Was ist NIS2 und wer ist betroffen?
Voraussichtlich ab Oktober 2024 treten für zahlreiche Unternehmen und Organisationen verpflichtende Sicherheitsmaßnahmen und Meldepflichten in Kraft, gemäß der NIS2-Richtlinie (EU) 2022/2555. Was beinhaltet die Richtlinie und welche Sektoren sind betroffen?
Inhaltsverzeichnis
Was ist die NIS-2-Richtlinie?
Ab wann gilt NIS 2?
Wer ist von NIS 2 betroffen?
Jetzt NIS-2-Relevanz für Ihr Unternehmen prüfen!
Registrierung betroffener Einrichtungen
Was müssen betroffene Unternehmen und Organisationen tun?
Verantwortung der Geschäftsführung
Welche Rolle spielt ein ISMS bei der Umsetzung von NIS 2?
Wie können wir Ihnen bei der NIS-2-Richtlinie helfen?
NEU: Kostenlose NIS-2-Checkliste
Was ist die NIS2-Richtlinie?
Die Network and Information Systems (NIS) Directive 2, oder NIS2-Richtlinie, ist eine EU-weite Vorgabe, die darauf abzielt, die Cybersicherheit in der Europäischen Union zu stärken. Sie beinhaltet Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union und zielt darauf ab, die Resilienz kritischer Infrastrukturen und digitaler Dienste zu verbessern.
Die NIS2-Richtlinie wurde verabschiedet, um auf die wachsende Bedrohung durch Cyberangriffe und die zunehmende Abhängigkeit von digitalen Technologien in allen Bereichen des täglichen Lebens zu reagieren.
NIS2 definiert einen Mindeststandard. Sie erlaubt den Mitgliedstaaten jedoch grundsätzlich, strengere Vorschriften zu erlassen und die Vorgaben individuell in nationales Recht zu übertragen.
Ab wann gilt NIS2?
In Deutschland ist die Umsetzung von Richtlinien der EU-Kommission oft ein komplexer Prozess. Die Verabschiedung eines Gesetzes, erfordert die Zustimmung des Bundestags und des Bundesrats.
Grundsätzlich soll die Richtlinie bis zum 17. Oktober 2024 von der Bundesrepublik Deutschland in nationales Recht umgesetzt werden. Derzeit deutet jedoch Vieles darauf hin, dass das NIS2-Umsetzungsgesetz NIS2UmsuCG erst im ersten Quartal 2025 in Kraft treten wird.
Grundsätzlich sind betroffene Unternehmen gut beraten, sich bereits im Vorfeld mit der Gesetzgebung zu befassen.
Wer ist von NIS 2 betroffen?
Die NIS-2-Richtlinie gilt für öffentliche und private Einrichtungen in 18 Sektoren, die entweder mindestens 50 Beschäftigte haben oder einen Jahresumsatz und eine Jahresbilanz von mindestens 10 Millionen Euro aufweisen.
Einige Sektoren sind unabhängig von ihrer Größe betroffen, wie beispielsweise Teile der digitalen Infrastruktur, öffentliche Verwaltung, alleinige Anbieter und kritische Infrastrukturen (KRITIS).
Die Richtlinie erstreckt sich somit auf eine breite Palette von Organisationen und Unternehmen in Deutschland, die einen wesentlichen Beitrag zur Cybersecurity leisten müssen.
Jetzt NIS-2-Relevanz für Ihr Unternehmen prüfen!
Machen Sie den Selbsttest und finden Sie heraus, ob die NIS-2-Richtlinie für Ihr Unternehmen bzw. Ihre Organisation in Frage kommt. Mit unserem NIS-2-Check geben wir Ihnen eine erste Orientierungshilfe.
Registrierung und Umsetzung betroffener Einrichtungen
Alle betroffenen Einrichtungen, also “Besonders wichtige Einrichtungen”, “Wichtige Einrichtungen” sowie “Kritische Betreiber” müssen sich bis spätestens drei Monaten nach Inkrafttreten des NIS2UmsuCG über eine vom BSI und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) eingerichtete Registrierungsmöglichkeit diverse Angaben übermitteln. Das ist im NIS2UmsuCG §33(1) und §33(2) geregelt.
Die Umsetzung der Maßnahmen muss zu einem vom BSI und BBK bei der Registrierung festgelegten Zeitpunkt, jedoch frühestens nach drei Jahren, erfolgen. Anschließend ist die Umsetzung/Einhaltung der Maßnahmen alle drei Jahre dem Bundesamt auf geeignete Weise nachzuweisen (§39(1)).
Was müssen betroffene Unternehmen und Organisationen tun?
Betroffene Einrichtungen müssen im Zusammenhang mit NIS2 eine Reihe von Anforderungen erfüllen. Zu den wichtigsten gehören:
Sicherheitskonzept:
- Entwicklung eines umfassenden Sicherheitskonzepts, das die Identifizierung kritischer Infrastrukturen, die Analyse von Bedrohungen und Schwachstellen, die Implementierung von Sicherheitsmaßnahmen sowie die Einhaltung gesetzlicher Anforderungen gemäß der nationalen NIS-2-Gesetzgebung umfasst.
- Festlegung von Sicherheitsrichtlinien, -standards und -verfahren, die die Sicherheit der Informationssysteme und Netzwerke des Unternehmens gewährleisten.
Risikomanagement:
- Durchführung regelmäßiger Risikobewertungen, um potenzielle Bedrohungen und Schwachstellen zu identifizieren, die die Verfügbarkeit, Integrität und Vertraulichkeit der Informationssysteme und Netzwerke gefährden könnten.
- Implementierung von angemessenen technischen und organisatorischen Sicherheitsmaßnahmen zur Risikominderung und Verbesserung der Cyberresilienz des Unternehmens.
Incident-Management:
- Einrichtung eines effektiven Incident-Management-Prozesses zur Erkennung, Bewertung, Eskalation und Behebung von Sicherheitsvorfällen und Bedrohungen.
- Schulung des Incident-Response-Teams und regelmäßige Durchführung von Sicherheitsübungen und Simulationen, um die Reaktionsfähigkeit des Unternehmens auf Sicherheitsvorfälle zu verbessern.
Business Continuity Management:
- Entwicklung eines Business Continuity Management (BCM)-Plans, der sicherstellt, dass das Unternehmen auch bei Sicherheitsvorfällen oder Störungen der Geschäftstätigkeit kontinuierlich arbeiten kann.
- Identifizierung von Schlüsselprozessen und -ressourcen sowie Implementierung von Maßnahmen zur Aufrechterhaltung der Geschäftskontinuität und Wiederherstellung nach einem Sicherheitsvorfall.
Meldewesen einrichten:
- Einrichtung eines klaren Meldewesens für Sicherheitsvorfälle intern wie extern.
- Schulung der Mitarbeiter im Zusammenhang mit der Meldung von Sicherheitsvorfällen und Bedrohungen.
Sicherheit der Supply Chain:
- Überprüfung der Sicherheitspraktiken und -standards von Lieferanten und Dienstleistern, um sicherzustellen, dass die Sicherheit der Supply Chain gewährleistet ist.
- Implementierung von Sicherheitsanforderungen und -prüfungen für Lieferanten und Dienstleister, um das Risiko von Sicherheitsvorfällen und Bedrohungen aus der Supply Chain zu minimieren.
Überwachung und Schulung:
- Kontinuierliche Überwachung der Informationssysteme und Netzwerke des Unternehmens, um Sicherheitsvorfälle frühzeitig zu erkennen und zu mitigieren.
- Schulung der Mitarbeiter über Sicherheitsbest Practices, Risiken und Bedrohungen, um das Bewusstsein und die Sicherheitskompetenz im Unternehmen zu erhöhen.
Verantwortung der Geschäftsführung
Die Geschäftsführung spielt eine entscheidende Rolle bei der Schaffung einer Cybersicherheitskultur im Unternehmen und bei der Gewährleistung der Widerstandsfähigkeit gegenüber Cyberangriffen und anderen Sicherheitsbedrohungen. Es ist wichtig, dass sie die Bedeutung von Cybersicherheit verstehen, angemessene Ressourcen bereitstellen und proaktiv Maßnahmen ergreifen, um die Sicherheit der Informationssysteme und Netzwerke des Unternehmens zu stärken.
Welche Rolle spielt ein ISMS bei der Umsetzung von NIS2?
Ein ISMS ist ein wesentliches Instrument zur Sicherstellung der Informationssicherheit sowie der NIS2-Compliance in einer Organisation. Ein ISMS umfasst Richtlinien, Prozesse, Verfahren und Technologien, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.
Ein ISMS trägt dazu bei, die Informationssicherheit zu stärken und die Resilienz von Unternehmen gegenüber Cyberangriffen und anderen Sicherheitsbedrohungen zu erhöhen.
Während die NIS-Richtlinie einige spezifische Anforderungen festlegt, bietet die international anerkannte ISO 27001 einen umfassenderen Rahmen für das Informationssicherheitsmanagement. Mit einem ISMS gemäß ISO 27001 schaffen Unternehmen eine solide Basis, um die Anforderungen von NIS2 zu erfüllen.
Wie können wir Ihnen bei der NIS2-Richtlinie helfen?
CONTECHNET kann Sie während des gesamten Prozesses begleiten. Wir führen mit Ihnen eine Gap-Analyse durch, um Ihre individuellen Lücken zu den NIS2-Anforderungen zu identifizieren. Anschließend stellen wir gemeinsam Ihre Roadmap zur Compliance auf.
Egal ob Sie bereits nach ISO 27001 zertifiziert sind – mit unserer ISMS-Software INDITOR® ISO helfen wir Ihnen dabei, die fehlenden Maßnahmen zur NIS2-Compliance umzusetzen.
Zudem bieten wir Ihnen mit INDART Professional®, unserem Notfallplanungs-Modul, eine Software-Lösung, mit der Sie alle wichtigen Themen rund um den Cybernotfall geordnet definieren können und im Ernstfall nur noch ausführen müssen. Sie legen die Vorgaben individuell für Ihr Unternehmen fest und geben so Ihren Mitarbeitenden die nötige Orientierung für den Ernstfall.
Kontaktieren Sie uns und lassen Sie uns über Ihre individuellen Anforderungen sprechen.
Kostenlose NIS-2-Checkliste
Unsere Checkliste soll Ihnen helfen, die Anforderungen der NIS 2 zu verstehen und die notwendigen Schritte zu identifizieren, um die Sicherheitsstandards zu erfüllen.
Die NIS-2-Anforderungen in unserer Checkliste sind um zusätzliche Umsetzungsempfehlungen ergänzt, die so nicht explizit in der NIS-2-Richtlinie definiert sind. Je mehr dieser Aufgaben Sie in Ihrer Organisation jedoch abdecken, desto besser sind Sie im Bereich Cybersicherheit aufgestellt.
Fordern Sie Ihre NIS-2-Checkliste jetzt kostenlos an!