NIS2 Beratung

NIS2 Beratung

Unterstützung in allen Fragen rund um NIS2

Unternehmensdaten und -systeme sind mehr denn je Risiken ausgesetzt. Mit der Richtlinie NIS2 (Network and Information Systems 2 Directive) fordert die Europäische Kommission von Unternehmen, sich angemessen auf Cyber-Bedrohungen vorzubereiten. Im Folgenden erläutern wir, was NIS2 für die Praxis bedeutet und wie wir Sie dabei unterstützen können.

Kostenlose Erstberatung anfordern

Grundlegendes zum Thema

Was Sie darüber wissen sollten

NIS2 Beratung Hintergrund

Die NIS2-Richtlinie wurde im Dezember 2022 von der Europäischen Kommission verabschiedet und folgt auf die ursprüngliche NIS-Richtlinie von 2016. Das Ziel von NIS war es, die Cybersecurity und Widerstandsfähigkeit kritischer Infrastrukturen in der EU zu stärken. NIS2 knüpft hieran an und berücksichtigt vor allem zwei entscheidende Trends:

  • Anhaltende Vernetzung und Digitalisierung
    Behörden und Unternehmen digitalisieren weiterhin ihre Prozesse, was die Angriffsfläche für Cyberattacken vergrößert.
  • Zunehmende Cyberkriminalität
    Die Angreifer verfügen über tiefgehendes Wissen rund um das Thema Cybersecurity und agieren immer professioneller.

Auswirkungen der NIS2-Richtlinie

Die NIS2-Richtlinie verfolgt das Ziel, die Sicherheit digitaler Dienste und kritischer Infrastrukturen zu gewährleisten. Von Unternehmen, Versorgern und weiteren Institutionen innerhalb EU wird verlangt, sich auf Cyberbedrohungen vorzubereiten und Maßnahmen zur Steigerung der Cybersicherheit zu ergreifen.

NIS2 ist eine Richtlinie und damit von den EU-Mitgliedstaaten in jeweils eigene Gesetze und Vorschriften umzusetzen. Entsprechend können die genauen Anforderungen und Bestimmungen je nach Land etwas variieren. Im Wesentlichen bringt NIS2 gegenüber NIS diese Neuerungen mit sich.

  • Erweiterter Anwendungsbereich
    Die NIS2-Richtlinie betrifft ein breiteres Spektrum an Unternehmen und Organisationen, einschließlich digitaler Dienstleister.
  • Strengere Sicherheitsanforderungen
    Höhere Sicherheitsanforderungen sollen die Widerstandsfähigkeit von Netz- und Informationssystemen gegen Angriffe von Cyberkriminellen erhöhen.
  • Meldepflicht für Sicherheitsvorfälle
    Betroffene Organisationen (z.B. Betreiber wesentlicher Dienste und digitale Dienstleister) sind verpflichtet, relevante Sicherheitsvorfälle den zuständigen Behörden zu melden.
  • Neues Meldesystem
    Das bisherige Meldesystem für Vorfälle wird von einem dreistufigen Melderegime abgelöst.
  • Verstärkte Aufsicht und Zusammenarbeit
    Die Mitgliedstaaten sollen ihre Zusammenarbeit im Feld der Cybersecurity intensivieren.

Relevanz für die Praxis

Was bedeutet das für Sie?

NIS2 Beratung Praxis

Die Sicherheit von Netzwerk- und Informationssystemen ist von entscheidender Bedeutung. Die NIS2-Richtlinie der Europäischen Union verpflichtet Unternehmen bestimmter Sektoren, ihre Cybersicherheitsmaßnahmen deutlich zu verstärken. Um die Widerstandsfähigkeit kritischer Infrastrukturen und wichtiger Einrichtungen zu gewährleisten, definiert NIS2 klare Anforderungen, die Unternehmen erfüllen müssen. Diese Anforderungen zielen darauf ab, ein umfassendes Risikomanagement zu etablieren, die Fähigkeit zur schnellen Reaktion auf Sicherheitsvorfälle zu verbessern und das allgemeine Sicherheitsniveau zu erhöhen.

  • Geschäftskontinuitäts- und Wiederherstellungspläne zur Bewältigung von Notfällen müssen vorhanden sein.
  • Meldung erheblicher Vorfälle an das BSI – in bestimmten Fällen innerhalb von 24 Stunden.
  • Unternehmensweiter Einsatz von Verschlüsselungstechnologien und Multi-Faktor-Authentifizierung.
  • Regelmäßige Schulungen aller Mitarbeiter zu Risiken und Verhaltensregeln. Bereitstellung von Schulungsnachweisen für das BSI.

Konsequenzen bei Verstößen

Die EU-Kommission legt großen Wert darauf, dass sich betroffene Organisationen vor der Umsetzung der NIS2-Vorgaben nicht drücken oder diese nur halbherzig berücksichtigen. Deshalb sind in der Richtlinie strenge Sanktionen und Konsequenzen definiert, sollte es zu Verstößen gegen die Vorgaben kommen.

Diese Herangehensweise unterstreicht die Ernsthaftigkeit der NIS2-Richtlinie und die Notwendigkeit für Unternehmen, angemessene Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten, um Sicherheitsvorfällen vorzubeugen.

  1. Geldbußen
    Bei einem Verstoß droht eine Geldbuße, die ein Unternehmen empfindlich trifft. Dieser Ansatz soll abschreckend wirken und letztlich gewährleisten, dass Organisationen die Sicherheitsanforderungen ernst nehmen und die Vorgaben der Richtlinie konsequent umsetzen.

    Bei der Festsetzung von Geldstrafen wird zwischen wesentlichen und wichtigen Einrichtungen unterschieden. Für wesentliche Einrichtungen beträgt die Geldbuße bis zu 10 Millionen Euro oder 2 Prozent des gesamten weltweiten Vorjahresumsatzes. Für wichtige Einrichtungen beträgt die Geldbuße bis zu 7 Millionen Euro oder 1,4 Prozent des gesamten weltweiten Vorjahresumsatzes.

  2. Möglichkeit zur Untersagung von Leitungsfunktionen
    Im Ernstfall kann dem Management vorübergehend die Ausübung von Leitungsfunktionen untersagt werden. Solch ein Schritt soll gewährleisten, dass angemessene Schritte zur Verbesserung der Sicherheit ergriffen werden.
  3. Aktives Handeln der Leitungsorgane
    Leitungsorgane dürfen nicht mehr nur delegieren, sondern müssen selbst aktiv tätig werden, um sicherzustellen, dass angemessene Sicherheitsmaßnahmen umgesetzt werden.
  4. Haftung der Geschäftsleitung
    Außerdem macht NIS2 die Sicherheit der Informationssysteme zur Chefsache, indem der Geschäftsleitung persönlich die Einhaltung der Sicherheitsanforderungen auferlegt wird.

Von der Herausforderung zur Lösung

Fragestellungen rund um die Umsetzung

Für betroffene Organisationen ist es entscheidend, die landesspezifischen NIS2-Vorgaben zu kennen. In Deutschland fließen die NIS2-Vorgaben in das Gesetz über das Bundesamt in der Informationssicherheit (BSIG) ein.

Unternehmen und andere Organisationen, die Maßnahmen aus dem Feld der Informationssicherheit ergreifen und sich aktiv gegen Cyber-Bedrohungen absichern, schaffen damit ein solides Fundament. Dies trifft besonders dann zu, wenn ein Informations-Sicherheits-Management-System (ISMS) eingeführt wird. Damit sollte in den meisten Fällen eine bestens geeignete Basis bestehen, um die NIS2-Vorgaben effizient umsetzen und erfüllen zu können.

Wichtige Fragestellungen

In einer frühen Phase der Auseinandersetzung mit NIS2 sollten sich Entscheidungsträger u.a. mit den folgenden Fragen auseinandersetzen.

Bereich Grundlegende Fragen

Rechtliche Fragen
  • Sind wir von NIS2 betroffen?
  • In welchen Ländern sind wir ansässig und welche nationalen Rechtsvorschriften sind relevant?
  • Welche Sanktionen drohen bei Verstößen?

Organisatorische Fragen
  • Wer ist für die Umsetzung von NIS2 verantwortlich?
  • Wie können wir unsere Mitarbeiter für das Thema Cyber-Security sensibilisieren?
  • Soll eine Zertifizierung der Informationssicherheit angestrebt werden – und wenn ja, welche?
    		•

    Technische Fragen
  • Welche Rolle spielt das Incident Response Team bei der Umsetzung von NIS2?
  • Welche Bedeutung haben regelmäßige Software-Updates für die NIS2-Compliance?
  • Wie können wir die Sicherheit mobiler Geräte im Rahmen von NIS2 gewährleisten?
    		•

    Unser Angebot

    Ihr Partner und Dienstleister in Sachen Informationssicherheit

    NIS2 Beratung Angebot

    Der richtige Ansatz zur Vorbereitung auf NIS2 ist ein Informationssicherheits-Managementsystem (ISMS), das am besten nach den Vorgaben der ISO 27001 aufgebaut wird. Wir unterstützen Sie bei der Einführung und Zertifizierung eines ISMS und begleiten Sie bei allen wesentlichen Schritten, um die Anforderungen der ISO-Norm und von NIS2 zu erfüllen. Unsere Dienstleistungen umfassen unter anderem:

    • GAP-Analyse
      Wir analysieren Ihre aktuellen Sicherheitsmaßnahmen, identifizieren Schwachstellen und zeigen Verbesserungsbedarf auf.
    • Maßnahmenkatalog
      Basierend auf den Ergebnissen der GAP-Analyse erstellen wir einen umfassenden Massnahmenkatalog, der Ihnen hilft, die Anforderungen von ISO 27001 und NIS2 zu erfüllen.
    • Risikomanagement
      Wir unterstützen Sie bei der Verbesserung Ihres Risikomanagements, einschließlich des Umgangs mit Cyber-Vorfällen und der Implementierung eines Business Continuity Managements.
    • Mitarbeiterschulung
      Ihre Mitarbeiterinnen und Mitarbeiter sind eine wichtige Säule der Informationssicherheit. Wir bieten Infosec Online-Schulungen an, um das Bewusstsein für Sicherheitsrisiken zu schärfen und die Einhaltung von Sicherheitsstandards zu gewährleisten.

    Unser Ziel ist es, Sie in allen Fragen rund um NIS2 und Informationssicherheit zu unterstützen. Nutzen Sie unsere kostenlose Erstberatung, um mehr zu erfahren und den ersten Schritt in eine sichere Zukunft zu machen.

    C&P Capeletti & Perl – Gesellschaft für Datentechnik mbH
    COMET Feuerwerk GmbH
    tonies GmbH
    Thüga SmartService GmbH
    Robert Lindner GmbH
    MRK Media AG
    MILES GmbH
    Friedrich-Loeffler-Institut – Bundesforschungsinstitut für Tiergesundheit
    DRK-Kreisverband Lübeck e. V.
    Diamant Fahrradwerke GmbH
    Erlenbacher Backwaren GmbH
    Froneri Schöller GmbH
    André Beaujean

    Bereit für den nächsten Schritt?

    Kontaktieren Sie uns, um mehr über unsere Dienstleistungen zu erfahren oder ein unverbindliches Angebot zu erhalten. Sie erreichen uns unter 0800 5600831 (gebührenfrei) und über unser Kontaktformular.

    Kostenlose Erstberatung anfordern