NIS-2-Richtlinie pragmatisch umsetzen?

NIS-2-Richtlinie
pragmatisch umsetzen?
Pragmatische Lösungskonzepte für Datenschutz & Digitalisierung.
check_circle
Alles Wichtige zur Richtlinie
check_circle
Stand Oktober 2024
check_circle
Branchenübergreifende Informationen

Die NIS-2-Richtlinie (Netz- und Informationssicherheitsrichtlinie) der Europäischen Union ersetzt die NIS-1-Richtlinie und erweitert die Regelungen  im Bereich der Cybersicherheitsgesetzgebung erheblich. Nicht nur Unternehmen und Organisationen, die als Betreiber kritischer Infrastrukturen (KRITIS) tätig sind, müssen sich auf verschärfte Anforderungen einstellen.

Zusammenfassung: Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) wurde am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht und trat am 16. Januar 2023 in Kraft. Sie zielt darauf ab, die Cyber- und Informationssicherheit von Unternehmen und Organisationen zu regulieren. Die EU-Mitgliedsstaaten müssen sie bis Oktober 2024 in nationales Recht umsetzen. In Deutschland liegt seit Juli 2023 ein entsprechender Gesetzentwurf der Bundesregierung vor, das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG).

 

Mit der NIS-2-Richtlinie werden die Anforderungen an Cybersicherheit sowie die Sanktionen verschärft, um ein höheres Sicherheitsniveau in der EU zu gewährleisten.

Wer ist von der NIS-2-Richtlinie betroffen?

Die NIS-2-Richtlinie erweitert den Kreis der betroffenen Unternehmen deutlich: Neben mittleren und großen Unternehmen aus wichtigen Sektoren der kritischen Infrastruktur erfasst sie nun auch deren gesamte Lieferketten. Damit steigt die Zahl der regulierten Firmen massiv an. Gleichzeitig werden strengere Anforderungen an diese Unternehmen gestellt, begleitet von einem stärkeren Durchsetzungsdruck durch höhere Strafen und die persönliche Haftung der Managementebene.

Neue Anforderungen an die Informationssicherheit in Ihrer Organisation: Sind Sie vorbereitet?

Sind Sie von der NIS-2-Richtlinie betroffen? Mit unserem NIS-2-Assessment finden Sie es schnell und unkompliziert heraus. Gemeinsam analysieren wir Ihre Informationssicherheit und decken den Handlungsbedarf auf – von der Bestandsaufnahme bis zur Stellung eines erfahrenen Informationssicherheitsbeauftragten – wir begleiten Sie auf dem Weg zur NIS-2-Compliance.

4-Punkte-Plan: Vorbereitung auf NIS-2

Ist Ihre Organisation von NIS-2 betroffen?

In unserem NIS-2-Assessment prüfen wir, ob Ihre Organisation den neuen Anforderungen unterliegt. Durch eine umfassende Analyse Ihrer Branche, Unternehmensgröße und der Art der angebotenen Dienstleistungen erhalten Sie klare Antworten.

  • Fällt Ihre Organisation unmittelbar unter die neuen Vorgaben?

  • Welche Folgen ergeben sich durch Auftraggeber bzw. Nebenprozesse?

 

 

Wo genau besteht Handlungsbedarf?

Die Umsetzung der NIS-2-Richtlinie erfordert ein genaues Verständnis Ihrer aktuellen Sicherheitslage. Wir unterstützen Sie bei einer umfassenden Bestandsaufnahme Ihrer IT-Systeme, Netzwerke und Datenverarbeitungs-prozesse. Durch diesen systematischen Ansatz ermitteln wir, wo Sie bereits gut aufgestellt sind und wo es Verbesserungsbedarf gibt.

  • Soll-/Ist-Abgleich durchführen

  • Handlungsbedarf mit Maßnahmenplan erarbeiten

 

 

Wie können NIS-2-Vorgaben konkret umgesetzt werden?

Unser Expertenteam steht Ihnen zur Seite, um die Anforderungen der NIS-2-Richtlinie zu verstehen und umzusetzen. Wir bieten maßgeschneiderte Beratung für Ihr Unternehmen, um sicherzustellen, dass alle gesetzlichen Vorgaben eingehalten werden. Dabei entwickeln wir individuelle Strategien, die zu Ihren bestehenden Prozessen und Systemen passen, und helfen Ihnen, diese effizient zu implementieren.

  • Vorgaben der NIS-2-Verordnung umsetzen

  • Beratung, Begleitung und Überprüfung durch Experten

 

 

Wie kann für eine für nachhaltige Umsetzung gesorgt werden?

Ein zentrales Element der NIS-2-Richtlinie ist die Einrichtung eines effektiven Informationssicherheitsmanagementsystems (ISMS). Dieses ISMS stellt sicher, dass Risiken in Ihrer IT-Landschaft frühzeitig erkannt und kontinuierlich überwacht werden. Wir unterstützen Sie in unserer ISMS-Beratung dabei, ein robustes ISMS aufzubauen, das Ihren spezifischen Anforderungen entspricht und langfristig Ihre Cybersicherheit stärkt.

Die NIS-2-Richtlinie fordert zudem eine Überwachung der Sicherheitsmaßnahmen. Falls Ihr Unternehmen keinen internen ISB bereitstellen kann, übernehmen wir diese Rolle als externer Informationssicherheits- beauftragter für Sie.

  • Aufbau eines Informationssicherheitsmanagementsystems (ISMS)
  • Verantwortlichkeit für Informationssicherheit dauerhaft regeln durch einen Informationssicherheitsbeauftragten (ISB)

 

 

Whitepaper NIS-2: wie betrifft NIS-2 Ihre Organisation?

In Deutschland sind Schätzungen zufolge zwischen 29.000 bis 40.000 Unternehmen von der NIS-2 betroffen. Unternehmen aus 18 definierten Sektoren, ab 50 Mitarbeitenden und 10 Millionen Umsatz, unterliegen NIS-2.

Das begibt schlagartig eine ganze Reihe an Unternehmen in die Verantwortung, die sich vorher nur wenig mit ihrer Informationssicherheit auseinandergesetzt haben. Damit Sie der Richtlinie souverän entgegentreten können, stellen wir Ihnen unser Whitepaper kostenlos zur Verfügung.

Was sind die wesentlichen Pflichten unter NIS-2?

Die NIS-2-Richtlinie bringt eine Reihe von Pflichten für betroffene Unternehmen und Einrichtungen mit sich, unter anderem in den Bereichen Cyber-Risikomanagement, Überwachung, Vorfallmanagement und Sicherstellung der Geschäftskontinuität.

- Verpflichtung zur Risikomanagement-Strategie: Unternehmen müssen ein solides Risikomanagement etablieren, das mögliche Bedrohungen durch Cyberangriffe identifiziert und minimiert. Dies umfasst technische und organisatorische Maßnahmen zur Stärkung der Netzsicherheit.

- Meldepflicht bei Sicherheitsvorfällen: Bei sicherheitsrelevanten Vorfällen, die den Betrieb beeinträchtigen könnten, sind die Unternehmen dazu verpflichtet, diese unverzüglich an die zuständigen Behörden zu melden. In Deutschland ist hierfür das Bundesamt für Sicherheit in der Informationstechnik (BSI) verantwortlich.

- Sektorenspezifische Pflichten: Die Pflichten variieren je nach betroffenem Sektor. Energieversorger haben zum Beispiel andere Sicherheitsanforderungen als Gesundheitsdienstleister. Für alle gilt jedoch, dass die Cybersicherheitsmaßnahmen angemessen und wirksam sein müssen.

Unsere Blogbeiträge und Veranstaltungen zur NIS-2-Richtlinie

Die ISO/IEC 27001: Änderungen und Anpassungsbedarf für Unternehmen

Die ISO/IEC 27001 wurde aktualisiert – Unternehmen müssen ihr ISMS an die neuen Anforderungen anpassen. Erfahren Sie, welche Änderungen die Norm bringt und wie unsere ISMS-Beratung Sie dabei unterstützen kann.

weiterlesen chevron_right

NIS-2-Richtlinie: Deutschland verpasst die Frist – Was Unternehmen jetzt tun können

Der Stichtag für die nationale Umsetzung der NIS-2-Richtlinie war am 17. Oktober 2024.

weiterlesen chevron_right

Business Continuity Management – Notfällen effektiv begegnen

Spätestens seit der Einführung der NIS-2-Richtlinie ist das Business Continuity Management (BCM) ein zentrales Thema für viele Unternehmen.

weiterlesen chevron_right

Nicht nur kritische Infrastrukturen (KRITIS): Weitere betroffene Unternehmen von der NIS-2-Richtlinie

Mit der Einführung der NIS-2-Richtlinie werden die Kriterien, ob ein Unternehmen von den neuen Sicherheitsanforderungen betroffen ist, deutlich erweitert. In der gesamten EU gelten zukünftig einheitliche Vorgaben, sodass keine unterschiedlichen Mindestschwellen mehr zwischen den Mitgliedstaaten existieren. Statt einer sektorspezifischen Betrachtung entscheidet nun die Größe und Bedeutung eines Unternehmens darüber, ob es den Anforderungen der NIS-2 unterliegt. Die neuen Vorgaben betreffen mittlere und große Unternehmen:

- Mittlere Unternehmen: 50 bis 249 Beschäftigte oder ein Jahresumsatz zwischen 10 und 50 Millionen Euro, Bilanzsumme unter 43 Millionen Euro

- Große Unternehmen: ab 250 Beschäftigte oder mindestens 50 Millionen Euro Jahresumsatz

Diese neuen Kriterien führen dazu, dass der Anwendungsbereich der NIS-2-Richtlinie in Deutschland erheblich ausgeweitet wird. Viele Unternehmen, die bisher nicht als Betreiber kritischer Infrastrukturen galten, müssen nun prüfen, ob sie unter die Richtlinie fallen und entsprechende Maßnahmen ergreifen.

Umsetzung und Überwachung der NIS-2-Richtlinie in Deutschland

Die Umsetzung der NIS-2-Richtlinie erfolgt auf nationaler Ebene. In Deutschland wird die Richtlinie durch eine Verschärfung des bestehenden IT-Sicherheitsgesetzes realisiert. Die Überwachung und Durchsetzung der Richtlinie liegt beim BSI, das auch für die Prüfung der Sicherheitsmaßnahmen der betroffenen Einrichtungen verantwortlich ist.

Haftung und Strafen

Die NIS-2-Richtlinie teilt Unternehmen in zwei Kategorien: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Der zentrale Unterschied besteht darin, dass „wichtige Einrichtungen“ geringere Geldstrafen erwarten und erst im Bedarfsfall von Behörden überprüft werden. Dagegen stehen „besonders wichtige Einrichtungen“ unter ständiger behördlicher Kontrolle und müssen mit höheren Strafen rechnen.

 

Auch die Haftung wird strenger: Bei besonders wichtigen Einrichtungen können Strafen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes verhängt werden, wobei der höhere Betrag ausschlaggebend ist. Wichtige Einrichtungen hingegen müssen mit Strafen von bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes rechnen. Auch hier zählt der höhere Betrag.

 

Betroffene Unternehmen müssen geeignete Maßnahmen gemäß NIS-2-Richtlinie umsetzen, beispielsweise im Bereich Cyber-Risikomanagement, Sicherheit der Lieferkette, Geschäftskontinuität, Verschlüsselung, Zugangsbeschränkungen sowie bei der Berichterstattung und Umsetzung von Korrekturmaßnahmen.

 

Besonders zu beachten: Nach dem Entwurf des Bundesinnenministeriums haften die Führungskräfte der Unternehmen persönlich mit ihrem Privatvermögen für die Einhaltung der Risikomanagementvorgaben. Diese Haftung ist auf zwei Prozent des weltweiten Jahresumsatzes des Unternehmens begrenzt.

Zu welchem Thema dürfen wir Sie kontaktieren?

Mehrfachauswahl möglich:

expand_more
Beratung & Dienstleistung
Bildung
Gesundheit & Medizin
Industrie, Handel & Logistik
IT & Telekommunikation
Komplexträger Diakonie & Caritas, öffentlich
Medien und Marketing
Öffentlich, Kommunal & Verwaltung
Pflege & Sozialwesen
Software
Tourismus & Verkehr
Vereine & Verbände
Versicherungen, Finanzwirtschaft
Kirche
Energie
Andere
zurücksetzen

 

Informationen zum Umgang mit Ihren Daten können Sie unseren Datenschutzhinweisen entnehmen. Alternativ zum Kontaktformular können Sie sich auch direkt an vertrieb@althammer-kill.de wenden.