Um die IT-Sicherheit für Unternehmen zu gewährleisten, hat die EU NIS2 eingeführt – einen umfassenden Rahmen für Cyberabwehr und Regulierung. Diese neue EU Richtlinie gilt für Unternehmen aus 18 Branchen mit mehr als 50 Mitarbeitern oder 10 Millionen Euro Umsatz bis 2024 und verpflichtet sie zur Einhaltung hoher IT-Sicherheit Standards zum Schutz von kritischen Infrastrukturen.
Mit der NIS2-Richtlinie wurde der Anwendungsbereich der Aufsichtsmaßnahmen erweitert, indem neue Vorschriften für die Zusammenarbeit und Kooperation sowie ein stärkerer Fokus auf das Risikomanagement eingeführt wurden. Unternehmen müssen sich nun an strengere Anforderungen für die Meldung von Cybervorfällen halten und rechtzeitig umfassende Berichte vorlegen. Darüber hinaus sind Unternehmen gesetzlich verpflichtet, ein solides Risikomanagementkonzept zu erstellen, das zentrale Sicherheitselemente enthält.
Für Unternehmen, welche nach NIS2 als kritische Infrastrukturen deklariert werden bietet die Umsetzung von NIS2 verschiedene Vorteile:
Nachdem sich die ursprüngliche NIS Richtlinie auf den Schutz kritischer Sektoren konzentrierte, wurde sie durch die NIS2-Richtlinie nun auf wesentliche und kritische Dienste in der öffentlichen Verwaltung, Telekommunikationsnetze und -dienste, Abfallwirtschaft und Luft- und Raumfahrt ausgeweitet. Darüber hinaus sind weitere Schlüsselindustrien wie die Herstellung von pharmazeutischen/medizinischen Geräten bis hin zu Plattformen für soziale Netzwerke in den Geltungsbereich der Richtlinie aufgenommen worden – was wirklich umfassende Sicherheitsmaßnahmen für eine Reihe von wichtigen Unternehmen und Organisationen mit sich bringt.
Unternehmen müssen bestimmte Kriterien erfüllen, um unter den neuen Rechtsrahmen zu fallen:
Unabhängig von anderen Schwellenwerten fallen ebenfalls unter diese Bestimmungen:
Auch wenn kleine und mittlere Unternehmen die Mindestanforderungen nicht erfüllen, können diese von den Bestimmungen der NIS2-Richtlinie betroffen sein, wenn sie in die Lieferketten von wesentlichen oder wichtigen Unternehmen eingebunden sind. Die Unternehmen müssen daher die Risiken der Cybersicherheit in ihren Lieferkettenmanagementprozessen berücksichtigen.
NIS2 setzt Mindestanforderungen an die folgenden Bereiche:
Unsere erfahrenen IT-Sicherheitsberater sind mit den Risiken, Chancen und Compliance-Anforderungen von KMUs, Unternehmen und Behörden bestens vertraut. Nutzen Sie unsere spezialisierte Beratung, um sicherzustellen, dass Ihr Unternehmen von einem optimalen Schutz vor potenziellen Bedrohungen profitiert.
Unser Expertenteam bietet eine maßgeschneiderte Sicherheitsstrategie, um sicherzustellen, dass Ihr Unternehmen gegen alle Risiken geschützt ist. Unsere Lösungen maximieren die Konformität mit den Anforderungen der Branche, der NIS2-Richtlinie und werden gleichzeitig auf die Ziele Ihres Unternehmens abgestimmt.
Unser erfahrenes technisches Team untersucht Ihre IT, Ihre Infrastruktur und Ihre Schnittstellen eingehend, um die notwendigen Sicherheitsanforderungen zu ermitteln. Wir gehen über die traditionellen Maßnahmen zur Überprüfung der Einhaltung von IT-Compliance Vorschriften hinaus und geben Ihnen die Gewissheit, dass eine umfassende Risikobewertung auf der Grundlage der besten Praktiken der Branche vorliegt.
Auf Basis Ihrer Anforderungen erstellen wir ein IT-Sicherheitskonzept und eine Cyber-Sicherheitsstrategie. Wir entwickeln ein umfassendes Konzept, das geeignete Optionen für die Umsetzung aufzeigt. Das letzte Wort haben Sie!
Alle notwendigen Maßnahmen werden – von kurzfristigen bis hin zu langfristigen Sicherheitsmaßnahmen – entwickelt und sorgfältig umgesetzt. Technische Aspekte werden nahtlos mit organisatorischen, personellen und infrastrukturellen Überlegungen kombiniert, um einen maximalen Schutz vor den identifizierten Risiken zu gewährleisten.
Unser erfahrenes Team sorgt dafür, dass Sie bei der Umstellung auf einen produktiven Betrieb die beste Unterstützung erhalten – für den Erfolg aller Beteiligten! Darüber hinaus bieten wir regelmäßige Berichte mit entsprechender Dokumentation sowie spezielle Kommunikationskanäle wie Statusberichte, damit Schwachstellen schnell behoben werden können und Sie immer auf dem aktuellen Stand sind.
Mit einem kontinuierlichen Verbesserungsprozess (KVP) sorgt die Überwachung im laufenden Betrieb dafür, dass das IT-Sicherheitskonzept stets auf dem neuesten Stand ist. Die regelmäßige Analyse der Umsetzung und der festgelegten Leistungskennzahlen (KPIs) ermöglicht es uns, auf Schwachstellen zu reagieren oder neu erkannte Sicherheitslücken für weitere Optimierungen zu nutzen.
Wir bieten Ihnen umfassende strategische End-to-End-Unterstützung im Bereich der Informationssicherheit – von der ersten Planung bis zur erfolgreichen Implementierung. Unser Team steht Ihnen dabei als zuverlässiger Partner und Berater zur Seite.
Ob CISO, CIO, IT-Leiter, IT-Manager oder für Ihre IT-Sicherheit, unsere IT-Sicherheits-Experten haben langjährige Erfahrungen aus der Praxis und sorgen dafür, dass Ihr Unternehmen die für Sie individuell angepasste Lösung erhält.
Gerne beantworten wir Ihre Fragen und erstellen Ihnen ein individuelles Angebot.
Die NIS 2-Richtlinie steht für EU Network and Information Security Directive. Am 10. November 2022 hat das Europäische Parlament einen wichtigen Schritt zum Schutz der Bürger vor bösartigen Cyberangriffen getan. Mit der Verabschiedung der überarbeiteten Richtlinie über die Sicherheit von Netzwerken und Informationssystemen (NIS 2) müssen die EU-Mitgliedstaaten diese nun in nationales Recht umsetzen. Damit wird sichergestellt, dass jeder in Europa Zugang zu sicheren Netzwerksystemen hat.
Die neue NIS 2-Richtlinie ist der Nachfolger der NIS-Richtlinie. Die Mitgliedstaaten müssen sich innerhalb von 21 Monaten an diese Richtlinie halten. Andernfalls drohen ihnen die Auswirkungen des IT-Sicherheitsgesetzes 3.0 mit weitreichenden Folgen für die betroffenen Unternehmen, während die ergänzende RCE/CER-Verordnung weitere Anforderungen an die Widerstandsfähigkeit stellt. NIS2 ist ein wichtiger Baustein, um die Cyber Security in Unternehmen und Behörden zu stärken.
Im Jahr 2016 setzte die Europäische Union ihre Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) um. Ihr Hauptziel war es, ein höheres Maß an Sicherheit für alle Netz- und Informationssysteme von Unternehmen in der EU zu gewährleisten. Sie markierte einen entscheidenden Wandel in der Cybersicherheitsstrategie, die darauf abzielte, kritische Infrastrukturen vor potenziellen Hackerangriffen zu schützen.
Die Europäische Union verpflichtet die EU-Mitglieder, staatliche Sicherheitsstrategien zu entwickeln. In den Sektoren Energie, Verkehr, Banken und Finanzen, digitale Infrastrukturen, Gesundheitswesen, Trinkwasserversorgung und digitale Dienstleistungen wurden Mindestanforderungen und Meldepflichten festgelegt.
Im Jahr 2017 erfolgte die Umsetzung von der NIS-Richtlinie in Deutschland mit dem IT-Sicherheitsgesetz und dem IT-Sicherheitsgesetz 2.0, welches das IT-Sicherheitsgesetz abgelöst hat.
Die Umsetzung der europaweiten NIS 2-Richtlinie war bei der Verbesserung der Cybersicherheitskapazitäten und der Zusammenarbeit zwischen den Mitgliedstaaten erfolgreich. Ihre abstrakte Natur hat jedoch einige Probleme verursacht, wie z.B. unzureichende Anforderungen an die Offenlegung von Cyber-Risiken, fehlende Überwachung der Einhaltung durch alle Mitgliedsstaaten und ein unzureichendes Maß an Krisenreaktion sowohl von Unternehmen als auch von Regierungen.
Mit den vorgeschlagenen Aktualisierungen des Gesetzesentwurfs von NIS 2, ist klar, dass die EU auf die erhöhten Sicherheitsbedrohungen, die durch die COVID-19-Pandemie entstanden sind, reagieren und die wachsenden Anforderungen im Cyberspace erfüllen will.
Die NIS 2-Richtlinie setzt deutlich höhere Pflichten und Aufsicht an betroffene Unternehmen und Behörden. Der Umfang an betroffenen Unternehmen wurde durch NIS 2 noch einmal deutlich erweitert.
NIS 2 hat einen beträchtlichen Zuwachs an Sektoren erfahren, mit sieben wesentlichen und elf wichtigen Entitäten, insgesamt also achtzehn. Diese expandierenden Bereiche stellen sicher, dass Unternehmen über die notwendigen Ressourcen verfügen, um sensible Daten angemessen vor externen Bedrohungen zu schützen.
Für die NIS 2-Richtlinie relevante Sektoren sind:
Nach der Verabschiedung durch das Europäische Parlament im November 2022 steht nun die Ratifizierung des NIS2-Gesetzes durch den EU-Rat an. Nach der Verabschiedung und der Veröffentlichung im Amtsblatt der EU müssen die Mitgliedsländer das Gesetz innerhalb von 21 Monaten in ihre individuelle Gesetzgebung umsetzen, damit es in Kraft treten kann – ein Prozess, der sich möglicherweise bis 2023 hinziehen kann.
Deutschland hat mit dem IT-Sicherheitsgesetz bereits Vorkehrungen getroffen, um seine Sicherheitsstruktur im Jahr 2021 anzupassen. Darin enthalten sind neue Sektoren, strengere Cybersicherheitsvorschriften und Sanktionen bei Nichteinhaltung – aber einige Maßnahmen wie die Verantwortung einzelner Unternehmen bleiben unklar, bis weitere Änderungen durch Änderungen des bestehenden Gesetzes umgesetzt werden. Bis dahin gelten die Verpflichtungen aus der NIS-Richtlinie unverändert weiter.
Unternehmen müssen sich an die nationalen gesetzlichen Bestimmungen halten oder mit schweren finanziellen Sanktionen rechnen. Für große Einrichtungen kann die Geldstrafe von mindestens 10 Millionen Euro bis zu 1,4 Prozent des weltweiten Umsatzes bei einer Höchststrafe von 7 Millionen Euro reichen. Glücklicherweise werden im Rahmen der NIS 2.0 keine zusätzlichen Strafen verhängt, wenn ein Verstoß gegen die GDPR-Bestimmungen Geldbußen nach sich zieht.
Die NIS 2.0 birgt ein erhebliches Potenzial für Strafen sowie ein beträchtliches Haftungsrisiko für die Führungskräfte eines Unternehmens, die proaktiv die Einhaltung der Vorschriften überwachen müssen und mit Konsequenzen rechnen müssen, wenn sie ihrer Pflicht nicht nachkommen. Wie diese Verantwortlichkeit durchgesetzt wird, hängt von den Gesetzen des jeweiligen Landes ab, die solche Fälle regeln.
