NIS-2 Richtlinie pragmatisch umsetzen?
Die NIS-2 Richtlinie (Netz- und Informationssicherheitsrichtlinie) der Europäischen Union ersetzt die NIS-1 Richtlinie und erweitert die Regelungen im Bereich der Cybersicherheitsgesetzgebung erheblich. Nicht nur Unternehmen und Organisationen, die als Betreiber kritischer Infrastrukturen (KRITIS) tätig sind, müssen sich auf verschärfte Anforderungen einstellen.
Zusammenfassung: Was ist die NIS-2 Richtlinie?
Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) wurde am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht und trat am 16. Januar 2023 in Kraft. Sie zielt darauf ab, die Cyber- und Informationssicherheit von Unternehmen und Organisationen zu regulieren. Die EU-Mitgliedsstaaten müssen sie bis Oktober 2024 in nationales Recht umsetzen. In Deutschland liegt seit Juli 2023 ein entsprechender Gesetzentwurf der Bundesregierung vor, das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG).
Mit der NIS-2-Richtlinie werden die Anforderungen an Cybersicherheit sowie die Sanktionen verschärft, um ein höheres Sicherheitsniveau in der EU zu gewährleisten.
Wer ist von der NIS-2 Richtlinie betroffen?
Die NIS-2-Richtlinie erweitert den Kreis der betroffenen Unternehmen deutlich: Neben mittleren und großen Unternehmen aus wichtigen Sektoren der kritischen Infrastruktur erfasst sie nun auch deren gesamte Lieferketten. Damit steigt die Zahl der regulierten Firmen massiv an. Gleichzeitig werden strengere Anforderungen an diese Unternehmen gestellt, begleitet von einem stärkeren Durchsetzungsdruck durch höhere Strafen und die persönliche Haftung der Managementebene.
Neue Anforderungen an die Informationssicherheit in Ihrer Organisation: Sind Sie vorbereitet?
Sind Sie von der NIS-2-Richtlinie betroffen? Mit unserem NIS-2 Assessment finden Sie es schnell und unkompliziert heraus. Gemeinsam analysieren wir Ihre Informationssicherheit und decken den Handlungsbedarf auf – von der Bestandsaufnahme bis zur Stellung eines erfahrenen Informationssicherheitsbeauftragten – wir begleiten Sie auf dem Weg zur NIS-2 Compliance.
4-Punkte-Plan: Vorbereitung auf NIS-2
Ist Ihre Organisation von NIS-2 betroffen?
In unserem NIS-2 Assessment prüfen wir, ob Ihre Organisation den neuen Anforderungen unterliegt. Durch eine umfassende Analyse Ihrer Branche, Unternehmensgröße und der Art der angebotenen Dienstleistungen erhalten Sie klare Antworten.
Fällt Ihre Organisation unmittelbar unter die neuen Vorgaben?
Welche Folgen ergeben sich durch Auftraggeber bzw. Nebenprozesse?
Wo genau besteht Handlungsbedarf?
Die Umsetzung der NIS-2-Richtlinie erfordert ein genaues Verständnis Ihrer aktuellen Sicherheitslage. Wir unterstützen Sie bei einer umfassenden Bestandsaufnahme Ihrer IT-Systeme, Netzwerke und Datenverarbeitungs-prozesse. Durch diesen systematischen Ansatz ermitteln wir, wo Sie bereits gut aufgestellt sind und wo es Verbesserungsbedarf gibt.
Soll-/Ist-Abgleich durchführen
Handlungsbedarf mit Maßnahmenplan erarbeiten
Wie können NIS-2-Vorgaben konkret umgesetzt werden?
Unser Expertenteam steht Ihnen zur Seite, um die Anforderungen der NIS-2-Richtlinie zu verstehen und umzusetzen. Wir bieten maßgeschneiderte Beratung für Ihr Unternehmen, um sicherzustellen, dass alle gesetzlichen Vorgaben eingehalten werden. Dabei entwickeln wir individuelle Strategien, die zu Ihren bestehenden Prozessen und Systemen passen, und helfen Ihnen, diese effizient zu implementieren.
Vorgaben der NIS-2 Verordnung umsetzen
Beratung, Begleitung und Überprüfung durch Experten
Wie kann für eine für nachhaltige Umsetzung gesorgt werden?
Ein zentrales Element der NIS-2-Richtlinie ist die Einrichtung eines effektiven Informationssicherheitsmanagementsystems (ISMS). Dieses ISMS stellt sicher, dass Risiken in Ihrer IT-Landschaft frühzeitig erkannt und kontinuierlich überwacht werden. Wir unterstützen Sie in unserer ISMS-Beratung dabei, ein robustes ISMS aufzubauen, das Ihren spezifischen Anforderungen entspricht und langfristig Ihre Cybersicherheit stärkt.
Die NIS-2-Richtlinie fordert zudem eine Überwachung der Sicherheitsmaßnahmen. Falls Ihr Unternehmen keinen internen ISB bereitstellen kann, übernehmen wir diese Rolle als externer Informationssicherheits- beauftragter für Sie.
- Aufbau eines Informationssicherheitsmanagementsystems (ISMS)
- Verantwortlichkeit für Informationssicherheit dauerhaft regeln durch einen Informationssicherheitsbeauftragten (ISB)
Whitepaper NIS-2: wie betrifft NIS-2 Ihre Organisation?
In Deutschland sind Schätzungen zufolge zwischen 29.000 bis 40.000 Unternehmen von der NIS-2 betroffen. Unternehmen aus 18 definierten Sektoren, ab 50 Mitarbeitenden und 10 Millionen Umsatz, unterliegen NIS-2.
Das begibt schlagartig eine ganze Reihe an Unternehmen in die Verantwortung, die sich vorher nur wenig mit ihrer Informationssicherheit auseinandergesetzt haben. Damit Sie der Richtlinie souverän entgegentreten können, stellen wir Ihnen unser Whitepaper kostenlos zur Verfügung.
Was sind die wesentlichen Pflichten unter NIS-2?
Die NIS-2 Richtlinie bringt eine Reihe von Pflichten für betroffene Unternehmen und Einrichtungen mit sich, unter anderem in den Bereichen Cyber-Risikomanagement, Überwachung, Vorfallmanagement und Sicherstellung der Geschäftskontinuität.
- Verpflichtung zur Risikomanagement-Strategie: Unternehmen müssen ein solides Risikomanagement etablieren, das mögliche Bedrohungen durch Cyberangriffe identifiziert und minimiert. Dies umfasst technische und organisatorische Maßnahmen zur Stärkung der Netzsicherheit.
- Meldepflicht bei Sicherheitsvorfällen: Bei sicherheitsrelevanten Vorfällen, die den Betrieb beeinträchtigen könnten, sind die Unternehmen dazu verpflichtet, diese unverzüglich an die zuständigen Behörden zu melden. In Deutschland ist hierfür das Bundesamt für Sicherheit in der Informationstechnik (BSI) verantwortlich.
- Sektorenspezifische Pflichten: Die Pflichten variieren je nach betroffenem Sektor. Energieversorger haben zum Beispiel andere Sicherheitsanforderungen als Gesundheitsdienstleister. Für alle gilt jedoch, dass die Cybersicherheitsmaßnahmen angemessen und wirksam sein müssen.
Unsere Blogbeiträge und Veranstaltungen zur NIS-2 Richtlinie
NIS-2-Richtlinie: Deutschland verpasst die Frist – Was Unternehmen jetzt tun können
Der Stichtag für die nationale Umsetzung der NIS-2-Richtlinie war am 17. Oktober 2024.
Business Continuity Management – Notfällen effektiv begegnen
Spätestens seit der Einführung der NIS-2-Richtlinie ist das Business Continuity Management (BCM) ein zentrales Thema für viele Unternehmen.
Webinar: NIS-2: Was bedeutet die Richtlinie für mein Unternehmen?
Fallen Sie unter NIS-2? Ihnen werden Methoden gezeigt, mit denen Sie prüfen können, ob Sie unter die Richtlinie fallen.
Nicht nur kritische Infrastrukturen (KRITIS): Weitere betroffene Unternehmen von der NIS-2 Richtlinie
Mit der Einführung der NIS-2-Richtlinie werden die Kriterien, ob ein Unternehmen von den neuen Sicherheitsanforderungen betroffen ist, deutlich erweitert. In der gesamten EU gelten zukünftig einheitliche Vorgaben, sodass keine unterschiedlichen Mindestschwellen mehr zwischen den Mitgliedstaaten existieren. Statt einer sektorspezifischen Betrachtung entscheidet nun die Größe und Bedeutung eines Unternehmens darüber, ob es den Anforderungen der NIS-2 unterliegt. Die neuen Vorgaben betreffen mittlere und große Unternehmen:
- Mittlere Unternehmen: 50 bis 249 Beschäftigte oder ein Jahresumsatz zwischen 10 und 50 Millionen Euro, Bilanzsumme unter 43 Millionen Euro
- Große Unternehmen: ab 250 Beschäftigte oder mindestens 50 Millionen Euro Jahresumsatz
Diese neuen Kriterien führen dazu, dass der Anwendungsbereich der NIS-2-Richtlinie in Deutschland erheblich ausgeweitet wird. Viele Unternehmen, die bisher nicht als Betreiber kritischer Infrastrukturen galten, müssen nun prüfen, ob sie unter die Richtlinie fallen und entsprechende Maßnahmen ergreifen.
Umsetzung und Überwachung der NIS-2 Richtlinie in Deutschland
Die Umsetzung der NIS-2-Richtlinie erfolgt auf nationaler Ebene. In Deutschland wird die Richtlinie durch eine Verschärfung des bestehenden IT-Sicherheitsgesetzes realisiert. Die Überwachung und Durchsetzung der Richtlinie liegt beim BSI, das auch für die Prüfung der Sicherheitsmaßnahmen der betroffenen Einrichtungen verantwortlich ist.
Haftung und Strafen
Die NIS-2-Richtlinie teilt Unternehmen in zwei Kategorien: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Der zentrale Unterschied besteht darin, dass „wichtige Einrichtungen“ geringere Geldstrafen erwarten und erst im Bedarfsfall von Behörden überprüft werden. Dagegen stehen „besonders wichtige Einrichtungen“ unter ständiger behördlicher Kontrolle und müssen mit höheren Strafen rechnen.
Auch die Haftung wird strenger: Bei besonders wichtigen Einrichtungen können Strafen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes verhängt werden, wobei der höhere Betrag ausschlaggebend ist. Wichtige Einrichtungen hingegen müssen mit Strafen von bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes rechnen. Auch hier zählt der höhere Betrag.
Betroffene Unternehmen müssen geeignete Maßnahmen gemäß NIS-2-Richtlinie umsetzen, beispielsweise im Bereich Cyber-Risikomanagement, Sicherheit der Lieferkette, Geschäftskontinuität, Verschlüsselung, Zugangsbeschränkungen sowie bei der Berichterstattung und Umsetzung von Korrekturmaßnahmen.
Besonders zu beachten: Nach dem Entwurf des Bundesinnenministeriums haften die Führungskräfte der Unternehmen persönlich mit ihrem Privatvermögen für die Einhaltung der Risikomanagementvorgaben. Diese Haftung ist auf zwei Prozent des weltweiten Jahresumsatzes des Unternehmens begrenzt.
Zu welchem Thema dürfen wir Sie kontaktieren?
Mehrfachauswahl möglich:
Informationen zum Umgang mit Ihren Daten können Sie unseren Datenschutzhinweisen entnehmen. Alternativ zum Kontaktformular können Sie sich auch direkt an vertrieb@althammer-kill.de wenden.