IT-Sicherheit by IT-HAUS
NIS2-Richtlinie meistern – Erhöhen Sie Ihre IT-Sicherheit & minimieren Sie Compliance-Risiken
Maßgeschneiderte IT-Sicherheitslösungen & Expertenwissen für Ihre NIS2-Compliance
Gesetz zur Stärkung der Cybersicherheit
Was ist das NIS2UmsuCG?
Die Netzwerk- und Informationssicherheitsrichtlinie 2 (NIS2-Richtlinie) wurde als Reaktion auf die erhöhte Bedrohungslage im Hinblick auf Cyberangriffe und die damit verbundene Steigerung der (auch technischen) Anforderungen an die Abwehr solcher Vorfälle Ende 2022 verabschiedet. Die Richtlinie ist ab spätestens Oktober 2024 verbindlich.
In Deutschland wird dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) geschehen.
Dieses Richtlinie definiert EU-weit grundlegende Anforderungen an die Cybersicherheit und verpflichtet betroffene Einrichtungen, die Risiken ihrer Informationssysteme zu kontrollieren.
Betroffene Einrichtungen
Wer ist betroffen?
Die NIS2-Richtlinie erweitert den Anwendungsbereich weit über die bisherige Definition von „kritischen Infrastrukturen“ im Sinne der KRITIS-Gesetzgebung hinaus. Definiert werden die betroffenen Einrichtungen anhand von zwei maßgeblichen Kriterien: Unternehmensgröße und Unternehmenssektor.
1. Kriterium: Unternehmensgröße
Unternehmen mit…
… mindestens 50 Mitarbeiter:innen oder
… einem Jahresumsatz / einer Jahresbilanz von über 10 Mio. Euro
können von NIS2 reguliert werden, wenn Sie auch Kriterium 2 erfüllen.
Wichtig:Unabhängig von der Unternehmensgröße sollen auch bestimmte Betreiber, insbesondere aus der digitalen Infrastruktur und der öffentlichen Verwaltung, reguliert werden. |
2. Kriterium: Unternehmenssektor
Die Entities werden in “Besonders wichtige Einrichtungen” oder “Wichtige Einrichtungen” unterschieden. Diese Unterscheidung bestimmt maßgeblich den Grad staatlicher Überwachung und die Intensität der Sanktionen bei Regelverstößen.
Zu den “Besonders wichtigen Einrichtungen” gehören Betreiber aus neun Sektoren sowie Sonderfälle und zu den “Wichtigen Einrichtungen” zählen acht Sektoren und mittlere Betreiber aller Sektoren.
Betroffene Organisationen gehören zu folgenden der 17 Sektoren:
Cybersicherheit & Risikomanagement
Die Kernanforderungen der NIS2-Richtlinie
NIS2 definiert grundlegende Anforderungen an die Cyber-Sicherheit. Die betroffenen Einrichtungen sind verpflichtet, die Risiken, die ihre Informationssysteme betreffen, zu kontrollieren. Darunter zählen, neben verschiedenen technischen Maßnahmen (u.a. regelmäßige Schwachstellenscans/Pentests, Backup, Angriffserkennung, Multi-Faktor-Authentifizierung) auch organisatorische Maßnahmen (u.a. Risikomanagement, IT-Notfallhandbuch, regelmäßige Schulungen für alle Mitarbeiter zum Thema Cybersicherheit) sowie Incident Management.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird als zuständige Aufsichtsbehörde die Einhaltung der Anforderungen überwachen. Zudem erhält das BSI die Befugnis, Unternehmen bei erheblichen Sicherheitsvorfällen zur Information an betroffene Kunden, Öffentlichkeit oder Datenschutzbehörden zu verpflichten.
Darüber hinaus verpflichtet die NIS2-Richtlinie die betroffenen Einrichtungen zu einer mehrstufigen Meldung bei erheblichen Sicherheitsvorfällen.
24h
- Frühe Erstmeldung
- Verdacht auf rechtswidrige Handlungen
72h
- Bewertung von Schweregrad und Auswirkungen
- Kompromittierungsindikatoren (IoC)
1 Monat
- Ausführliche Beschreibung
- Zugrundeliegende Ursachen
- Getroffene Abhilfemaßnahmen
Konsequenzen von Verstößen
Sanktionen und persönliche Haftung der Geschäftsleitung
Für Verstöße gegen Anforderungen von NIS2 sollen Geldbußen erlassen werden können bis zu einem Maximum von
- €10 Mio. oder 2% des weltweiten Umsatzes (Besonders wichtige Einrichtungen)
- €7 Mio. oder 1,4% des weltweiten Umsatzes (Wichtige Einrichtungen)
Die NIS2-Richtlinie erlegt außerdem der Geschäftsleitung verschiedene Verpflichtungen auf
- Umsetzung der ergriffenen Risikomanagement-Maßnahmen
- Überwachung der Umsetzung
- Regelmäßige Teilnahme an Schulungen zu Cybersicherheit
- Angebot von Schulungen für Mitarbeitende im Rahmen der Risikomanagement-Maßnahmen
Es gilt die persönliche Haftung der Geschäftsleitung für entstandene Schäden (Bußgelder, Regressansprüche von Dritten).
Die NIS2-Umsetzung mit IT-HAUS
In nur 5 Schritten bereit für NIS2
Sind Sie bereit für NIS2?
NIS2 Readiness Workshop
Wie gut sind Sie vorbereitet auf NIS2? Finden Sie es heraus!
Anhand eines Vorab-Fragebogens führen wir Sie durch die wesentlichen Anforderungen von NIS2. Im anschließenden gemeinsamen Workshop führen wir eine Gap-Analyse durch und entwickeln Ihre individuelle Roadmap zur NIS2-Readiness.
Umfassender Status-Check Ihrer NIS2-Konformität
GAP-Analyse zur aktuellen NIS2-Konformität
Handlungsempfehlungen mit Priorisierungen
auf Wunsch: rechtssichere Betroffenheitsanalyse
Angebot
NIS2 Readiness Workshop
ab € 2.500,00*
* (netto) zzgl. gesetzlicher MwSt
Status-Check
Gezielte Investitionsplanung
Frühzeitiges Handeln
Wissenswertes
Informationen rund um NIS2
FAQ
Das Wichtigste auf einen Klick
Wofür steht “NIS2”?
Sie definiert EU-weit grundlegende Anforderungen an die Cybersicherheit und verpflichtet betroffene Einrichtungen, die Risiken ihrer Informationssysteme zu kontrollieren.
Ersetzt NIS2 jetzt die DSGVO?
Was ist das Besondere an NIS2?
Wen betrifft NIS2?
Werde ich informiert, ob ich betroffen bin?
Wie wird die Einhaltung der NIS2-Anforderungen geprüft?
Was muss ich bei Sicherheitsvorfällen beachten?
Welche Konsequenzen drohen bei Nichtumsetzung?
Wie kann die IT-HAUS GmbH mir helfen?
Bei welchen Themen dürfen unsere Security-Experten Sie unterstützen?
Sprechen Sie uns an, wir unterstützen Sie auf dem Weg in eine erfolgreiche und sichere digitale Zukunft. Unsere auf die IT-Sicherheit Ihres Unternehmens spezialisierten Ansprechpartner beraten Sie gerne.