NIS2 Beratung und Umsetzung: Rechtzeitig vorbereiten
Was ist die NIS2?:
Die NIS2-Richtlinie ist verabschiedet. Deutlich mehr Unternehmen sind jetzt von Cybersicherheitsregulierung betroffen. Bis spätestens zum 17.10.2024 wird die EU-Richtlinie mit dem NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht umgesetzt. Ab diesem Zeitpunkt müssen betroffene Unternehmen Cybersicherheitsanforderungen und Meldepflichten verpflichtend umsetzen. Schätzungen gehen von mehr als 30.000 betroffenen Unternehmen in Deutschland aus. Auch Unternehmen mit nur 50 Mitarbeitern müssen sich mit den Anforderungen auseinandersetzen.
Weitere Informationen zur NIS2 haben wir für Sie in unserem Blog zusammengefasst.
NIS2-Fakten:
- Betroffenheit: 18 Sektoren, ab 50 MA und 10 Mio € Umsatz / Jahr + größenunabhängige Sonderregelungen
- Maßnahmen: u. a. Risikomanagement, Incident-Management, Schulungen, Backup-Management, Notfall-Management
- Weitere Pflichten: Meldepflichten für Sicherheitsvorfälle (24h), Registrierungs- und ggf. Nachweispflichten, Übermittlung von ext. IP-Adressbereichen
- Bußgelder: Abhängig vom Verstoß, Im Höchstfall bis zu 20 Mio € oder 2 % des weltweiten Umsatzes
Unterstützung bei der NIS2-Betroffenheitsanalyse
Unternehmen müssen selbstständig identifizieren, ob sie von der NIS2-Richtlinie betroffen sind und die Maßnahmen dann rechtzeitig zu den Stichtagen erfüllen. Die NIS2-Betroffenheitsanalyse ist mir unserem Self-Check sehr einfach: Ihr Unternehmen ist in einem der 18 Sektoren tätig und hat mehr als 50 Mitarbeiter oder mehr als 10. Mio € Jahresumsatz? Dann ist es wahrscheinlich betroffen. Für eine erste Prüfung haben wir einen Self-Check erstellt.
NIS2-Selfcheck starten
Leider gibt es noch eine Vielzahl an weiteren Faktoren welche für oder gegen eine vollständige Betroffenheit sprechen können und eine individuelle Betroffenheitsprüfung notwendig machen:
- Sektordefinitionen: nicht alle Unternehmen eines Sektors sind betroffen. Detailbetrachtung notwendig (Übersicht der NIS2-Sektoren)
- Size Cap: unterschiedliche Pflichten abhängig von der Unternehmensgröße (50 oder 250 MA).
- Umfang der Pflichten: zählt Ihr Unternehmen zur Kategorie der „wichtigen Einrichtungen“ oder der „besonders wichtigen Einrichtungen“?
- Sonderregelungen: Einige Branchen sind größenunabhängig erfasst. Bspw.: Vertrauensdienste, DNS-Anbieter, bisherige KRITIS-Betreiber, Umgang mit bestimmten Gefahrstoffen.
- Tochterunternehmen und primäre Werschöpfung: Aspekte wie ausgelagerte IT-Unternehmen, Querschnittsaufgaben, oder der maßgebliche Einfluss auf IT-Governance können die Betroffenheit gravierend verändern.
Gerne bieten wir ein kostenloses Erstgespräch an und führen anschließend die Betroffenheitsanalyse gemeinsam mit Ihnen durch.
kostenloses Erstgespräch vereinbaren
Unser Angebot zur NIS2-Umsetzung
Das NIS2 Umsetzungsgesetz wird zu einer Vielzahl an neuen Anforderungen und Pflichten führen. Viele der geforderten Maßnahmen sind Grundlage einer guten Cybersicherheitsarchitektur und sollten unabhängig von der Betroffenheit umgesetzt sein. Andere Anforderungen stellen einen Mehraufwand dar, Unternehmen sollten bereits jetzt mit der Umsetzung beginnen. Aufgrund der Vielzahl und Komplexität der Anforderungen empfehlen wir die Implementierung eines ISMS, bspw. nach der Norm ISO 27001. Es bedarf eines strukturierten Ansatzes zum Management der einzelnen Maßnahmen. Eine Zertifizierung ist dabei nicht zwingend erforderlich, kann aber Mehrwerte bspw. zum Nachweis gegenüber Kunden bieten. Gerne prüfen wir mit Ihnen, welche Maßnahmen bereits ausreichend umgesetzt wurden und unterstützen bei Bedarf bei der weiteren Umsetzung der notwendigen organisatorischen und technischen Maßnahmen.
Überblick über einige NIS2-Pflichten:
– Registrierungspflicht: dabei u. a. Übermittlung von Kontaktdaten, IP-Adressbereichen und Angaben zur erbrachten Dienstleistung an das BSI. Die Aufsichtsbehörde kann dabei Einsicht in interne Aufzeichnungen verlangen.
– Meldepflicht: mehrstufiger Meldeprozess, dabei u. a. die unverzügliche Meldung von Sicherheitsvorfällen (24h).
– Nachweispflichten: für einige Einrichtungskategorien werden Nachweise der NIS2-Umsetzung erforderlich (bspw. durch Zertifikate, Audits). Die Regelungen dazu können sich noch ändern.
– Risikomanagement und Maßnahmen: Dies ist sicherlich der Aspekt mit dem größten Umsetzungsaufwand bei dem wir Sie gern unterstützen. Das NIS2UmsuCG fordert die Etablierung eines (IT)-Risikomanagements aus dem wirksame Cybersicherheitsmaßnahmen abgeleitet werden müssen. Die Maßnahmen umfassen dabei u. a.:
- Konzepte zur Risikoanalyse und Informationssicherheit. Hierzu müssen u. a. Richtlinien und Policies implementiert werden. Gerne unterstützen wir bei der sinnvollen Ausgestaltung, damit diese nicht zu einem wirkungslosen Mehraufwand führen.
- Maßnahmen und Konzepte zur Bewältigung von Sicherheitsvorfällen (Security Incident Management)
- Business Continuity Management, Notfallkonzepte, Backup-Management, Disaster-Recovery
- Sicherheit der Lieferkette (Supply-Chain-Security)
- Schwachstellenmanagement, Sichere Softwareentwicklung
- Sicherheitsschulungen für Mitarbeiter und Geschäftsführer
- Weitere Aspekte wie Kryptografie, Personalsicherheit, Assetmanagement, Fernwartung, Zugriffskontrolle, MFA
- regelmäßige Wirksamkeitsprüfungen
– Weitere Anforderungen: Diese Aufstellung ist nicht abschließend. Es gibt weitere Pflichten wie bspw. Überwachungs- und Schulungspflichten für Geschäftsführer, Teilnahme am Informationsaustausch des BSI oder Durchsetzungsmaßnahmen der Aufsichtsbehörden. Details der Pflichten können sich bis zur finalen Verabschiedung des NIS2-Umsetzungsgesetzes in Deutschland noch ändern.