23.09.2024
NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
Am 16.01.2023 trat die NIS2-Richtlinie EU-weit in Kraft. Nachdem des zugehörige Umsetzungsgesetz mehrfach geändert wurde, liegt mittlerweile der wohl finale Entwurf vor und das Inkrafttreten der NIS2-Anforderungen rückt immer näher. Eine Vielzahl von Unternehmen steht nun vor der Frage, ob sie dem Anwendungsbereich der NIS2-Richtlinie unterfallen, welche Pflichten sie treffen und wie sie diese Pflichten durch geeignete Maßnahmen erfüllen können. Wir haben die Anforderungen und notwendigen Maßnahmen für Sie aufbereitet.
Dr. Jan Scharfenberg
Director Informationssicherheit
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie stellt eine Weiterentwicklung der ersten NIS-Richtlinie aus dem Jahr 2016 dar. Mit der NIS-Richtlinie wurden Maßnahmen zur Gewährleistung eines hohen gemeinsamen und einheitlichen EU-weiten Sicherheitsniveau von Cyber- und Informationssicherheitssystemen festgelegt.
Hieran knüpft die NIS2-Richtlinie an. Zum einen werden die bisherigen Cyber- und Informationssicherheitsanforderungen inhaltlich erweitert und verschärft. Darüber hinaus wird der persönliche Anwendungsbereich erheblich ausgeweitet.
Ziel der NIS2-Richtlinie ist es, das Cybersicherheitsniveau in den Mitgliedstaaten zu verbessern und zu vereinheitlichen. Dabei werden nicht nur die Sicherheitsanforderungen als solche verstärkt, sondern auch die Sanktionen bei Verstößen und die Haftungsregelungen erweitert.
Leitfaden NIS2-Compliance direkt in Ihr Postfach
Lassen Sie sich unseren umfangreichen Leitfaden zur Implementierung einer NIS2-Compliance kostenfrei zuschicken. Sie erhalten darin wertvolle und praxisnahe Informationen zur Betroffenheitsfeststellung, zu den Verpflichtungen sowie dem Aufbau eines Informationssicherheitsmanagementsystems (ISMS).
Wie ist der Stand bei der Umsetzung der NIS2-Richtlinie in Deutschland?
In Deutschland erfolgt die Umsetzung der NIS2-Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Der zugehörige Regierungsentwurf wurde am 24.07.2024 vom Bundeskabinett beschlossen und verabschiedet.
Gegenwärtig ist das NIS2UmsuCG noch nicht verkündet worden und somit noch nicht in Kraft getreten. Durch das NIS2UmsuCG wird im Wesentlichen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG) entsprechend der Richtlinienvorgaben geändert. Die Entwurfsfassung des (neuen) BISG werden im Folgenden als BSIG-E zitiert.
Die Mitgliedstaaten der EU sind verpflichtet, bis zum 17. Oktober 2024 die NIS2-Richtlinie in nationales Recht umzusetzen.
Ob der deutsche Gesetzgeber diese Frist einhalten wird, ist aktuell nicht absehbar. Vor dem Hintergrund der noch ausstehenden Gesetzgebungsverfahrensschritte (Lesungen im Bundestag, Beteiligung der Ausschüsse, etc.) erscheint die Einhaltung der Frist inzwischen eher unwahrscheinlich.
Unverbindliches Erstgespräch
zur NIS2-Richtlinie
- Klärung, ob Ihr Unternehmen in den Anwendungsbereich fällt.
- Analyse Ihrer IT-Infrastruktur auf NIS2-Compliance.
- Erstellung eines Maßnahmenkatalogs und Unterstützung bei der Umsetzung.
Bis wann müssen Unternehmen die Anforderungen der NIS2-Richtlinie erfüllen?
Die NIS2-Richtlinie sieht vor, dass die Mitgliedstaaten ihre jeweiligen Umsetzungsgesetze ab dem 18. Oktober anwenden. Diese Verpflichtung betrifft jedoch die einzelnen Mitgliedstaaten und nicht direkt die Unternehmen. Für Unternehmen gilt vor diesem Hintergrund folgendes: die NIS2-Richtlinie findet keine unmittelbare Anwendung auf die (künftig) betroffenen Unternehmen.
Das heißt, sollte das NIS2UmsuCG nicht bis zum 18. Oktober 2024 in Kraft getreten sein, sind die Unternehmen nicht verpflichtet, die Vorgaben umzusetzen. Unternehmen haben in diesem Fall auch keine Sanktionen zu befürchten. Denn auch die Sanktionsvorschriften können erst angewandt werden, wenn das Gesetz in Kraft getreten ist. Dies betrifft natürlich erst einmal nur Deutschland.
Sollten Unternehmen auch in anderen Mitgliedstaaten aktiv sein, dort Niederlassungen oder sogar rechtlich selbständige Einheiten betreiben, wäre in jedem Fall zu prüfen, ob ein nationales NIS2-Umsetzungsgesetz bereits in Kraft ist und welche Folgen dies gegebenenfalls auf das jeweilige Unternehmen haben könnte.
Welche Unternehmen sind von der NIS2-EU-Richtlinie betroffen?
Die Umsetzung der NIS2-Richtlinie ist für eine erhebliche Anzahl von Unternehmen relevant. Nach bisherigen Schätzungen werden ca. 30.000 bis 40.000 Unternehmen allein in Deutschland unmittelbar betroffen sein. Die hohe Anzahl ist auf den sehr weiten Anwendungsbereich der NIS2-Richtlinie zurückzuführen.
Ob ein Unternehmen künftig den Regelungen unterfällt, richtet sich nach § 28 Abs. 1 und 2 BSIG-E. Hierbei wird zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen differenziert. Die Einordnung in diese Kategorien ist nicht nur theoretischer Natur, sondern hat Auswirkung auf die Anforderungen und die einzuhaltenden Pflichten.
- Besonders wichtige Einrichtungen: zu den besonders wichtigen Einrichtungen zählen zunächst Betreiber kritischer Anlagen, qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter sowie Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetzte mit mindestens 50 Beschäftigten oder einem Jahresumsatz oder einer Jahresbilanzsumme von über 10 Millionen Euro.
- Wichtige Einrichtungen: diese umfassen (gewöhnliche) Vertrauensdiensteanbieter und Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetzte mit weniger als 50 Beschäftigten und einem Jahresumsatz oder einer Jahresbilanzsumme von weniger als 10 Millionen Euro.
Neben diesen speziellen Bereichen werden auch solche Unternehmen erfasst, deren Tätigkeit in bestimmten Sektoren erfolgt. Die Sektoren werden in Anlage 1 und 2 des BSIG-E aufgelistet. So werden zu den besonders wichtigen Einrichtungen auch solche Unternehmen gezählt, deren Tätigkeit in einem der nachfolgenden Sektoren erfolgt und die mindestens 250 Beschäftigte haben oder einen Jahresumsatz von mehr als 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.
Folgende Sektoren werden zu den besonders wichtigen Einrichtungen gezählt:
Sektor |
Branche |
---|---|
Energie |
Stromversorgung; |
Transport und Verkehr |
Luftverkehr; |
Finanzwesen |
Bankwesen; |
Gesundheit |
|
Wasser |
Trinkwasserversorgung; |
Digitale Infrastruktur |
|
Weltraum |
|
Öffentliche Verwaltung |
Zu den wichtigen Einrichtungen gehören solche, deren Tätigkeit zu einem der nachfolgen Sektoren zuzuordnen ist und die mindestens 50 Beschäftigte haben oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.
Insbesondere diese Einstufung ist für eine Vielzahl von Unternehmen von großer Bedeutung. Diese Regelung soll möglichst viele Unternehmen auffangen, um die angestrebte Harmonisierung bezüglich eines einheitlichen Cyber- und Informationssicherheitsniveaus zu gewährleisten.
Sektor |
Branche |
---|---|
Transport und Verkehr |
Post- und Kurierdienste |
Abfallbewirtschaftung |
|
Produktion, Herstellung und Handel mit chemischen Stoffen |
|
Produktion, Verarbeitung und Vertrieb von Lebensmitteln |
|
Verarbeitendes Gewerbe / Herstellung von Waren |
Herstellung von Medizinprodukte und In-vitro Diagnostika; |
Anbieter digitaler Dienste |
|
Forschung |
Ob Ihr Unternehmen auch in den Anwendungsbereich der NIS2-Richtlinie fällt, können Sie leicht mit unserem NIS2-Checker hier prüfen lassen:
Was müssen betroffene Unternehmen jetzt tun, um NIS2-compliant zu sein?
Zum jetzigen Zeitpunkt treffen die Unternehmen noch keine unmittelbaren und konkreten Handlungspflichten. Denn bisher ist nicht absehbar, ob das NIS2UmsuCG fristgerecht zum 18. Oktober in Kraft tritt. Aufgrund des Umstandes, dass die NIS2-Richtlinie als solche auf die Unternehmen keine unmittelbare Wirkung hat, sind die Unternehmen bisher auch nicht zur Umsetzung verpflichtet.
Gleichwohl sollten sich Unternehmen auf die bevorstehenden Änderungen vorbereiten und nicht tatenlos abwarten. Wenngleich das Datum der Umsetzung noch unbekannt ist, sollten Unternehmen sich sicherheitshalber weiterhin auf den 18. Oktober 2024 einstellen. Ebenfalls ist nicht ausgeschlossen, dass das NIS2UmsuCG im laufenden Gesetzgebungsverfahren noch Änderung und Anpassungen erfährt. Mit grundlegenden Änderungen (insbesondere an die zu treffenden Maßnahmen) ist jedoch nicht zu rechnen.
Vor diesem Hintergrund sollten Unternehmen bereits jetzt prüfen, ob sie in den Anwendungsbereich der NIS2-Richtlinie fallen.
Es bietet sich zudem an, bereits jetzt Risikoanalysen durchzuführen, Schwachstellen herauszuarbeiten und Konzepte für die zu ergreifenden Maßnahmen und Bewältigungsstrategien zu entwickeln. Ebenfalls sollten auch eng mit den Lieferanten und Dienstleistern zusammengearbeitet werden, um die Sicherheit in der Lieferkette zu gewährleisten.
Unternehmen sollten insofern bereits jetzt tätig werden und die Umsetzung der Risikomanagementmaßnahmen schon jetzt angehen.
Welche Anforderungen stellt NIS2 an die Cybersicherheit betroffener Unternehmen?
Die NIS2-Richtlinie verpflichtet die betroffenen Unternehmen zu umfassenden Risikomanagementmaßnahmen im Hinblick auf ihre Cybersicherheit. Die künftig einzuhaltenden Pflichten sind in den §§ 30 bis 42 BSIG-E geregelt.
Übergeordnet sind besonders wichtige Einrichtungen und wichtige Einrichtungen nach § 30 Abs. 1 S. 1 BSIG-E verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.
Um welche Maßnahmen es sich hierbei handeln soll, wird in § 30 Abs. 2 BSIG-E näher erläutert. Zu beachten ist, dass die Aufzählung nicht abschließend ist und nur den Mindeststandard festlegt. Darüber hinaus werden die Maßnahmen durch Durchführungsrechtsakte der Europäischen Kommission weiter präzisiert.
Risikomanagementmaßnahmen (§ 30 BSIG-E)
Betrifft:
- Besonders wichtige Einrichtungen
- Wichtige Einrichtungen
Maßnahmen:
- Risikoanalysekonzepte und Konzepte für die Sicherheit in der Informationstechnologie
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs (Backup-Management; Wiederherstellung nach einem Notfall, Krisenmanagement)
- Sicherheit in der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen
- Evaluationskonzepte und -verfahren bzgl. der Wirksamkeit der Risikomanagementmaßnahmen
- Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnologie
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
- Sicherheit des Personals
- Zugriffskontrolle
- Verwendung von Multi-Fakor-Authentifizierung
- Gesicherte Sprach-, Video- und Textkommunikation
- sofern erforderlich, gesicherte Notfallkommunikation innerhalb der Einrichtung
Meldepflichten (§ 32 BSIG-E)
Betrifft:
- Besonders wichtige Einrichtungen
- Wichtige Einrichtungen
Maßnahmen:
- Unverzügliche Meldung (Höchstfrist 24h) nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall. Die Meldung muss Angaben darüber enthalten, ob der Verdacht auf rechtswidrige / böswillige Handlungen besteht oder der Vorfall grenzüberschreitende Auswirkung hat.
- Abgabe eines vollständigen Berichts innerhalb von 72h nach Kenntniserlangung. Der Bericht muss die Angaben der ersten Meldung bestätigen oder aktualisieren und eine erste Bewertung des Vorfalls enthalten.
- ggf. (auf Anfrage) Abgabe einer Zwischenmeldung
- Abgabe eines ausführlichen Abschlussberichts nach einem Monat bzw. sofern der Vorfall noch andauert, Abgabe eines Zwischenberichts.
Registrierungspflicht (§ 33 BSIG-E)
Betrifft:
- Besonders wichtige Einrichtungen
- Wichtige Einrichtungen
- Domain-Name-Registry-Diensteanbieter
Maßnahmen:
- Registrierung beim BSI bei erstmaliger oder erneuter Einstufung als eine der betroffenen Einrichtungen.
Die Registrierung muss folgende Angaben umfassen:
- Name und Rechtsform der Einrichtung und (falls einschlägig) Handelsregisternummer
- Anschrift und Kontaktdaten
- Benennung des Sektors und der einschlägigen Branche
- Auflistung der EU-Mitgliedstaaten, in denen das Unternehmen seine Dienste erbringt
- Zuständige Aufsichtsbehörden auf Bundes- und Länderebene
Unterrichtungspflicht (§ 35 BSIG-E)
Betrifft:
- Besonders wichtige Einrichtungen
- Wichtige Einrichtungen
Maßnahmen:
- Auf Anordnung des BSI muss das Unternehmen bei einem erheblichen Sicherheitsvorfall die Empfänger der Dienste hierüber unterrichten. Die Unterrichtung kann auch durch Veröffentlichung auf der Website erfolgen.
- Für Einrichtungen aus den Sektoren Finanzwesen, Sozialversicherungsträger, Grundsicherung der Arbeitssuchenden, digitale Infrastruktur, Verwaltung von IKT-Diensten und Digitale Dienste muss die Unterrichtung zudem die Abhilfemaßnahmen beinhalten.
Informationspflicht ggü. der Öffentlichkeit (§ 36 Abs. 2 BSIG-E)
Betrifft:
- Besonders wichtige Einrichtungen
- Wichtige Einrichtungen
Maßnahmen:
- Das BSI kann nach Anhörung der betroffenen Einrichtung, diese dazu verpflichten, die Öffentlichkeit über den Sicherheitsvorfall zu informieren.
- Hierfür ist erforderlich, dass die Offenlegung im öffentlichen Interesse ist oder zur Sensibilisierung der Öffentlichkeit beiträgt.
Unverbindliches Erstgespräch
zur NIS2-Richtlinie
- Klärung, ob Ihr Unternehmen in den Anwendungsbereich fällt.
- Analyse Ihrer IT-Infrastruktur auf NIS2-Compliance.
- Erstellung eines Maßnahmenkatalogs und Unterstützung bei der Umsetzung.
Für die Betreiber von kritischen Anlagen werden diese Pflichten teils noch verschärft und darüber hinaus noch weitere Pflichten auferlegt. Diese verschärften und zusätzlichen Pflichten umfassen:
- Besondere Risikomanagementmaßnahmen (§ 31 BSIG-E): die regulären Maßnahmen nach § 30 Abs. 2 BSIG-E werden verschärft. Die Betreiber müssen alle Maßnahmen treffen, die nicht außer Verhältnis zu den Folgen eines Ausfalls oder Beeinträchtigung stehen. Darüber hinaus sind sie zum Einsatz von Systemen zur Angriffserkennung verpflichtet.
- Zusätzliche Angaben bei der Meldepflicht nach § 32 BSIG-E: Betreiber kritischer Anlagen müssen neben den Angaben aus § 32 Abs. 1 BSIG-E ebenfalls die Art der betroffenen Anlage und der kritischen Dienstleistung sowie die Auswirkungen des Sicherheitsvorfalls auf diese Dienstleistung übermitteln.
- Zusätzliche Angaben bei der Registrierung nach § 33 BSIG-E: bei der Registrierung haben die Betreiber zudem die öffentlichen IP-Adressbereiche der betriebenen Anlagen sowie die ermittelte Anlagenkategorie, die ermittelte Versorgungskennzahlen sowie den Standort der Anlage und eine Kontaktstelle anzugeben. Die Betreiber haben eine dauerhafte Erreichbarkeit der Kontaktstelle zu gewährleisten.
- Nachweispflicht (§ 39 BSIG-E): die Betreiber haben frühestens nach drei Jahre, nachdem sie erstmals oder erneut als Betreiber von kritischen Anlagen gelten, die Umsetzung der Risikomanagementmaßnahmen durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen. Diese Nachweispflicht ist nach der ersten Überprüfung alle drei Jahre fällig.
Zu den Risikomanagementmaßnahmen gehören nicht nur solche, die unmittelbar den eigenen Betrieb betreffen. Wie § 30 Abs. 2 Nr. 4 BSIG-E zeigt, müssen die betroffenen Unternehmen auch die Sicherheit der Lieferkette gewährleisten. Die Gesetzesbegründung zum NIS2UmsuCG bestimmt neben den einzuhaltenden Sicherheitsmaßnahmen etwa vertragliche Vereinbarungen mit Zulieferern und Dienstleistern zur Bewältigung von Cybersicherheitsvorfällen, sowie die Berücksichtigung von Empfehlungen des BSI in Bezug auf Produkte und Dienstleistungen.
Ebenfalls sollten die Unternehmen ihre Lieferanten zur Beachtung von grundsätzlichen Prinzipien wie Security by Design oder Security by Default ermahnen bzw. verpflichten. Die Umsetzung der NIS2-Richtlinie bedeutet insofern für Unternehmen nicht nur die für sie unmittelbar eigenen Prozesse anzupassen und zu verbessern. Vielmehr müssen auch die Prozesse und Systeme der Lieferanten und Dienstleister überprüft werden und eng zusammengearbeitet werden, um mögliche Sicherheitslücken zu beheben.
Welche Sanktionen sieht die NIS2-Richtlinie für Verstöße vor?
Verstöße gegen die Anforderungen der NIS2-Richtlinie werden als Ordnungswidrigkeiten geahndet. Als Sanktionsform sieht § 65 Abs. 5 bis 7 BSIG-E erhebliche Geldbußen vor. Die Höhe der Bußgelder bemisst sich einerseits danach, gegen welche Pflicht das Unternehmen verstoßen hat und andererseits, ob es sich um eine besonders wichtige Einrichtung oder eine wichtige Einrichtung handelt.
- Besonders wichtige Einrichtungen: gegen Unternehmen, die zu den besonders wichtigen Einrichtungen zählen, können Bußgelder bis zu 10 Millionen Euro verhängt werden. Sofern das Unternehmen einen Jahresumsatz von mehr als 500 Millionen Euro haben, kann das Bußgeld sogar bis zu 2 % des Vorjahresumsatzes betragen.
- Wichtige Einrichtungen: gegen Unternehmen, die zu den wichtigen Einrichtungen zählen, können Bußgelder bis zu 7 Millionen Euro bzw. (bei einem Jahresumsatz von mehr als 500 Millionen Euro) in Höhe von bis zu 1,4 % des Vorjahresumsatzes.
Zu beachten ist, dass es sich bei dem Jahresumsatz nicht etwa um den national erwirtschafteten Umsatz handelt. Vielmehr wird der Jahresumsatz anhand des gesamten weltweiten getätigten Umsatzes des Unternehmens bemessen.
Wer ist im Unternehmen für die Umsetzung der NIS2-Anforderungen verantwortlich?
Die Umsetzung, die Einhaltung und die Überwachung der Risikomanagementmaßnahmen obliegt nach § 38 Abs. 1 BSIG-E der Geschäftsleitung der jeweiligen Einrichtung. Wenn die Geschäftsleitung diese Pflicht verletzt, haftet sie gemäß § 38 Abs. 2 S. 1 BSIG-E gegenüber dem Unternehmen für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts.
Diese Haftungsregelung stellt an sich keine Besonderheit dar, sondern entspricht im Wesentlichen den geltenden Haftungsregelungen. Der Vorschrift kommt insofern mehr eine Klarstellungsfunktion zu. Nur falls es für die Einrichtung keine Binnenhaftung gibt, findet die Haftungsregelung des § 38 Abs. 2 S. 1 BSIG-E Anwendung. In den vorausgegangenen Versionen des NIS2UmsuCG untersagte § 38 BSIG-E der Einrichtung zudem, dass die Einrichtung nicht auf die Ersatzansprüche gegenüber der Geschäftsleitung verzichten kann.
Diese Regelung ist in dem aktuellen Entwurf nicht mehr enthalten. Insofern dürften entsprechende Verzichtserklärungen nunmehr zulässig sein. Wie mit solcher Verzichtserklärung jedoch in der Praxis umgegangen wird und ob diese wirksam sind, wird sich anhand der Rechtsprechung zeigen müssen. Die Geschäftsleitung ist nach § 38 Abs. 3 BSIG-E ferner dazu verpflichtet, regelmäßig an Schulungen teilzunehmen. Zusammenfassend lässt sich also sagen, dass NIS2 die Cybersicherheit zur Chefsache macht.
Unverbindliches Erstgespräch
zur NIS2-Richtlinie
- Klärung, ob Ihr Unternehmen in den Anwendungsbereich fällt.
- Analyse Ihrer IT-Infrastruktur auf NIS2-Compliance.
- Erstellung eines Maßnahmenkatalogs und Unterstützung bei der Umsetzung.
In welchem Verhältnis steht NIS2 zu anderen Regulierungen, wie kritis, CER und CRA?
Nicht nur die NIS2-Richtlinie hat sich zum Ziel gesetzt, kritische Infrastrukturen besser zu schützen und widerstandsfähiger zu machen. Am selben Tag wie die NIS2-Richtlinie trat auch die Critical Entities Resilience-Richtlinie (CER-Richtlinie) in Kraft.
Ferner wird mit dem Cyber Resilience Act (CRA) eine weitere produktbezogene Verordnung in Kraft treten, die höhere Sicherheitsanforderungen bei der Herstellung und Entwicklung von Produkten mit digitalen Elementen (Hardware und Software) vorsieht.
Die verschiedenen Regelungswerke betreffen insofern zwar unterschiedliche Bereiche, sind jedoch eng miteinander verbunden.
NIS2-Richtlinie |
CER-Richtlinie |
CRA |
---|---|---|
Anwendbar ab: Inkrafttreten der nationalen Regelung noch ungewiss. |
Anwendbar ab: Inkrafttreten der nationalen Regelung noch ungewiss. |
Anwendbar ab: |
Umsetzung durch: |
Umsetzung durch: |
Umsetzung durch: |
Ziel: |
Ziel: |
Ziel: |
Verpflichtet: |
Verpflichtet: |
Verpflichtet: |
Welche Vorteile bietet die Umsetzung der NIS2-Anforderungen?
Wenngleich die Umsetzung der NIS2-Richtlinie für die betroffenen Unternehmen einen nicht zu unterschätzenden Aufwand bedeutet, sollten die damit verbundenen Vorteile für Organisationen nicht aus dem Auge verloren werden.
Durch die erhöhten Sicherheitsanforderungen verringert sich das Risiko eines Cybersicherheitsvorfalls bzw. die Folgen eines solchen Vorfalls. Denn zum einen werden die Systeme werden widerstandsfähiger sein. Zum anderen können Gefahren schneller erkannt werden. Dies sollte es Unternehmen, die ihren Pflichten nach NIS2 vollständig nachkommen, ermöglichen bestehende Risiken schnell abzustellen.
Auch die Zusammenarbeit und Austausch mit den zuständigen Behörden und gegebenenfalls anderen Unternehmen stärkt die Sicherheit der Systeme und das Bewusstsein für Cybergefahren.
Nicht zu unterschätzen sind schließlich die Auswirkungen auf die Kundenbeziehungen und den Wettbewerb. Denn bei der Zusammenarbeit von Unternehmen wird das Thema Risikomanagement zukünftig eine bedeutende Rolle einnehmen. Ein Unternehmen, welches mit den Anforderungen der NIS2-Richtlinie compliant ist, ist attraktiver in der Zusammenarbeit und wird mehr Vertrauen genießen. Auch die öffentliche Wahrnehmung des Unternehmens kann durch die Einhaltung der Anforderungen positiv beeinflusst werden.
Was beinhaltet die NIS2-Beratung und -Betreuung durch ISiCO?
Wir bieten ihnen umfassende Beratungs-, Schulungs- und Unterstützungsleistungen, um sie bei der Umsetzung der NIS2-Richtlinie zu unterstützen. Dazu gehören die Analyse der spezifischen Anforderungen, die Entwicklung und Implementierung angepasster Sicherheitsmaßnahmen sowie Schulungen und Bewusstseinsbildung der Beschäftigten.
Unsere Expertise und maßgeschneiderten Services bieten nicht nur eine Brücke zur Compliance, sondern auch einen Wettbewerbsvorteil durch verstärkte Sicherheitsmaßnahmen und die Optimierung Ihrer Geschäftsprozesse. Von der ersten Analyse bis zur finalen Implementierung der erforderlichen Maßnahmen – wir stehen Ihnen zur Seite, um sicherzustellen, dass Ihr Unternehmen nicht nur den gesetzlichen Anforderungen entspricht, sondern auch zukunftssicher wird.
Unverbindliches Erstgespräch
zur NIS2-Richtlinie
- Klärung, ob Ihr Unternehmen in den Anwendungsbereich fällt.
- Analyse Ihrer IT-Infrastruktur auf NIS2-Compliance.
- Erstellung eines Maßnahmenkatalogs und Unterstützung bei der Umsetzung.
Häufige Fragen zur NIS2-Richtlinie
Die bzw. der Informationssicherheitsbeauftragte (ISB) spielt eine zentrale Rolle bei der Umsetzung der NIS2-Richtlinie. Bereits im Rahmen der zu treffenden Risikomanagementmaßnahmen sollte die / der ISB aufgrund ihrer / seiner Kenntnisse und Fähigkeiten miteinbezogen werden. Darüber hinaus ist ein:e ISB für die Überwachung, Erkennung und Behebung von Sicherheitsvorfällen relevant.
Die NIS2-Richtlinie wird auf KMU eine erhebliche Auswirkung haben. Bei diesen besteht die Möglichkeit, dass sie über die Auffangvorschrift des § 28 Abs. 2 S. 1 Nr. 3 BSIG-E (weniger als 50 Beschäftigte oder Jahresumsatz und Jahresbilanzsumme von jeweils weniger als 10 Millionen Euro) erfasst werden. Die Herausforderungen für die KMU bestehen einerseits in dem finanziellen Mehraufwand und andererseits in der fehlenden Routine bei der Umsetzung der Vorgaben. Insbesondere stehen sie vor der Herausforderung, die fachliche Expertise in diesem Gebiet aufzubauen.
Zuständige Aufsichtsbehörde für die Einhaltung der Anforderungen durch die Unternehmen ist das BSI (§ 59 BSIG-E).
Die Aufsichtsbefugnis des BSI erstreckt sich auf DNS-Diensteanbieter, Top Level Domain Name Registries, Domain-Name-Registry-Dienstleister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Managed Service Provider, Managed Security Service Provider sowie für Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke nur, wenn diese ihre Hauptniederlassung in der EU in Deutschland haben. Dann ist das BSI EU-weit für diese Unternehmen zentral zuständig.
Weitere Neuigkeiten
23.09.2024
NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
Am 16.01.2023 trat die NIS2-Richtlinie EU-weit in Kraft. Nachdem des zugehörige Umsetzungsgesetz mehrfach geändert wurde, liegt mittlerweile der wohl finale Entwurf vor und das Inkrafttreten der NIS2-Anforderungen rückt immer näher. Eine Vielzahl von Unternehmen steht nun vor der Frage, ob sie dem Anwendungsbereich der NIS2-Richtlinie unterfallen, welche Pflichten sie treffen und wie sie diese Pflichten durch geeignete Maßnahmen erfüllen können. Wir haben die Anforderungen und notwendigen Maßnahmen für Sie aufbereitet.
Weiterlesen … NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
10.09.2024
Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern
Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Und damit sind auch Datenübermittlungen im Konzern nicht automatisch rechtlich zulässig. Wir geben in diesem Beitrag einen Überblick über die wichtigsten Fragestellungen, Anforderungen und Lösungsmöglichkeiten im Bereich Datenübermittlung in Konzernen.
26.08.2024
Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance
Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, empfiehlt sich ein Datenschutzmanagementsystem (DSMS). Denn damit lassen sich die datenschutzrechtlichen Anforderungen regeln, planen, umsetzen und kontrollieren. Das vereinfacht die Compliance für Unternehmen und deren Mitarbeiter:innen wesentlich. Lesen Sie hier, wie der DSGVO-konforme Aufbau eines DSMS gelingt, wer im Unternehmen dafür Verantwortlich ist und welche Software Ihnen helfen kann.
Weiterlesen … Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance