IT-Sicherheit by IT-HAUS

NIS2-Richtlinie meistern – Erhöhen Sie Ihre IT-Sicherheit & minimieren Sie Compliance-Risiken

Maßgeschneiderte IT-Sicherheitslösungen & Expertenwissen für Ihre NIS2-Compliance

Gesetz zur Stärkung der Cybersicherheit

Was ist das NIS2UmsuCG?

Die Netzwerk- und Informationssicherheitsrichtlinie 2 (NIS2-Richtlinie) wurde als Reaktion auf die erhöhte Bedrohungslage im Hinblick auf Cyberangriffe und die damit verbundene Steigerung der (auch technischen) Anforderungen an die Abwehr solcher Vorfälle Ende 2022 verabschiedet. Die Richtlinie ist ab spätestens Oktober 2024 verbindlich.

In Deutschland wird dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) geschehen.

Dieses Richtlinie definiert EU-weit grundlegende Anforderungen an die Cybersicherheit und verpflichtet betroffene Einrichtungen, die Risiken ihrer Informationssysteme zu kontrollieren.

Betroffene Einrichtungen

Wer ist betroffen?

Die NIS2-Richtlinie erweitert den Anwendungsbereich weit über die bisherige Definition von „kritischen Infrastrukturen“ im Sinne der KRITIS-Gesetzgebung hinaus. Definiert werden die betroffenen Einrichtungen anhand von zwei maßgeblichen Kriterien: Unternehmensgröße und Unternehmenssektor.

 

1. Kriterium: Unternehmensgröße

Unternehmen mit…

… mindestens 50 Mitarbeiter:innen oder

… einem Jahresumsatz / einer Jahresbilanz von über 10 Mio. Euro

können von NIS2 reguliert werden, wenn Sie auch Kriterium 2 erfüllen.

Wichtig:

Unabhängig von der Unternehmensgröße sollen auch bestimmte Betreiber, insbesondere aus der digitalen Infrastruktur und der öffentlichen Verwaltung, reguliert werden.

2. Kriterium: Unternehmenssektor

Die Entities werden in “Besonders wichtige Einrichtungen” oder “Wichtige Einrichtungen” unterschieden. Diese Unterscheidung bestimmt maßgeblich den Grad staatlicher Überwachung und die Intensität der Sanktionen bei Regelverstößen.

Zu den “Besonders wichtigen Einrichtungen” gehören Betreiber aus neun Sektoren sowie Sonderfälle und zu den “Wichtigen Einrichtungen” zählen acht Sektoren und mittlere Betreiber aller Sektoren.

Betroffene Organisationen gehören zu folgenden der 17 Sektoren:

Cybersicherheit & Risikomanagement

Die Kernanforderungen der NIS2-Richtlinie

NIS2 definiert grundlegende Anforderungen an die Cyber-Sicherheit. Die betroffenen Einrichtungen sind verpflichtet, die Risiken, die ihre Informationssysteme betreffen, zu kontrollieren. Darunter zählen, neben verschiedenen technischen Maßnahmen (u.a. regelmäßige Schwachstellenscans/Pentests, Backup, Angriffserkennung, Multi-Faktor-Authentifizierung) auch organisatorische Maßnahmen (u.a. Risikomanagement, IT-Notfallhandbuch, regelmäßige Schulungen für alle Mitarbeiter zum Thema Cybersicherheit) sowie Incident Management.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird als zuständige Aufsichtsbehörde die Einhaltung der Anforderungen überwachen. Zudem erhält das BSI die Befugnis, Unternehmen bei erheblichen Sicherheitsvorfällen zur Information an betroffene Kunden, Öffentlichkeit oder Datenschutzbehörden zu verpflichten.

Darüber hinaus verpflichtet die NIS2-Richtlinie die betroffenen Einrichtungen zu einer mehrstufigen Meldung bei erheblichen Sicherheitsvorfällen.

24h

$
  • Frühe Erstmeldung
  • Verdacht auf rechtswidrige Handlungen

72h

$
  • Bewertung von Schweregrad und Auswirkungen
  • Kompromittierungsindikatoren (IoC)

1 Monat

$
  • Ausführliche Beschreibung
  • Zugrundeliegende Ursachen
  • Getroffene Abhilfemaßnahmen
Konsequenzen von Verstößen

Sanktionen und persönliche Haftung der Geschäftsleitung

Für Verstöße gegen Anforderungen von NIS2 sollen Geldbußen erlassen werden können bis zu einem Maximum von

  • €10 Mio. oder 2% des weltweiten Umsatzes (Besonders wichtige Einrichtungen)
  • €7 Mio. oder 1,4% des weltweiten Umsatzes (Wichtige Einrichtungen)

Die NIS2-Richtlinie erlegt außerdem der Geschäftsleitung verschiedene Verpflichtungen auf

  • Umsetzung der ergriffenen Risikomanagement-Maßnahmen
  • Überwachung der Umsetzung
  • Regelmäßige Teilnahme an Schulungen zu Cybersicherheit
  • Angebot von Schulungen für Mitarbeitende im Rahmen der Risikomanagement-Maßnahmen

Es gilt die persönliche Haftung der Geschäftsleitung für entstandene Schäden (Bußgelder, Regressansprüche von Dritten). 

Die NIS2-Umsetzung mit IT-HAUS

In nur 5 Schritten bereit für NIS2

1. NIS2 - Readiness Workshop

Wir unterstützen Sie bei der Betroffenheits- und GAP-Analyse auf Ihrem Weg zu NIS2-Konformität.

2. NIS2 – Umsetzungs-projekt

Starten Sie das Umsetzungs­­­projekt zur Implemen­­tierung der Maßnahmen.

3. Registrierung beim BSI

Sie müssen sich binnen 3 Monaten nach eintreten der Betroffenheit beim BSI registrieren.

4. Meldung von Sicherheits-vorfällen

Bereiten Sie die notwendigen Prozesse zur Meldung eines Vorfalls vor und üben Sie den Ablauf.

5. Haben Sie einen Notfallplan?

Sorgen Sie dafür, dass Ihr Unter­nehmen auch im Falle eines Sicherheits­­vorfalls handlungs­fähig bleibt.
Sind Sie bereit für NIS2?

NIS2 Readiness Workshop

Wie gut sind Sie vorbereitet auf NIS2? Finden Sie es heraus!

Anhand eines Vorab-Fragebogens führen wir Sie durch die wesentlichen Anforderungen von NIS2. Im anschließenden gemeinsamen Workshop führen wir eine Gap-Analyse durch und entwickeln Ihre individuelle Roadmap zur NIS2-Readiness.

Umfassender Status-Check Ihrer NIS2-Konformität

GAP-Analyse zur aktuellen NIS2-Konformität

Handlungsempfehlungen mit Priorisierungen

auf Wunsch: rechtssichere Betroffenheitsanalyse

Angebot
NIS2 Readiness Workshop

ab € 2.500,00*

* (netto) zzgl. gesetzlicher MwSt

Status-Check

Umfassender Status-Check Ihrer NIS2-Konformität

 

Gezielte Investitionsplanung

Gap-Analyse für nächste Investitionen

 

Frühzeitiges Handeln

Steigerung der IT-Sicherheit & Erkennung von notwendigen Maßnahmen zur NIS2-Readiness

 

Wissenswertes

Informationen rund um NIS2

Videopodcast

IT-TALK #7: NIS2 - Die neue EU-Richtlinie setzt Unternehmen unter
Handlungsdruck

Mit der überarbeiteten Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) schafft die Europäische Union EU-weit einheitliche Mindeststandards für die Widerstandsfähigkeit von Unternehmen und Behörden gegen Cyberangriffe.

Webcast

NIS2 - Cybersicherheit wird zur Chefsache

Die neue EU-Richtlinie über Netzwerk- und Informationssicherheit (NIS2) macht IT-Sicherheit zur Chefsache und setzt Mindeststandards in Sachen Cybersicherheit. Erfahren Sie in der Aufzeichnung des Webcasts, was die neuen Auflagen für Ihr Unternehmen bedeuten und wie Sie sie neuen Anforderungen in der Praxis umsetzen können.

Videopodcast

IT-Talk #8: HACKED –
Insider Perspektive auf Hackerangriff

Der Albtraum der IT ist eingetreten! Das Unternehmen gehackt, die Systeme außer Kontrolle! In einer Sonderfolge unseres IT-Talks berichtet Frank Benke, Head of IT der HAHN Automation Group, wie er und sein Team einen Hackerangriff erfahren mussten!

FAQ

Das Wichtigste auf einen Klick

Wofür steht “NIS2”?
Die Netzwerk- und Informationssicherheitsrichtlinie 2 (NIS2-Richtlinie) wurde als Reaktion auf die erhöhte Bedrohungslage im Hinblick auf Cyberangriffe und die damit verbundene Steigerung der (auch technischen) Anforderungen an die Abwehr solcher Vorfälle Ende 2022 verabschiedet.

Sie definiert EU-weit grundlegende Anforderungen an die Cybersicherheit und verpflichtet betroffene Einrichtungen, die Risiken ihrer Informationssysteme zu kontrollieren.

Ersetzt NIS2 jetzt die DSGVO?
Nein, NIS2 ersetzt die DSGVO (Datenschutz-Grundverordnung) nicht. Während NIS2 sich auf die Sicherheit von Netzwerk- und Informationssystemen konzentriert, befasst sich die DSGVO primär mit dem Schutz personenbezogener Daten. Allerdings können Sicherheitsvorfälle, die unter NIS2 fallen, auch Datenschutzfolgen haben, wenn personenbezogene Daten betroffen sind. Daher ergänzen sich beide Gesetze: NIS2 stärkt die IT-Sicherheit, während die DSGVO den Datenschutz regelt. Es ist wichtig, beide Vorschriften parallel zu beachten und umzusetzen.
Was ist das Besondere an NIS2?
NIS2 stellt im Vergleich zu seinem Vorgänger erweiterte Anforderungen an die Cybersicherheit und schließt mehr Unternehmen ein.
Wen betrifft NIS2?
NIS2 gilt für Organisationen in spezifischen Sektoren, die einen Jahresumsatz von mindestens 10 Millionen Euro haben und/oder mindestens 50 Mitarbeiter beschäftigen. Außerdem sind auch solche Einrichtungen betroffen, die zwar kleiner sein können, deren Dienstausfall jedoch erhebliche Auswirkungen auf die öffentliche Sicherheit oder Gesundheit haben würde.
Werde ich informiert, ob ich betroffen bin?
Unternehmen sind selbst dafür verantwortlich herauszufinden, ob sie von NIS2 betroffen sind. Es gibt keine automatische Benachrichtigung.
Wie wird die Einhaltung der NIS2-Anforderungen geprüft?
Die Einhaltung der NIS2-Anforderungen wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht. Das BSI hat zudem die Befugnis, Unternehmen bei erheblichen Sicherheitsvorfällen zur Information zu verpflichten.
Was muss ich bei Sicherheitsvorfällen beachten?
Unternehmen müssen Sicherheitsvorfälle mehrstufig melden und in bestimmten Fällen Kunden, Öffentlichkeit oder Datenschutzbehörden informieren.
Welche Konsequenzen drohen bei Nichtumsetzung?
Bei Verstößen gegen die NIS2-Anforderungen können Geldbußen von bis zu €10 Mio. oder 2% des weltweiten Umsatzes für „Besonders wichtige Einrichtungen“ und bis zu €7 Mio. oder 1,4% des weltweiten Umsatzes für „Wichtige Einrichtungen“ verhängt werden. Besonders hervorzuheben ist die direkte Haftung der Geschäftsleitung und die umfassenderen Meldepflichten bei Sicherheitsvorfällen.
Wie kann die IT-HAUS GmbH mir helfen?
Die IT-HAUS GmbH bietet einen umfassenden Service zur NIS2-Konformität – beginnend mit einem NIS2 Readiness Workshop, in dem wir gemeinsam die erforderlichen Schritte erarbeiten und einen maßgeschneiderten Fahrplan entwickeln. Während der Workshop auf die Planung fokussiert ist, steht IT-HAUS anschließend für die praktische Umsetzung der identifizierten Maßnahmen bereit. Somit erhalten Sie alle notwendigen Dienstleistungen aus einer Hand, um NIS2-konform zu werden.

Bei welchen Themen dürfen unsere Security-Experten Sie unterstützen?

Sprechen Sie uns an, wir unterstützen Sie auf dem Weg in eine erfolgreiche und sichere digitale Zukunft. Unsere auf die IT-Sicherheit Ihres Unternehmens spezialisierten Ansprechpartner beraten Sie gerne.

Hans-Otto Mohr hmohr@it-haus.com 777620004

Leiter Competence Center Security
+49 6502 9208-251