NIS2 Betroffenheitsanalyse

NIS2 Betroffenheitsanalyse

NIS2-Betroffenheitsanalyse

Die NIS2-Richtlinie führt zu neuen Cybersicherheitspflichten für eine große Anzahl an betroffenen Unternehmen. Dabei stößt man immer wieder auf die Aussage, dass Unternehmen mit nur 50 Mitarbeitern betroffen sind. Das ist grundsätzlich korrekt. Außerdem ist jedes Unternehmen in der Pflicht die NIS2-Betroffenheit selbstständig zu prüfen und anschließend, wenn betroffen, eine Registrierung beim BSI vorzunehmen. Allerdings gibt es einige weitere Kriterien und Besonderheiten, die im Rahmen der Betroffenheitsprüfung zu berücksichtigen sind. Kein Unternehmen möchte sich fälschlicherweise registrieren und somit den Regulierungspflichten unterwerfen. Gerne möchten wir Sie bei der Prüfung Ihrer NIS2-Betroffenheit unterstützen.

Zusammenfassung NIS2:

  • Betroffenheit: 18 Sektoren, ab 50 MA und 10 Mio € Umsatz / Jahr + größenunabhängige Sonderregelungen
  • Maßnahmen: u. a. Risikomanagement, Incident-Management, Schulungen, Backup-Management, Notfall-Management
  • Weitere Pflichten: Meldepflichten für Sicherheitsvorfälle (24h), Registrierungs- und ggf. Nachweispflichten, Übermittlung von ext. IP-Adressbereichen
  • Bußgelder: Abhängig vom Verstoß, Im Höchstfall bis zu 20 Mio € oder 2 % des weltweiten Umsatzes

NIS2-Self-Check

Unternehmen müssen selbstständig identifizieren, ob sie von der NIS2-Richtlinie betroffen sind und die Maßnahmen dann rechtzeitig zu den Stichtagen erfüllen. Eigentlich könnte zumindest die NIS2-Betroffenheitsanalyse einfach sein: Ihr Unternehmen ist in einem der 18 Sektoren tätig und hat mehr als 50 Mitarbeiter oder mehr als 10. Mio € Jahresumsatz? Dann ist es wahrscheinlich betroffen. Für eine erste Prüfung haben wir einen Self-Check erstellt.

NIS2-Selfcheck starten

Leider gibt es noch eine Vielzahl an weiteren Faktoren, welche für oder gegen eine vollständige Betroffenheit der NIS2 sprechen können. Sollte Ihr Unternehmen nicht sehr deutlich unter den Schwellenwerten liegen (auch unter Berücksichtigung von ggf. vorhandenen Tochterunternehmen), dann empfehlen wir eine umfassendere Betroffenheitsprüfung unter genauer Analyse der Sektordefinitionen.

 Unser Angebot zur NIS2-Betroffenheitsprüfung

Folgende Aspekte machen eine individuelle Betroffenheitsprüfung notwendig:

  • Sektordefinitionen: nicht alle Unternehmen eines Sektors sind betroffen. Detailbetrachtung notwendig (Übersicht der NIS2-Sektoren)
  • Size Cap: unterschiedliche Pflichten abhängig von der Unternehmensgröße (50 oder 250 MA).
  • Umfang der Pflichten: zählt Ihr Unternehmen zur Kategorie der „wichtigen Einrichtungen“ oder der besonders wichtigen Einrichtungen“?
  • Sonderregelungen: Einige Branchen sind größenunabhängig erfasst. Bspw.: Vertrauensdienste, DNS-Anbieter, bisherige KRITIS-Betreiber, Umgang mit bestimmten Gefahrstoffen.
  • Tochterunternehmen und primäre Werschöpfung: Aspekte wie ausgelagerte IT-Unternehmen, Querschnittsaufgaben, oder der maßgebliche Einfluss auf IT-Governance können die Betroffenheit gravierend verändern.

Gerne bieten wir Ihnen ein kostenloses Erstgespräch an und führen die anschließende Betroffenheitsanalyse gemeinsam mit Ihnen durch.

kostenloses Erstgespräch vereinbaren

Weitere NIS2-Umsetzungsunterstützung