of critical actors, for example. The future relevance of the NIS-2 Directive for many small and medium-sized enterprises (SMEs) results from the requirement that companies and organizations with at least 50 employees or an annual turnover of at least 10 million euros must also comply with the Directive. If your company is affected by the NIS-2 Directive, you are obliged to implement and regularly update comprehensive IT security measures, including risk analysis and emergency plans. There is also a reporting obligation that requires security incidents to be reported promptly.

Essential equipment:

-at least 250 employees or over EUR 50 million annual turnover or over EUR 43 million annual balance sheet total
-Certain special cases, e.g. central government, DNS service provider or government classification as an essential facility

Important facility:

-at least 50 employees or more than EUR 10 million annual turnover or annual balance sheet total (unless already a major facility)
certain size-independent special cases, e.g. state classification as an important institution

A laissez-faire attitude in the defense against hacker attacks will be noticeably punished in the future. Instead of the 150,000 euros that the first version of the NIS stipulated as the maximum amount for sanctions, operators of essential services will in future face heavy fines. Fines for breaches of Art. 21 (risk management measures) and Art. 23 NIS-2 Directive (reporting obligations for significant security incidents).

Is your company one of them?

Energie
KRITIS-Sektor gem. Anhang I der NIS2-RL
Verkehr
KRITIS-Sektor gem. Anhang I der NIS2-RL
Bankwesen
KRITIS-Sektor gem. Anhang I der NIS2-RL
Finanzmarktinfrastruktur
KRITIS-Sektor gem. Anhang I der NIS2-RL
Gesundheitswesen
KRITIS-Sektor gem. Anhang I der NIS2-RL
Trinkwasser
KRITIS-Sektor gem. Anhang I der NIS2-RL
Abwasser
KRITIS-Sektor gem. Anhang I der NIS2-RL
Digitale Infrastruktur
KRITIS-Sektor gem. Anhang I der NIS2-RL
Verwaltung von IKT-Diensten (B2B)
KRITIS-Sektor gem. Anhang I der NIS2-RL
Öffentliche Verwaltung
KRITIS-Sektor gem. Anhang I der NIS2-RL
Weltraum
KRITIS-Sektor gem. Anhang I der NIS2-RL
Post- und Kurierdienste
KRITIS-Sektor gem. Anhang II der NIS2-RL
Abfallbewirtschaftung
KRITIS-Sektor gem. Anhang II der NIS2-RL
Produktion, Herstellung und Handel mit chemischen Stoffen
KRITIS-Sektor gem. Anhang II der NIS2-RL
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
KRITIS-Sektor gem. Anhang II der NIS2-RL
Verarbeitendes Gewerbe / Herstellung von Waren
KRITIS-Sektor gem. Anhang II der NIS2-RL
Anbieter digitaler Dienste
KRITIS-Sektor gem. Anhang II der NIS2-RL
Forschung
KRITIS-Sektor gem. Anhang II der NIS2-RL

The extended KRITIS sector: major implications for companies and institutions

Reporting obligations
If a security incident does occur

Within 24 hours

Within 24 hours

Initial notification (early warning) to the responsible authorities, stating whether the security incident is possibly due to illegal or malicious actions.

Within 72h

Within 72h

a report with the Indicators of Compromise must be handed over to the authorities, which becomes an almost impossible task without dedicated security know-how.

After one month

After one month

a final report is due, which must contain at least a detailed description of the security incident, its severity and impact, as well as information on the nature of the threat and the remedial measures taken.

How to comply with the NIS-2 Directive with RIEDEL Networks

Choose [R.E.D.] to Protect!

We support you with our IT security solution [R.E.D.] to set up and manage your IT infrastructure in compliance with the law. In [R.E.D.] advanced technologies and systems are brought together and applied in such a way that you can guarantee full protection for your company network. A decisive advantage for you is that with the [R.E.D.] service, you hand over responsibility for continuous 24/7 monitoring to us. This allows you to concentrate fully on your core business while we take care of all security-related aspects for you. In the event of a security incident, we will inform you immediately and offer you comprehensive support in decision-making from our experts. To ensure that you do not lose track of your IT infrastructure, we prepare regular reports on the security situation of your company. It is important to realize that investing in an IT security solution not only serves to comply with legal regulations, but also represents a considerable advantage for your company. Because in the event of an attack, your valuable company data is at stake and timely preventive measures can save you considerable damage and costs. Contact us and we will find a customized [R.E.D.] solution for you.

Spotlight: IT security

Your guide to current and future cyber threats

IT security is essential, but how do you get started effectively as a company? Our white paper provides you with comprehensive knowledge about the current cyber threats and shows practical strategies for defense. Find out how you can protect your company from the ever-increasing risks, whether you are in the IT industry or not. Use this white paper to strengthen your security strategy and make informed IT security decisions.

Spotlight IT-Security
Find out how [R.E.D.] is made up

Choose [R.E.D.] to Protect!

SOC Information
Security Operations Center

The operations center with 24/7 service

SIEM information
Security Incident Event Management

The central platform for orchestrating the security apparatus

XDR information
Extended Detection Response

Keeping an eye on the entire IT infrastructure

EDR information
Endpoint Detection Response

In-depth analysis and monitoring on all end devices

SOAR information
Security Orchestration, Automation and Response (SOAR)

Optimization of processes through automation

Marcel Kühn, CISO & Teamleiter Global IT Infrastruktur bei Gedore

Technologische Impulse, Flexibilität und Skalierbarkeit

„Wir waren auf der Suche nach einem Partner, der uns kompetent und auf Augenhöhe berät und eine zuverlässige Netzwerkanbindung, selbst in ländlichen Regionen, gewährleistet. In Riedel Networks haben wir diesen Partner gefunden. Die Partnerschaft zeichnet sich durch technologische Impulse, Flexibilität und Skalierbarkeit aus, was die Zusammenarbeit auf allen Ebenen – von der Führung bis zur Fachkraft – besonders wertvoll macht.“

Gedore_logo

Marcel Kühn, CISO Team Leader Global IT Infrastructure at Gedore
Thomas Schroeder Portrait

Ein flexibler Partner für ein komplexes Projekt

“Dadurch, dass die Zusammenarbeit mit einem so professionellen und flexiblen Partner vieles vereinfacht hat, konnten wir Kosten einsparen. Mit einem anderen Anbieter hätten wir in den vergangenen drei Jahren sehr wahrscheinlich 30 Prozent mehr in unser Netzwerk investieren müssen. Die Partnerschaft mit Riedel Networks, vom Account-Management bis zur technischen Beratung, hat sich für Kyocera Document Solutions Europe ein ums andere Mal als äußerst wertvoll erwiesen.”

Thomas Schroeder, Manager IT Operations Management at KYOCERA Document Solutions Europe B.V.
Tobias Dölder Portrait

Eine privilegierte Partnerschaft

“Dank Riedel Networks verfügt Faller Packaging heute über ein modernes, vollständig redundantes, hochtransparentes und hochverfügbares SD-WAN-Netzwerk, das unsere sieben europäischen Niederlassungen und 1.300 Mitarbeiter verbindet. Von der Geschäftszentrale über die Werkshallen bis zum Lager sind unsere Leute jetzt für die dynamische Fertigung mit kurzfristig zu erfüllenden Quoten gerüstet, denn sie können sich auf eine stabile Infrastruktur verlassen – und mein IT-Team hat den idealen Partner gefunden, der eine einwandfreie Netzwerkfunktion garantiert.”

Tobias Dölder, Head IT Systems, Faller Packaging
Torsten_Emmanuel_Portrait

Wir fanden den perfekten Partner

“Die IT ist das Rückgrat jeder Organisation. Das gilt besonders für die Medizin, wo Fehler teuer werden können. Riedel hat sich als exzellenter Partner erwiesen, und die Entscheidung für ein verwaltetes Netzwerk war in jeder Hinsicht gut und richtig.”

Torsten Emmanuel, Chief Information Officer, ATOS Kliniken
John Steeghs_bw

Innovative Kommunikationslösungen mit Riedel Networks

“Mit dem richtigen Partner im Geschäft – und im Leben – sind auch die größten Hindernisse überwindbar. Riedel hat sich als der richtige Partner erwiesen, nicht nur bei der Entwicklung, sondern auch für alle unterstützenden Prozesse. Die Gewissheit, ein verlässliches Netzwerk und einen zuverlässigen Partner zu haben, sind für mich unbezahlbar. Ich freue mich darauf, mit ihnen an einer Funklösung für Rennwagen in anderen Wettbewerbsbereichen zusammenzuarbeiten.”

John Steeghs, Senior Manager Team Management and Logistics at TOYOTA GAZOO Racing Europe GmbH
Linus Linder Portrait

Unser SD-WAN läuft perfekt!

„Die Herausforderungen für die IT von heute bestehen nicht mehr in der Instandhaltung von Infrastruktur. IT muss einen Mehrwert schaffen, indem sie Auftraggeber und Kunden dabei unterstützt, dem Wettbewerb voraus zu sein. Unser SD-WAN läuft perfekt und wir haben seit der Umstellung (auf RIEDEL) von unserem MPLS keinen einzigen Ausfall gehabt. Riedel betreut unsere Netzwerkinfrastruktur und unsere Internetanbindung, sodass wir uns darauf konzentrieren können, unsere Kunden bestmöglich zu unterstützen. Das Unternehmen hat in unserem Namen neue Vereinbarungen mit unseren Last-Mile-Anbietern verhandelt und uns geholfen, unnötige Telekommunikationskosten einzusparen. Dieses eingesparte Geld reinvestieren wir in Managed Services. Mit denselben Ausgaben erreichen wir also deutlich mehr.“

Linus Linder, Head of IT at Müller - Die lila Logistik AG

Riedel verbindet für uns zwei Welten: Broadcast und IT.

Wenn es um die Übertragung eines erstklassigen Events wie der Formel 1 geht, ist eine starke und verlässliche Partnerschaft ein absolutes Muss. Wir arbeiten schon seit vielen Jahren mit Riedels RiLink zusammen. Sobald das Glasfaserkabel mit unserer Produktionseinheit verbunden ist, wachen alle Systeme auf, verbinden sich sofort mit ihren Hosts und beginnen, Dateien oder Nachrichten zu senden.

Friedrich Behringer, Technical Operations Manager, RTL NEWS