NIS2 Beratung

Um die IT-Sicherheit für Unternehmen zu gewährleisten, hat die EU NIS2 eingeführt – einen umfassenden Rahmen für Cyberabwehr und Regulierung. Diese neue EU Richtlinie gilt für Unternehmen aus 18 Branchen mit mehr als 50 Mitarbeitern oder 10 Millionen Euro Umsatz bis 2024 und verpflichtet sie zur Einhaltung hoher IT-Sicherheit Standards zum Schutz von kritischen Infrastrukturen.

Mit der NIS2-Richtlinie wurde der Anwendungsbereich der Aufsichtsmaßnahmen erweitert, indem neue Vorschriften für die Zusammenarbeit und Kooperation sowie ein stärkerer Fokus auf das Risikomanagement eingeführt wurden. Unternehmen müssen sich nun an strengere Anforderungen für die Meldung von Cybervorfällen halten und rechtzeitig umfassende Berichte vorlegen. Darüber hinaus sind Unternehmen gesetzlich verpflichtet, ein solides Risikomanagementkonzept zu erstellen, das zentrale Sicherheitselemente enthält.

Vorteile durch NIS2

Für Unternehmen, welche nach NIS2 als kritische Infrastrukturen deklariert werden bietet die Umsetzung von NIS2 verschiedene Vorteile:

  • Schutz von Kundendaten und Unternehmensdaten,
  • erhöhter Schutz von Hacker-Angriffen,
  • gesteigertes Vertrauen von Kunden und Partnern,
  • Einhaltung von EU Verordnungen,
  • Reduzierung  von operativen Risiken.
Sie wollen Ihre IT-Sicherheit nach NIS2 umsetzen, dann sprechen Sie unverbindlich mit uns.

Für welche Unternehmen ist die NIS2-Richtlinie relevant?

Nachdem sich die ursprüngliche NIS Richtlinie auf den Schutz kritischer Sektoren konzentrierte, wurde sie durch die NIS2-Richtlinie nun auf wesentliche und kritische Dienste in der öffentlichen Verwaltung, Telekommunikationsnetze und -dienste, Abfallwirtschaft und Luft- und Raumfahrt ausgeweitet. Darüber hinaus sind weitere Schlüsselindustrien wie die Herstellung von pharmazeutischen/medizinischen Geräten bis hin zu Plattformen für soziale Netzwerke in den Geltungsbereich der Richtlinie aufgenommen worden – was wirklich umfassende Sicherheitsmaßnahmen für eine Reihe von wichtigen Unternehmen und Organisationen mit sich bringt.

Unternehmen müssen bestimmte Kriterien erfüllen, um unter den neuen Rechtsrahmen zu fallen:

  • mittlere Unternehmen mit mindestens 50 Mitarbeitern, einem Jahresumsatz von 10 Millionen Euro und/oder einer Bilanzsumme von höchstens 43 Millionen Euro.
  • Bei größeren Unternehmen mit mehr als 250 Mitarbeitern sollte der Jahresumsatz mindestens 50 Millionen Euro betragen und die Bilanzsumme mindestens 43 Millionen betragen.
 

Unabhängig von anderen Schwellenwerten fallen ebenfalls unter diese Bestimmungen:

  • Anbieter elektronischer Kommunikation,
  • nationale Monopole, die von erheblicher Bedeutung sind oder grenzüberschreitend tätig sind,
  • öffentliche Verwaltungen.
 

Auch wenn kleine und mittlere Unternehmen die Mindestanforderungen nicht erfüllen, können diese von den Bestimmungen der NIS2-Richtlinie betroffen sein, wenn sie in die Lieferketten von wesentlichen oder wichtigen Unternehmen eingebunden sind. Die Unternehmen müssen daher die Risiken der Cybersicherheit in ihren Lieferkettenmanagementprozessen berücksichtigen.

Welche Mindestanforderungen beinhaltet NIS2?

NIS2 setzt Mindestanforderungen an die folgenden Bereiche:

  • Incident Management – Vorbeugung, Erkennung und Behandlung von Sicherheitsvorfällen,
  • Richtlinien – Vorgaben zur IT-Sicherheit und zum Risikomanagement,
  • Third Party Security – IT-Sicherheit im Umgang mit Zulieferern und Partnern,
  • Business Continuity Management und Krisenmanagement,
  • Audit und Testing – Messung der Effektivität zu Cyber Security Maßnahmen,
  • Verschlüsselung – Einsatz von Hash- und Verschlüsselungsstandards.

Warum Sie mit uns arbeiten sollten

Leistungen

  • Stellung eines externen Informationssicherheitsbeauftragten (ISB) zur Erfüllung operativer Aufgaben im Aufbau eines ISMS.
  • Bestandsaufnahme des derzeitigen Stands der Informationssicherheit in Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit.
  • Einführung und Umsetzung der grundlegenden ISMS Prozesse.
  • Verteilung von Zuständigkeiten sowie Abgrenzung des Geltungsbereichs des ISMS.
  • Etablierung eines Risiko-Managementsystems in ihrem Unternehmen sowie Durchführung von Risikoanalysen und deren Behandlung.
  • Aufbau eines internen Kontrollsystems, das sich fortlaufend um die Überwachung und Verbesserung ihres ISMS kümmert.
  • Planung und Durchführung von Audits zur Informationssicherheit.
  • Vorbereitung und Begleitung externer Audits (z.B.: ISO27001 oder NIS2) von Zertifizierungsstellen wie TÜV, Dekra oder durch Kunden.
  • Verteilung von Zuständigkeiten sowie Abgrenzung des Geltungsbereichs des ISMS.
  • Etablierung eines Risiko-Managementsystems in ihrem Unternehmen.
    der Aufbau eines internen Kontrollsystems, das sich fortlaufend um die Überwachung und Verbesserung ihres ISMS kümmert.

Ablauf einer NIS2 Beratung

Unsere erfahrenen IT-Sicherheitsberater sind mit den Risiken, Chancen und Compliance-Anforderungen von KMUs, Unternehmen und Behörden bestens vertraut. Nutzen Sie unsere spezialisierte Beratung, um sicherzustellen, dass Ihr Unternehmen von einem optimalen Schutz vor potenziellen Bedrohungen profitiert.

Setup

Unser Expertenteam bietet eine maßgeschneiderte Sicherheitsstrategie, um sicherzustellen, dass Ihr Unternehmen gegen alle Risiken geschützt ist. Unsere Lösungen maximieren die Konformität mit den Anforderungen der Branche, der NIS2-Richtlinie und werden gleichzeitig auf die Ziele Ihres Unternehmens abgestimmt.

Analyse

Unser erfahrenes technisches Team untersucht Ihre IT, Ihre Infrastruktur und Ihre Schnittstellen eingehend, um die notwendigen Sicherheitsanforderungen zu ermitteln. Wir gehen über die traditionellen Maßnahmen zur Überprüfung der Einhaltung von IT-Compliance Vorschriften hinaus und geben Ihnen die Gewissheit, dass eine umfassende Risikobewertung auf der Grundlage der besten Praktiken der Branche vorliegt.

Konzept

Auf Basis Ihrer Anforderungen erstellen wir ein IT-Sicherheitskonzept und eine Cyber-Sicherheitsstrategie. Wir entwickeln ein umfassendes Konzept, das geeignete Optionen für die Umsetzung aufzeigt. Das letzte Wort haben Sie!

Lösung

Alle notwendigen Maßnahmen werden – von kurzfristigen bis hin zu langfristigen Sicherheitsmaßnahmen – entwickelt und sorgfältig umgesetzt. Technische Aspekte werden nahtlos mit organisatorischen, personellen und infrastrukturellen Überlegungen kombiniert, um einen maximalen Schutz vor den identifizierten Risiken zu gewährleisten.

Reporting

Unser erfahrenes Team sorgt dafür, dass Sie bei der Umstellung auf einen produktiven Betrieb die beste Unterstützung erhalten – für den Erfolg aller Beteiligten! Darüber hinaus bieten wir regelmäßige Berichte mit entsprechender Dokumentation sowie spezielle Kommunikationskanäle wie Statusberichte, damit Schwachstellen schnell behoben werden können und Sie immer auf dem aktuellen Stand sind.

Beratung

Mit einem kontinuierlichen Verbesserungsprozess (KVP) sorgt die Überwachung im laufenden Betrieb dafür, dass das IT-Sicherheitskonzept stets auf dem neuesten Stand ist. Die regelmäßige Analyse der Umsetzung und der festgelegten Leistungskennzahlen (KPIs) ermöglicht es uns, auf Schwachstellen zu reagieren oder neu erkannte Sicherheitslücken für weitere Optimierungen zu nutzen.

Wir bieten Ihnen umfassende strategische End-to-End-Unterstützung im Bereich der Informationssicherheit – von der ersten Planung bis zur erfolgreichen Implementierung. Unser Team steht Ihnen dabei als zuverlässiger Partner und Berater zur Seite.

Ziele

Profitieren Sie von unserer Zusammenarbeit

Sicherheitslösung so zu in die Betriebsstrukturen integrieren, dass sie den Betriebsalltag nicht beeinträchtigen und die Geschäftsziele unterstützen.

Für das Management transparente und klare ISMS-Strukturen schaffen, die einen echten Mehrwert im Verhältnis zum Aufwand bringen.

Vertraulichkeit, Integrität und Verfügbarkeit der Informationen in ihrem Unternehmen gewährleisten.

Ihre Ansprechpartner

Zukunftsorientierte Cyber-Security für langfristigen Geschäftserfolg.

Dr. Michael Gorski

Als Experten für Cyber-Security und NIS2 sind wir an Ihrer Seite. Kontaktieren Sie uns.

Gerne beantworten wir Ihre Fragen und erstellen Ihnen ein individuelles Angebot.

Mehr über NIS2 in unseren Videos

ISMS Was ist das? (Information Security Management System)

ISO 27001 und Security Monitoring (So erfüllt Ihr SOC die ISO 27001)

ISO 27001 und Security Monitoring (So erfüllt Ihr SOC die ISO 27001)

Häufig gestellte Fragen

zum Thema NIS2 Beratung

Die NIS 2-Richtlinie steht für EU Network and Information Security Directive. Am 10. November 2022 hat das Europäische Parlament einen wichtigen Schritt zum Schutz der Bürger vor bösartigen Cyberangriffen getan. Mit der Verabschiedung der überarbeiteten Richtlinie über die Sicherheit von Netzwerken und Informationssystemen (NIS 2) müssen die EU-Mitgliedstaaten diese nun in nationales Recht umsetzen. Damit wird sichergestellt, dass jeder in Europa Zugang zu sicheren Netzwerksystemen hat.

Die neue NIS 2-Richtlinie ist der Nachfolger der NIS-Richtlinie. Die Mitgliedstaaten müssen sich innerhalb von 21 Monaten an diese Richtlinie halten. Andernfalls drohen ihnen die Auswirkungen des IT-Sicherheitsgesetzes 3.0 mit weitreichenden Folgen für die betroffenen Unternehmen, während die ergänzende RCE/CER-Verordnung weitere Anforderungen an die Widerstandsfähigkeit stellt. NIS2 ist ein wichtiger Baustein, um die Cyber Security in Unternehmen und Behörden zu stärken.

Im Jahr 2016 setzte die Europäische Union ihre Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) um. Ihr Hauptziel war es, ein höheres Maß an Sicherheit für alle Netz- und Informationssysteme von Unternehmen in der EU zu gewährleisten. Sie markierte einen entscheidenden Wandel in der Cybersicherheitsstrategie, die darauf abzielte, kritische Infrastrukturen vor potenziellen Hackerangriffen zu schützen.

Die Europäische Union verpflichtet die EU-Mitglieder, staatliche Sicherheitsstrategien zu entwickeln. In den Sektoren Energie, Verkehr, Banken und Finanzen, digitale Infrastrukturen, Gesundheitswesen, Trinkwasserversorgung und digitale Dienstleistungen wurden Mindestanforderungen und Meldepflichten festgelegt.

Im Jahr 2017 erfolgte die Umsetzung von der NIS-Richtlinie in Deutschland mit dem IT-Sicherheitsgesetz und dem IT-Sicherheitsgesetz 2.0, welches das IT-Sicherheitsgesetz abgelöst hat.

Die Umsetzung der europaweiten NIS 2-Richtlinie war bei der Verbesserung der Cybersicherheitskapazitäten und der Zusammenarbeit zwischen den Mitgliedstaaten erfolgreich. Ihre abstrakte Natur hat jedoch einige Probleme verursacht, wie z.B. unzureichende Anforderungen an die Offenlegung von Cyber-Risiken, fehlende Überwachung der Einhaltung durch alle Mitgliedsstaaten und ein unzureichendes Maß an Krisenreaktion sowohl von Unternehmen als auch von Regierungen.

Mit den vorgeschlagenen Aktualisierungen des Gesetzesentwurfs von NIS 2, ist klar, dass die EU auf die erhöhten Sicherheitsbedrohungen, die durch die COVID-19-Pandemie entstanden sind, reagieren und die wachsenden Anforderungen im Cyberspace erfüllen will.

Die NIS 2-Richtlinie setzt deutlich höhere Pflichten und Aufsicht an betroffene Unternehmen und Behörden. Der Umfang an betroffenen Unternehmen wurde durch NIS 2 noch einmal deutlich erweitert.

NIS 2 hat einen beträchtlichen Zuwachs an Sektoren erfahren, mit sieben wesentlichen und elf wichtigen Entitäten, insgesamt also achtzehn. Diese expandierenden Bereiche stellen sicher, dass Unternehmen über die notwendigen Ressourcen verfügen, um sensible Daten angemessen vor externen Bedrohungen zu schützen.

Für die NIS 2-Richtlinie relevante Sektoren sind:

  • Transport (Wasser, Luft, Schiene, Straße),
  • Energie (Gas, Öl, Fernwärme, Elektrizität, Wasserstoff),
  • Finanzinstitutionen,
  • Banken,
  • Gesundheit (Medizinforschung, Gesundheitsunternehmen, Pharmazeutik, Medizintechnik, Labore),
  • Wasserversorgung, 
  • Abwasser und Entsorgung, 
  • digitale Infrastrukturen (Hosting Provider, DNS Provider, CDN, TSP, IXP, Trust Services),
  • digitale Kommunikation (Suchmaschinen, soziale Netzwerke),
  • ICT Service Management, 
  • öffentliche Verwaltung,
  • Raumfahrt, 
  • Logistik,
  • Ernährung,
  • Forschung.

Nach der Verabschiedung durch das Europäische Parlament im November 2022 steht nun die Ratifizierung des NIS2-Gesetzes durch den EU-Rat an. Nach der Verabschiedung und der Veröffentlichung im Amtsblatt der EU müssen die Mitgliedsländer das Gesetz innerhalb von 21 Monaten in ihre individuelle Gesetzgebung umsetzen, damit es in Kraft treten kann – ein Prozess, der sich möglicherweise bis 2023 hinziehen kann.

Deutschland hat mit dem IT-Sicherheitsgesetz bereits Vorkehrungen getroffen, um seine Sicherheitsstruktur im Jahr 2021 anzupassen. Darin enthalten sind neue Sektoren, strengere Cybersicherheitsvorschriften und Sanktionen bei Nichteinhaltung – aber einige Maßnahmen wie die Verantwortung einzelner Unternehmen bleiben unklar, bis weitere Änderungen durch Änderungen des bestehenden Gesetzes umgesetzt werden. Bis dahin gelten die Verpflichtungen aus der NIS-Richtlinie unverändert weiter.

Unternehmen müssen sich an die nationalen gesetzlichen Bestimmungen halten oder mit schweren finanziellen Sanktionen rechnen. Für große Einrichtungen kann die Geldstrafe von mindestens 10 Millionen Euro bis zu 1,4 Prozent des weltweiten Umsatzes bei einer Höchststrafe von 7 Millionen Euro reichen. Glücklicherweise werden im Rahmen der NIS 2.0 keine zusätzlichen Strafen verhängt, wenn ein Verstoß gegen die GDPR-Bestimmungen Geldbußen nach sich zieht.

Die NIS 2.0 birgt ein erhebliches Potenzial für Strafen sowie ein beträchtliches Haftungsrisiko für die Führungskräfte eines Unternehmens, die proaktiv die Einhaltung der Vorschriften überwachen müssen und mit Konsequenzen rechnen müssen, wenn sie ihrer Pflicht nicht nachkommen. Wie diese Verantwortlichkeit durchgesetzt wird, hängt von den Gesetzen des jeweiligen Landes ab, die solche Fälle regeln.