NIS2 Beratung
Unterstützung in allen Fragen rund um NIS2
Unternehmensdaten und -systeme sind mehr denn je Risiken ausgesetzt. Mit der Richtlinie NIS2 (Network and Information Systems 2 Directive) fordert die Europäische Kommission von Unternehmen, sich angemessen auf Cyber-Bedrohungen vorzubereiten. Im Folgenden erläutern wir, was NIS2 für die Praxis bedeutet und wie wir Sie dabei unterstützen können.
Kostenlose Erstberatung anfordernGrundlegendes zum Thema
Was Sie darüber wissen sollten
Die NIS2-Richtlinie verfolgt das Ziel, die Sicherheit digitaler Dienste und kritischer Infrastrukturen zu gewährleisten. Von Unternehmen, Versorgern und weiteren Institutionen innerhalb der EU wird verlangt, sich auf Cyberbedrohungen vorzubereiten und Maßnahmen zur Steigerung der Cybersicherheit zu ergreifen.
Anwendungsbereich von NIS2 – wer ist betroffen?
In Deutschland betreffen die NIS2-Vorgaben „wichtige“ und „besonders wichtige“ Unternehmen. Als wichtig gelten:
- Vertrauensdiensteanbieter
- Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die (a) weniger als 50 Mitarbeiter beschäftigen und (b) einen Jahresumsatz oder eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger
- Unternehmen mit (a) mindestens 50 Mitarbeitern oder (b) einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro in diesen Branchen: Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Ernährung/Lebensmittel, Forschung, digitale Dienste und verarbeitendes Gewerbe
Als besonders wichtig gelten:
- Betreiber kritischer Anlagen
- Qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter
- Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die (a) mindestens 50 Mitarbeiter beschäftigen oder (b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen
- Unternehmen, mit (a) mindestens 250 Mitarbeitern oder (b) einem Jahresumsatz von mehr als 50 Mio. € und einer Jahresbilanzsumme von über 43 Mio. € in diesen Branchen: Energie, Transport/Verkehr, Finanzwesen, Gesundheit, Wasser, digitale Infrastruktur und Weltraum
Konsequenzen bei Verstößen
Die EU-Kommission legt großen Wert darauf, dass sich betroffene Organisationen vor der Umsetzung der NIS2-Vorgaben nicht drücken oder diese nur halbherzig berücksichtigen. Deshalb sind in der Richtlinie strenge Sanktionen und Konsequenzen definiert, sollte es zu Verstößen gegen die Vorgaben kommen.
Diese Herangehensweise unterstreicht die Ernsthaftigkeit der NIS2-Richtlinie und die Notwendigkeit für Unternehmen, angemessene Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten, um Sicherheitsvorfällen vorzubeugen.
- Geldbußen
Bei einem Verstoß droht eine Geldbuße, die ein Unternehmen empfindlich trifft. Dieser Ansatz soll abschreckend wirken und letztlich gewährleisten, dass Organisationen die Sicherheitsanforderungen ernst nehmen und die Vorgaben der Richtlinie konsequent umsetzen.
Bei der Festsetzung von Geldstrafen wird zwischen wesentlichen und wichtigen Einrichtungen unterschieden. Für wichtige Einrichtungen beträgt die Geldbuße bis zu 7 Millionen Euro oder 1,4 Prozent des gesamten weltweiten Vorjahresumsatzes. Für besonders wichtige Einrichtungen beträgt die Geldbuße bis zu 10 Millionen Euro oder 2 Prozent des gesamten weltweiten Vorjahresumsatzes. - Möglichkeit zur Untersagung von Leitungsfunktionen
Im Ernstfall kann dem Management vorübergehend die Ausübung von Leitungsfunktionen untersagt werden. Solch ein Schritt soll gewährleisten, dass angemessene Schritte zur Verbesserung der Sicherheit ergriffen werden. - Aktives Handeln der Leitungsorgane
Leitungsorgane dürfen nicht mehr nur delegieren, sondern müssen selbst aktiv tätig werden, um sicherzustellen, dass angemessene Sicherheitsmaßnahmen umgesetzt werden. - Haftung der Geschäftsleitung
Außerdem macht NIS2 die Sicherheit der Informationssysteme zur Chefsache, indem der Geschäftsleitung persönlich die Einhaltung der Sicherheitsanforderungen auferlegt wird.
Relevanz für die Praxis
Was bedeutet das für Sie?
Cyberangriffe und Sicherheitsvorfälle verursachen regelmäßig Schäden in Millionenhöhe – von Produktionsausfällen über Datenverluste bis hin zu Reputationsschäden. Besonders für kleine und mittlere Unternehmen kann ein einziger Vorfall existenzbedrohend sein.
Diese Pflichten bestehen
Zur Erhöhung der Widerstandsfähigkeit kritischer Infrastrukturen und wichtiger Einrichtungen unterliegen entsprechend klassifizierte Einrichtungen strengen Pflichten:
- Registrierung: Betroffene Einrichtungen müssen sich innerhalb von drei Monaten beim BSI registrieren. Relevante Änderungen sind innerhalb von zwei Wochen zu melden.
- Risikomanagement: Per Katalog definierte Sicherheitsmaßnahmen sind umzusetzen.
- Meldepflichten: Relevante Sicherheitsvorfälle sind fristgerecht zu melden.
- Managementpflichten: Überwachungs- und Kontrollmaßnahmen sowie Schulungspflichten für das Managementpersonal sind umzusetzen.
Vorgeschriebene Sicherheitsmaßnahmen
NIS2 definiert klare Anforderungen an IT-Sicherheitsmaßnahmen, die Unternehmen erfüllen müssen. Diese zielen darauf ab, ein umfassendes Risikomanagement zu etablieren, die Fähigkeit zur schnellen Reaktion auf Sicherheitsvorfälle zu verbessern und das allgemeine Sicherheitsniveau zu erhöhen. Wesentliche Sicherheitsmaßnahmen umfassen:
- Risikoanalyse und IT-Sicherheitspolitik
- Vorfallsbearbeitung
- Business Continuity und Krisenmanagement
- Sicherheit in der Lieferkette
- Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz‑ und Informationssystemen, einschließlich Schwachstellenmanagement und -offenlegung (CVD)
- Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
- Schulungen und Sensibilisierung
- Verschlüsselung
- Identitäts- und Zugriffsmanagement (IAM) und privilegiertes Zugriffsmanagement (PAM)
- Sichere Authentifizierung und Kommunikation
Darüber hinaus fordert NIS2 eine klare Dokumentation und gelebte Richtlinien. Unternehmen aus dem Mittelstand müssen typischerweise rund 20 bis 35 sicherheitsrelevante Policies entwickeln. Diese Richtlinien bilden das Fundament eines kontinuierlichen Verbesserungsprozesses nach dem PDCA-Prinzip (Plan–Do–Check–Act), der sicherstellt, dass Informationssicherheit nicht als einmaliges Projekt, sondern als fortlaufende Aufgabe verstanden wird.
Von der Herausforderung zur Lösung
Fragestellungen rund um die Umsetzung
Für betroffene Einrichtungen ist es entscheidend, die landesspezifischen NIS2-Vorgaben zu kennen. In Deutschland fließen die NIS2-Vorgaben in das Gesetz über das Bundesamt in der Informationssicherheit (BSIG) ein.
Unternehmen und andere Organisationen, die Maßnahmen aus dem Feld der Informationssicherheit ergreifen und sich aktiv gegen Cyber-Bedrohungen absichern, schaffen damit ein solides Fundament. Dies trifft besonders dann zu, wenn ein Informations-Sicherheits-Management-System (ISMS) eingeführt wird. Damit sollte in den meisten Fällen eine bestens geeignete Basis bestehen, um die NIS2-Vorgaben effizient umsetzen und erfüllen zu können.
Wichtige Fragestellungen
In einer frühen Phase der Auseinandersetzung mit NIS2 sollten sich Entscheidungsträger u.a. mit den folgenden Fragen auseinandersetzen.
| Bereich | Grundlegende Fragen |
|---|---|
Rechtliche Fragen |
|
Organisatorische Fragen |
|
Technische Fragen |
|
Unser Angebot
Ihr Partner und Dienstleister in Sachen Informationssicherheit
Der richtige Ansatz zur Vorbereitung auf NIS2 ist ein Informationssicherheits-Managementsystem (ISMS), das am besten nach den Vorgaben der ISO 27001 aufgebaut wird. Die internationale Norm gilt als bewährter Standard für den Aufbau und Betrieb eines wirksamen ISMS.
Wir unterstützen Sie bei der Einführung und Zertifizierung eines ISMS und begleiten Sie bei allen wesentlichen Schritten, um die Anforderungen der ISO-Norm und von NIS2 zu erfüllen.
Unser Ansatz kombiniert individuelle Beratung mit einer klaren Roadmap und wirksamen Risikomanagementmaßnahmen. Wir begleiten Sie bei der Umsetzung technischer Kontrollen, beim Aufbau eines ISMS und durch gezielte NIS2-Schulungen für Ihr Team. Unsere Dienstleistungen umfassen unter anderem:
- GAP-Analyse
Wir analysieren Ihre aktuellen Sicherheitsmaßnahmen, identifizieren Schwachstellen und zeigen Verbesserungsbedarf auf. - Maßnahmenkatalog
Basierend auf den Ergebnissen der GAP-Analyse erstellen wir einen umfassenden Maßnahmenkatalog, der Ihnen hilft, die Anforderungen von ISO 27001 und NIS2 zu erfüllen. - Risikomanagement
Wir unterstützen Sie bei der Verbesserung Ihres Risikomanagements, einschließlich des Umgangs mit Cyber-Vorfällen und der Implementierung eines Business Continuity Managements. - Mitarbeiterschulung
Ihre Mitarbeiter sind eine wichtige Säule der Informationssicherheit. Unsere Infosec Online-Schulungen helfen, das Bewusstsein für Sicherheitsrisiken zu schärfen und die Einhaltung von Sicherheitsstandards zu gewährleisten.
NIS2 Beratung vom Experten
Die Herold Unternehmensberatung ist Ihr Partner für alle Fragen rund um NIS2 und den damit verbundenen Anforderungen an die Informationssicherheit. Wir unterstützen Sie dabei, regulatorische Vorgaben praxisnah umzusetzen und Ihr Sicherheitsniveau nachhaltig zu stärken. Vereinbaren Sie jetzt Ihre kostenlose Erstberatung und erfahren Sie, wie Sie NIS2 konform und zukunftssicher umsetzen.
Fragen & Antworten
Hier beantworten wir die häufigsten Fragen zum Thema NIS2 Beratung
Führt eine ISO 27001-Zertifizierung automatisch zur NIS2-Compliance?
Welche Fristen gelten für die Meldung von Sicherheitsvorfällen?
Wie oft müssen die getroffenen Sicherheitsmaßnahmen nachgewiesen werden?
Drohen neben Bußgeldern weitere Konsequenzen bei Verstößen?
Was ist der Zweck eines Risikomanagement-Frameworks im Kontext von NIS2?
Bereit für den nächsten Schritt?
Kontaktieren Sie uns, um mehr über unsere Dienstleistungen zu erfahren oder ein unverbindliches Angebot zu erhalten. Sie erreichen uns unter 0800 5600831 (gebührenfrei) und über unser Kontaktformular.