Angesichts der allgegenwärtigen Cyberbedrohungen ist es für Unternehmen aller Größen und Branchen nicht länger eine Wahl, sondern eine unumgängliche Verpflichtung, die Informationssicherheit zu stärken. Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen. Lassen Sie uns gemeinsam den Weg zur NIS-2-Compliance beschreiten und Ihre Unternehmenswerte durch erhöhte Cybersicherheit schützen.
Von der Risikoanalyse bis zur Umsetzung
NIS-2 verlangt von in den Anwendungsbereich fallenden Unternehmen weitergehende Maßnahmen, insbesondere im Bereich des Cyber-Risikomanagements, des Umgangs mit Zwischenfällen (incident handling) und des Geschäftskontinuitätsmanagements (business continuity management) zu ergreifen. Zudem verschärft NIS-2 die Meldepflichten von Unternehmen an die zuständigen Behörden.
Unternehmen in den von NIS-2 abgedeckten Sektoren sollten prüfen, ob NIS-2 bzw. das deutsche Umsetzungsgesetz (NIS2UmsuCG) auf sie anwendbar ist und welche Maßnahmen zu ergreifen sind. Auch bereits regulierte kritische Infrastrukturen sollten ihre implementierten Prozesse überprüfen, da NIS-2 die Anforderungen an Cyberrisiko- und Zwischenfallmanagement erhöht.
Benötigen Sie Unterstützung bei der Umsetzung der NIS-2-Richtlinie oder haben Fragen dazu?
Bußgelder und Haftung: Die Kosten der Nichtkonformität
Verstöße gegen NIS-2 können zu empfindlichen Geldbußen führen. Die Bußgelder können je nach Sektorzugehörigkeit bis zu 10 Millionen EUR bzw. 2% des Vorjahresumsatzes eines Unternehmens betragen. Wie bei DORA wird auch hier die Geschäftsführung stärker in die Verantwortung genommen. Geschäftsführende sind verpflichtet, Risikomanagementmaßnahmen zur Cybersicherheit zu genehmigen und deren Umsetzung zu überwachen. Besonders wichtig ist, dass diese Verpflichtung nicht durch Beauftragung eines Dritten erfüllt werden kann. Im Falle von Pflichtverletzungen haftet die Geschäftsleitung persönlich gegenüber dem jeweiligen Unternehmen für den entstandenen Schaden.
Unternehmensgröße und NIS-2: Ein entscheidendes Kriterium
Ein wesentliches Kriterium für die Anwendbarkeit von NIS-2 ist die Größe des Unternehmens, neben dem Sektor. Die Größe wird anhand der Mitarbeitendenanzahl und des Umsatzes ermittelt. Schätzungen gehen davon aus, dass in Deutschland allein ca. 30.000 Unternehmen in den Anwendungsbereich von NIS-2 fallen.
Unternehmen, die in einem der 18 NIS-2-relevanten Sektoren aufgeführt sind, sollten dringend prüfen lassen, ob NIS-2 auf sie anwendbar ist. Eine Herausforderung für Konzernunternehmen könnte darin bestehen, die relevanten Zahlen zu ermitteln. NIS-2 sieht grundsätzlich vor, dass verbundene Unternehmen bei der Berechnung von Umsatz und Zahl der Mitarbeitenden einbezogen werden. Allerdings enthält der im Juli 2023 veröffentlichte zweite Referentenentwurf des NIS2UmsuCG eine Rückausnahme. Diese greift, wenn ein Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse ausübt, die das Unternehmen für die Erbringung seiner Dienste nutzt. Wenn dies der Fall ist, gelten für die Berechnung des Umsatzes und der Anzahl der Mitarbeitenden nur die Zahlen des Unternehmens selbst. Verbundene Unternehmen sind nicht zu berücksichtigen.
Sobald der Anwendungsbereich festgelegt ist, müssen die bereits eingeführten Prozesse und Dokumentationen an die jeweils anwendbaren Verpflichtungen angepasst werden. Auf dieser Grundlage kann dann anhand einer Reifegradmessung bestimmt werden, welche Maßnahmen ergriffen werden müssen. Die identifizierten Maßnahmen müssen bis zum Stichtag, dem 17. Oktober 2024, umgesetzt werden.
Handeln Sie jetzt: Sichern Sie Ihre NIS-2-Compliance mit unserer Unterstützung
Die Uhr tickt, und die Frist für die Umsetzung von NIS-2 nähert sich rasch. Doch mit der richtigen Unterstützung müssen Sie den bevorstehenden Veränderungen nicht mit Besorgnis, sondern mit Zuversicht entgegensehen. Noch ist das deutsche Umsetzungsgesetz, NIS2UmsuCG, nicht verabschiedet. Vor dem Hintergrund des seitens der EU vorgegebenen Zeitplans dürfte jedoch in Kürze ein weiterer, dann wohl finaler, Referentenentwurf veröffentlicht werden, der dann durch Bundestag und Bundesrat zu beschließen ist.
Unsere Expertise und maßgeschneiderten Services bieten nicht nur eine Brücke zur Compliance, sondern auch einen Wettbewerbsvorteil durch verstärkte Sicherheitsmaßnahmen und die Optimierung Ihrer Geschäftsprozesse. Von der ersten Analyse bis zur finalen Implementierung der erforderlichen Maßnahmen – wir stehen Ihnen zur Seite, um sicherzustellen, dass Ihr Unternehmen nicht nur den gesetzlichen Anforderungen entspricht, sondern auch zukunftssicher wird. Ergreifen Sie jetzt die Initiative und lassen Sie uns gemeinsam Ihre Cybersicherheitsstrategie stärken. Denn in der digitalen Ära ist eine proaktive Herangehensweise an die Cybersicherheit der Schlüssel zum langfristigen Erfolg. Unsere Expertinnen und Experten halten Sie gerne über die neuesten Entwicklungen auf dem Laufenden und unterstützen Sie schon jetzt bei Fragen zur Anwendung und Umsetzung.
Benötigen Sie Unterstützung bei der Umsetzung der NIS-2-Richtlinie oder haben Fragen dazu?
Weitere spannende Beiträge
-
Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
-
Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können
Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
-
Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung
In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.