NIS2 Betroffenheitsanalyse

NIS2 Betroffenheitsanalyse

NIS2-Betroffenheitsanalyse

Die NIS2-Richtlinie führt zu neuen Cybersicherheitspflichten für eine große Anzahl an betroffenen Unternehmen. Häufig liest man dabei, dass schon ab 50 Mitarbeitern alle Unternehmen betroffen sind.“ Das stimmt aber nicht. Es gibt eine Vielzahl von Kriterien, die über Mitarbeiteranzahl oder Umsatz hinaus gelten.

Deswegen gilt:

  • Betroffenheit prüfen: 18 Sektoren, ab 50 MA und 10 Mio € Umsatz / Jahr mit zusätzlichen größenunabhängige Sonderregelungen machen es nicht leicht die eigene Betroffenheit zu identifizieren.
  • Wenn das Unternehmen betroffen ist gilt es u. a. Risikomanagement, Incident-Management, Schulungen, Backup-Management, Notfall-Management einzuführen.
  • Weitere Pflichten: Meldepflichten für Sicherheitsvorfälle (i.d.R. innerhalb 24h), Registrierungs- und ggf. Nachweispflichten, Übermittlung von ext. IP-Adressbereichen
  • Bußgelder: Abhängig vom Verstoß, Im Höchstfall bis zu 20 Mio. € oder 2 % des weltweiten Umsatzes

 

Wer sich vorschnell registriert, unterliegt strengeren Pflichten als nötig. Wer die Pflicht übersieht, riskiert Bußgelder.

NIS2-Self-Check

Unternehmen müssen selbstständig identifizieren, ob sie von der NIS2-Richtlinie betroffen sind und die Maßnahmen dann rechtzeitig zu den Stichtagen erfüllen. Eigentlich könnte zumindest die NIS2-Betroffenheitsanalyse einfach sein: Ihr Unternehmen ist in einem der 18 Sektoren tätig und hat mehr als 50 Mitarbeiter oder mehr als 10. Mio € Jahresumsatz? Dann ist es wahrscheinlich betroffen. Für eine erste Prüfung haben wir einen Self-Check erstellt.

NIS2-Selfcheck starten

Leider gibt es noch eine Vielzahl an weiteren Faktoren, welche für oder gegen eine vollständige Betroffenheit der NIS2 sprechen können. Sollte Ihr Unternehmen nicht sehr deutlich unter den Schwellenwerten liegen (auch unter Berücksichtigung von ggf. vorhandenen Tochterunternehmen), dann empfehlen wir eine umfassendere Betroffenheitsprüfung unter genauer Analyse der Sektordefinitionen.

 

Unser Angebot zur NIS2-Betroffenheitsprüfung

Folgende Aspekte machen eine individuelle Betroffenheitsprüfung notwendig:

  • Sektordefinitionen: nicht alle Unternehmen eines Sektors sind betroffen. Detailbetrachtung notwendig (Übersicht der NIS2-Sektoren)
  • Size Cap: unterschiedliche Pflichten abhängig von der Unternehmensgröße (50 oder 250 MA).
  • Umfang der Pflichten: zählt Ihr Unternehmen zur Kategorie der „wichtigen Einrichtungen“ oder der besonders wichtigen Einrichtungen“?
  • Sonderregelungen: Einige Branchen sind größenunabhängig erfasst. Bspw.: Vertrauensdienste, DNS-Anbieter, bisherige KRITIS-Betreiber, Umgang mit bestimmten Gefahrstoffen.
  • Tochterunternehmen und primäre Werschöpfung: Aspekte wie ausgelagerte IT-Unternehmen, Querschnittsaufgaben, oder der maßgebliche Einfluss auf IT-Governance können die Betroffenheit gravierend verändern.

Gerne bieten wir Ihnen ein kostenloses Erstgespräch an und führen die anschließende Betroffenheitsanalyse gemeinsam mit Ihnen durch.

kostenloses Erstgespräch vereinbaren

Weitere NIS2-Umsetzungsunterstützung

NIS2 Betroffenheitsanalyse buchen

Fragen Sie uns unverbindlich an.
Kontakt aufnehmen