Was ist die NIS2?:
Die NIS2-Richtlinie ist verabschiedet. Deutlich mehr Unternehmen sind jetzt von Cybersicherheitsregulierung betroffen. Bis spätestens zum 17.10.2024 wird die EU-Richtlinie mit dem NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht umgesetzt. Ab diesem Zeitpunkt müssen betroffene Unternehmen Cybersicherheitsanforderungen und Meldepflichten verpflichtend umsetzen. Schätzungen gehen von mehr als 30.000 betroffenen Unternehmen in Deutschland aus. Auch Unternehmen mit nur 50 Mitarbeitern müssen sich mit den Anforderungen auseinandersetzen.
Weitere Informationen zur NIS2 haben wir für Sie in unserem Blog zusammengefasst.
Unternehmen müssen selbstständig identifizieren, ob sie von der NIS2-Richtlinie betroffen sind und die Maßnahmen dann rechtzeitig zu den Stichtagen erfüllen. Die NIS2-Betroffenheitsanalyse ist mir unserem Self-Check sehr einfach: Ihr Unternehmen ist in einem der 18 Sektoren tätig und hat mehr als 50 Mitarbeiter oder mehr als 10. Mio € Jahresumsatz? Dann ist es wahrscheinlich betroffen. Für eine erste Prüfung haben wir einen Self-Check erstellt.
Leider gibt es noch eine Vielzahl an weiteren Faktoren welche für oder gegen eine vollständige Betroffenheit sprechen können und eine individuelle Betroffenheitsprüfung notwendig machen:
Gerne bieten wir ein kostenloses Erstgespräch an und führen anschließend die Betroffenheitsanalyse gemeinsam mit Ihnen durch.
kostenloses Erstgespräch vereinbaren
Das NIS2 Umsetzungsgesetz wird zu einer Vielzahl an neuen Anforderungen und Pflichten führen. Viele der geforderten Maßnahmen sind Grundlage einer guten Cybersicherheitsarchitektur und sollten unabhängig von der Betroffenheit umgesetzt sein. Andere Anforderungen stellen einen Mehraufwand dar, Unternehmen sollten bereits jetzt mit der Umsetzung beginnen. Aufgrund der Vielzahl und Komplexität der Anforderungen empfehlen wir die Implementierung eines ISMS, bspw. nach der Norm ISO 27001. Es bedarf eines strukturierten Ansatzes zum Management der einzelnen Maßnahmen. Eine Zertifizierung ist dabei nicht zwingend erforderlich, kann aber Mehrwerte bspw. zum Nachweis gegenüber Kunden bieten. Gerne prüfen wir mit Ihnen, welche Maßnahmen bereits ausreichend umgesetzt wurden und unterstützen bei Bedarf bei der weiteren Umsetzung der notwendigen organisatorischen und technischen Maßnahmen.
Überblick über einige NIS2-Pflichten:
– Registrierungspflicht: dabei u. a. Übermittlung von Kontaktdaten, IP-Adressbereichen und Angaben zur erbrachten Dienstleistung an das BSI. Die Aufsichtsbehörde kann dabei Einsicht in interne Aufzeichnungen verlangen.
– Meldepflicht: mehrstufiger Meldeprozess, dabei u. a. die unverzügliche Meldung von Sicherheitsvorfällen (24h).
– Nachweispflichten: für einige Einrichtungskategorien werden Nachweise der NIS2-Umsetzung erforderlich (bspw. durch Zertifikate, Audits). Die Regelungen dazu können sich noch ändern.
– Risikomanagement und Maßnahmen: Dies ist sicherlich der Aspekt mit dem größten Umsetzungsaufwand bei dem wir Sie gern unterstützen. Das NIS2UmsuCG fordert die Etablierung eines (IT)-Risikomanagements aus dem wirksame Cybersicherheitsmaßnahmen abgeleitet werden müssen. Die Maßnahmen umfassen dabei u. a.:
– Weitere Anforderungen: Diese Aufstellung ist nicht abschließend. Es gibt weitere Pflichten wie bspw. Überwachungs- und Schulungspflichten für Geschäftsführer, Teilnahme am Informationsaustausch des BSI oder Durchsetzungsmaßnahmen der Aufsichtsbehörden. Details der Pflichten können sich bis zur finalen Verabschiedung des NIS2-Umsetzungsgesetzes in Deutschland noch ändern.