Wir unterstützen seit vielen Jahren unsere Kunden im privaten und öffentlichen Sektor bei der Einführung von Informationssicherheitsmanagementsystemen (ISMS) und der Umsetzung der zugehörigen Regulierung. NIS2 stellt die aktuelle Fortentwicklung altbekannter Regulierungsansätze dar.
Auf Basis unserer Erfahrung können wir Ihrem Unternehmen helfen, die NIS2-Anforderungen effizient umzusetzen. Wir bieten pragmatische Lösungen, die alle regulatorischen Vorgaben adressieren und zusätzlich einen internen Mehrwert stiften.
Hintergrund
Um der wachsenden Cyberbedrohungslage zu begegnen und eine Kontinuität von als besonders wichtig erachteten Tätigkeiten zu gewährleisten, wurde die EU-Richtlinie zu Netzwerk- und Informationssicherheit (NIS-Richtlinie) überarbeitet. Die NIS2-Richtlinie trat im Januar 2023 in Kraft und sollte bis zum 24.10.2024 in nationales Recht umgesetzt werden. In Deutschland und vielen weiteren Mitgliedsstaaten ist die nationale Umsetzung allerdings verzögert und wird voraussichtlich erst im Jahr 2025 erfolgen.
Wer von NIS2 betroffen ist
Vereinfacht gesagt gelten die NIS2-Anforderungen für alle mindestens mittelgroßen Unternehmen aus kritischen Sektoren.
| Sektoren mit hoher Kritikalität | Sonstige kritische Sektoren |
|---|---|
| Energie | Post- und Kurierdienste |
| Verkehr | Abfallbewirtschaftung |
| Bankwesen | Produktion, Herstellung und Handel mit chemischen Stoffen |
| Finanzmarktinfrastrukturen | Produktion, Verarbeitung und Vertrieb von Lebensmitteln |
| Gesundheitswesen | Verarbeitendes Gewerbe / Herstellung von Waren |
| Trinkwasser | Anbieter digitaler Dienste |
| Abwasser | Forschung |
| Digitale Infrastruktur | |
| Verwaltung von IKT-Diensten (B2B) | |
| Öffentliche Verwaltung | |
| Weltraum | |
| Tabelle: Welche Sektoren von NIS 2 betroffen sind |
Abhängig von Sektor und Größe unterscheidet die NIS 2 wesentliche und wichtige Einrichtungen. Zusätzlich gelten Unternehmen der kritischen Infrastruktur als wesentlich. Größenunabhängig sind Anbieter bestimmter digitaler Infrastrukturdienste, Einrichtungen der Bundes- und Landesverwaltung und Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste im Anwendungsbereich der NIS 2.
Für wesentliche und wichtigen Einrichtungen gelten dabei keine unterschiedlichen Anforderungen. Vielmehr greift ein anderes Aufsichtsregime. So haben wesentliche Einrichtungen mit einer aktiveren Aufsicht und empfindlicheren Strafen zu rechnen.
Was NIS2 beinhaltet
Vorsorge und Wirksamkeit sind die Aspekte, mit denen betroffene Unternehmen ihre Cyberresilienz stärken sollen. Die bereits unter der alten NIS bestehenden Anforderungen an Risikomanagementmaßnahmen werden in der NIS 2 konkretisiert und auf die Lieferkette ausgeweitet.
Für die Meldung von Sicherheitsvorfällen wird ein mehrstufiges Regime etabliert. So müssen betroffene Unternehmen zu mindestens drei verschiedenen Zeitpunkten vorgegebene Inhalte an das jeweilige CSIRT oder die zuständige Behörde berichten. Auf Nachfrage wird ein weiterer Zwischenbericht erforderlich.
Umsetzungsbedarf
Der Umsetzungsbedarf bei den betroffenen Unternehmen hängt stark davon ab, wie sie im Bereich des Risikomanagements heute aufgestellt sind. Wer bereits ein Managementsystem etabliert oder sogar eine entsprechende Zertifizierung vorzuweisen hat (z.B. ISO 27001), hat eine solide Grundlage für die Umsetzung und muss die vorhandenen Strukturen lediglich ergänzen. Anderenfalls ist mit höheren Aufwänden zu rechnen.
Gern analysieren unsere Experten den Status Quo in ihrem Unternehmen, identifizieren Handlungsbedarf und unterstützen bei einer passgenauen Umsetzung.
Kontaktieren Sie uns und vereinbaren Sie einen unverbindlichen Gesprächstermin zu NIS2:
