NIS-2-Richtlinie
Pflichtprogramm für Ihre IT-Sicherheit
Wir beraten und unterstützen Sie bei der Umsetzung der NIS-2-Richtlinie
Als erfahrener IT-Dienstleister begleiten wir Unternehmen ganzheitlich bei der Umsetzung der NIS-2-Richtlinie – von der ersten Betroffenheitsanalyse bis zur nachhaltigen Implementierung aller technischen und organisatorischen Maßnahmen. Wir übersetzen regulatorische Anforderungen in praxisnahe Lösungen, schließen Sicherheitslücken und sorgen dafür, dass Compliance nicht zur
Dauerbaustelle wird.
BSI – Allianz für Cybersicherheit
Als Teilnehmer der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind wir eng in das führende deutsche Netzwerk zum Austausch über aktuelle Cyberbedrohungen, Schutzmaßnahmen und Best Practices eingebunden.
Die Allianz stärkt seit 2012 die Widerstandsfähigkeit von Unternehmen gegenüber Cyberangriffen nach dem Prinzip: Netzwerke schützen Netzwerke. Dieses Engagement unterstreicht unseren Anspruch, NIS-2 nicht nur regulatorisch korrekt, sondern praxisnah, belastbar und auf höchstem Sicherheitsniveau umzusetzen.
NIS-2-Kompakt: Alles was Sie über die Richtlinie wissen müssen
Wir haben unsere Expertin Deniz Reiners gefragt.
Was ist NIS-2?
Die NIS2-Richtlinie (Netzwerk und Informationssysteme) ist ein Rechtsakt, in dem ein von den EU-Ländern zu erreichendes Ziel festgelegt wird, der Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen definiert. Die EU-Kommission will damit das Cybersicherheits-Niveau in der Europäischen Union verbessern und die internationale Zusammenarbeit bei der Bekämpfung von Cyberangriffen stärken. NIS2 ist seit dem 16. Januar 2023 in Kraft und muss bis zum 17. Oktober 2024 von den Mitgliedsstaaten in nationales Recht umgesetzt werden.
Sind Sie NIS-2-pflichtig?
Unternehmensgröße
Mittlere Unternehmen = 50 bis 249 Mitarbeitende und weniger als 50 Millionen Euro Umsatz und/oder weniger als 43 Millionen Euro Bilanz.
Große Unternehmen = mindestens 250 Mitarbeitende, mindestens 50 Millionen Euro Umsatz und/oder mindestens 43 Millionen Euro Bilanz.
Sie fallen in einen der Sektoren
Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanz.
Sektoren mit hoher Kritikalität
▻ Energie
▻ Bankwesen
▻ Verkehr
▻ Finanzmarktinfrastrukturen
▻ Gesundheitswesen
▻ Trinkwasser
▻ Abwasser
▻ Digitale Infrastrukturen
▻ Verwaltung von IKT-Diensten (Business-to-Business)
▻ Öffentliche Verwaltung
▻ Raumfahrt
Sonstige kritische Sektoren
▻ Post- & Kurierdienste
▻ Abfallbewirtschaftung
▻ Produktion, Herstellung und Handel mit chemischen Stoffen
▻ Produktion, Verarbeitung und Vertrieb von Lebensmitteln
▻ Verarbeitendes Gewerbe/Herstellung von Waren
▻ Anbieter digitaler Dienste
▻ Forschung
Sie waren bisher schon KRITIS
Damit sind Sie automatisch von NIS2 betroffen. Die deutsche Umsetzung definiert „Betreiber kritischer Anlagen“ als eigene Kategorie.
Sonderfälle
Einige Sonderfälle aus dem Bereich der besonders wichtigen Einrichtungen sind unabhängig von ihrer Größe von der NIS2-Richtlinie betroffen. Dazu zählen zum Beispiel qualifizierte Vertrauensdienste, TLD-Registries und DNS-Dienste.
Klarheit schaffen mit der Betroffenheitsprüfung vom BSI
Die Nutzung der NIS-2-Betroffenheitsprüfung erfolgt anonym.
Die wichtigsten Neuerungen für NIS-2
Die NIS2-Richtlinie überarbeitet die NIS-Richtlinie von 2016 und löst sie ab. Das sind die wichtigsten Änderungen:
▻ Die Mitgliedsstaaten richten ein nationales CSIRT (Computer Security Incident Response Team) ein. In Deutschland übernimmt diese Rolle wahrscheinlich das BSI. Die CSIRTs arbeiten EU-weit zusammen und berichten an die übergreifende, koordinierende Cybersecurity Behörde ENISA (European Union Agency for Cybersecurity).
▻ Erheblich mehr Unternehmen sind betroffen. Die Zahl der Sektoren wächst insgesamt auf 18. Sieben neue „Important Entities“ (wichtige Einrichtungen) kommen hinzu und Schwellenwerte werden gesenkt.
▻ Unternehmen müssen das Risiko eines Cyberangriffs über ihre Lieferkette beurteilen können.
▻ Cyberrisikomanagement wird Pflicht.
▻ Unternehmen müssen Mitarbeiterschulungen und Audits zur Cybersicherheit durchführen.
▻ Geschäftsführer haften persönlich für den Schaden, der durch Missachtung ihrer Pflicht zum Cyberrisikomanagement entsteht.
▻ Bei Verstößen drohen empfindliche Strafen.
▻ Es gelten strenge Meldepflichten. Aufsichtsbehörde ist das BSI.
Unwissenheit schützt vor Strafe nicht
Sanktionen bei Verstößen
Die NIS2-Regelung erlegt den EU-Mitgliedstaaten die Pflicht auf, Bußgeldtatbestände für Verstöße gegen Art. 21 (Risikomanagement, s.o.) und Art. 23 (Berichtspflichten über erhebliche Sicherheitsvorfälle) zu schaffen. Gleichzeitig legt die Richtlinie bereits einen Mindestwert für die obere Grenze des Bußgeldrahmens fest:
Wesentliche Einrichtungen
Geldbuße bis zu:
10 Mio. EUR
oder
2% des gesamten weltweiten Vorjahresumsatzes des Unternhemens, dem die Einrichtung gehört.
Wichtige Einrichtungen
Geldbuße bis zu:
7 Mio. EUR
oder
1,4% des gesamten weltweiten Vorjahresumsatzes des Unternhemens, dem die Einrichtung gehört.
Cybersicherheit als Managementaufgabe
NIS2 betont Cyberrisikomanagement als Teil des unternehmerischen Risikomanagements.
Und das aus gutem Grund, denn Cyberangriffe sind heute das größte Geschäftsrisiko. Gerade im Bereich der kritischen Infrastrukturen ist es wichtig, den Betrieb sicherzustellen. Daher nimmt die NIS-2-Richtlinie Geschäftleitung und IT-Security-Verantwortliche in die Verantwortung:
Sie müssen Maßnahmen zum Cyberrisikomanagement billigen und deren Umsetzung überwachen. Geschäftsführer, die ihrem Cyberrisikomanagement nicht nachkommen, haften persönlich die entstandenen Gefährdungen und/oder Schäden.
Maßnahmen zum Risikomanagement für Cybersicherheit
Policies
Konzepte für Risikoanalysen & Sicherheit für Informationssysteme.
Business Continuity
Aufrechterhaltung des Betriebs, wie Backup-Manager und Wiederherstellung nach einem Notfall und Krisen-management.
Incident Management
Bewältigung von Sicherheitsvorfällen.
Einkauf
Sicherheitsmaßnahmen bei Erwerb, Entwicklung & Wartung von Netz- & Informationssystemen, einschließlich Management & Offenlegung von Schwachstellen.
Schulungen
Grundlegende Verfahren im Bereich der Cyberhygiene & Schulungen im Bereich Cybersicherheit.
Verschlüsselung
Konzepte und Verfahren für den Einsatz von Kryptografie & ggfs. Verschlüsselung.
Supply Chain
Sicherheit der Lieferkette einschließlich sicherheitsbezogene Aspekte der Beziehung zwischen den einzelnen Einrichtungen & ihren unmittelbaren Anbietern oder Dienstanbietern.
Effektivität
Konzepte & Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahme im Bereich der Cybersicherheit.
Weitere Maßnahmen
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen.
Der erste Schritt zur NIS-2 Compliance beginnt hier
Persönlicher & kostenfreier Webcast – ganz auf Ihre Fragen angepasst.
Maßnahmen zur Stärkung Ihrer Cybersicherheit
Unsere NIS-2 Workshops im Überblick
Mit unserem zweistufigen NIS-2-Workshop schaffen wir eine fundierte Basis für Ihre Compliance
und IT-Sicherheit.
Im ersten Workshop-Tag analysieren wir gemeinsam Ihren aktuellen Stand, bewerten den Reifegrad Ihrer IT-Security und gleichen diesen mit den Anforderungen der NIS-2-Richtlinie ab. So erhalten Sie eine klare Standortbestimmung, konkrete Handlungsempfehlungen und eine strukturierte Entscheidungsgrundlage für die nächsten Schritte.
Aufbauend auf den Ergebnissen des Starter-Workshops gehen wir im zweiten Schritt in die konkrete Planung. Ziel ist es, die identifizierten Abweichungen strukturiert zu reduzieren und einen realistischen, umsetzbaren Fahrplan zur NIS-2-Konformität zu entwickeln. Dabei orientieren wir uns am aktuellen Stand der Technik sowie an bewährten Best-Practice-Ansätzen – inklusive Aufwand, Zeitplanung und Budgetrahmen. So entsteht aus der Analyse ein klarer Umsetzungsplan mit Prioritäten, Modulen und nächsten Schritten.
NIS-2 Starter Workshop
- Kickoff Gespräch zur Erläuterung der Systematik & weitere teminlicher Absprache
- IST-Aufnahme: Bestimmung des Reifegrades der IT-Security & Dokumentation
- Abgleich IST-Zustand in Bezug auf voraussichtlich zu ergreifenden Maßnahmen / TOMs
- Präsentation der im Workshop gewonnen Ergebnisse & Diskussion
- Abstimmung der weiteren Maßnahmen zwecks Durchführung eines NIS-2 Planungsworkshop
- Überlassung der im Workshop gewonnenen Ergebnisse als PDF
Der NIS-2 Starter Workshop bildet die verbindliche Grundlage für den Planungsworkshop ↓
NIS-2 Planungsworkshop
Basierend auf den Ergebnissen des ersten NIS-2 Workshop & erfolgter Abstimmung:
- Konzeption- & Planung einer NIS-2 Delta Reduktion, als Basis dient hier der jeweils aktuelle Stand
- der Technik & Best-Practice-Ansätze
Erstellung des NIS-2 Fahrplans:
- Erforderliche Maßnahmen (Aufteilung/Zusammenfassung in Modulen)
- Materialien (Hard- & Software)
- Aufwandschätzung
- Erstellung einer ersten zeitlichen Planung
- Präsentation / Vorstellung der einzelnen Module & Diskussion
- Erstellung einer ersten Budgetierung
- Präsentation / Vorstellung der einzelnen Module & Diskussion
- Evaluierung eines Review-Verfahrens zur fortlaufenden Risikobewertung & Implementierungsstand
- Abstimmung der weiteren Vorgehensweise
Ihre Ansprechpartner
Duisburg
Hannover
Leipzig
Sie möchten mehr über unsere Lösungen erfahren oder ein konkretes Projekt besprechen? Rufen Sie uns einfach unter der Rufnummer 0203 / 709009-400 an oder füllen Sie kurz das folgende Formular aus. Dann melden wir uns gerne bei Ihnen.