menü.
menü.

NIS-2-Beratung.

Individuelle NIS-2-Beratung

Die NIS-2-Richtlinie ist eine überarbeitete Version der ursprünglichen Network and Information Security (NIS) Directive. Unternehmen müssen bis spätestens Oktober 2024 die Anforderungen der NIS-2-Richtlinie erfüllen.

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie ist eine Überarbeitung der ursprünglichen NIS-Richtlinie, die 2016 eingeführt wurde. Sie zielt darauf ab, die Cybersicherheitsmaßnahmen innerhalb der EU zu harmonisieren und zu verstärken. Die neue Richtlinie erweitert den Geltungsbereich, wodurch die Richtlinie für mehr Unternehmen rechtsgültig ist. Gleichzeitig stellt NIS-2 auch strengere Anforderungen an die Sicherheitsmaßnahmen und die Meldung von Sicherheitsvorfällen.

Die NIS-2-Richtlinie wurde im Dezember 2022 von der EU verabschiedet. Sie ist offiziell am 16. Januar 2023 in Kraft getreten. Ab diesem Zeitpunkt haben die Mitgliedstaaten der Europäischen Union 21 Monate Zeit, die Richtlinie in nationales Recht umzusetzen. Das bedeutet, dass Unternehmen spätestens bis Oktober 2024 die Anforderungen der NIS-2-Richtlinie erfüllen müssen.

Welche Unternehmen betrifft es?

Einfach erklärt:

Unternehmen mit‍ mindestens

  • 50 Mitarbeitern und
  • einem Jahresumsatz/einer Jahresbilanz von über 10 Mio. Euro

können von der NIS-2-Richtlinie betroffen sein.

Übersicht aller betroffenen Sektoren

Die NIS2-Richtlinie betrifft Organisationen aus 18 spezifischen Sektoren. Die Definition dieser Kategorien finden Sie ebenfalls in den Anhängen I und II der NIS2-Richtlinie. Diese Anhänge geben genau an, welche Art von Einrichtungen innerhalb jedes Sektors betroffen sind. Es ist daher wichtig zu prüfen, ob Ihre Einrichtung zu den dort genannten Kategorien gehört.

Wesentliche Sektoren

  1. Elektrizität
  2. Fernwärme
  3. Erdöl
  4. Erdgas
  5. Wasserstoff
  1. Luftverkehr
  2. Schienenverkehr
  3. Schifffahrt
  4. Straßenverkehr
  1. Kreditinstitute
  1. Handelsplätze
  2. Zentrale Gegenpartien
  1. Gesundheits­dienstleister
  2. EU Labore
  3. Medizinforschung
  4. Pharmazeutik
  5. Medizingeräte
  1. Wasserversorgung
  1. Abwasserentsorgung
  1. Internet-Knoten (IXP)
  2. DNS (ohne Root)*
  3. TLD Registries*
  4. Cloud Provider
  5. Rechenzentren
  6. CDNs
  7. Vertrauensdienste (TSP)*
  8. Elektronische Kommunikation*
  1. Managed Service Providers
  2. Managed Security Service Providers
  1. Zentralregierung*
  2. Regionale Regierung*
  1. Bodeninfrastruktur

Wichtige Sektoren

  1. Postdienste
  1. Abfallbewirtschaftung
  1. Produzierende Unternehmen
  2. Herstellung
  3. Handel
  1. Produktion
  2. Verarbeitung
  3. Vertrieb
  1. Medizinprodukte und In-vitro
  2. DV (Computer), Elektronik, Optik
  3. Elektrische Ausrüstung
  4. Maschinenbau
  5. Kraftwagen und Teile
  6. Fahrzeugbau
  1. Marktplätze
  2. Suchmaschinen
  3. Soziale Netzwerke
  1. Forschende Institute

Die Unterschiede zwischen "wesentliche" und "wichtige" Sektoren erklärt:

  1. Wesentliche Sektoren unterliegen einer proaktiven Aufsicht (ohne Anlass) durch die Behörden. Anfallende Geldstrafen fallen höher aus als bei "wichtigen" Sektoren.
  2. Für wichtige Sektoren sind niedrigere Geldstrafen vorgesehen. Sie werden von den Behörden nur im Bedarfsfall überwacht.

Sonderfälle und Ausschlüsse

Unabhängig von der Größe oder dem Umsatz eines Unternehmens gibt es bestimmte Ausnahmen. Zum Beispiel können Unternehmen, die kritische Tätigkeiten ausführen, Auswirkungen auf die öffentliche Ordnung haben oder vom Staat als "wichtig" eingestuft werden, unter die NIS2-Richtlinie fallen. Dies gilt auch, wenn sie weniger als 50 Mitarbeiter haben oder ihr Jahresumsatz unter 10 Millionen Euro liegt.

Verteidigung oder Geheimdienste können teilweise oder ganz von den Regelungen ausgenommen sein.

Wichtige Anforderungen der NIS-2-Richtlinie

  • Risikomanagement und Sicherheitsmaßnahmen:

Unternehmen müssen robuste Risikomanagement- und Sicherheits­maßnahmen implementieren, um sich gegen Cyberbedrohungen zu schützen. Dazu gehören Maßnahmen zur Erkennung, Prävention und Reaktion auf Sicherheitsvorfälle.

  • Meldung von Sicherheitsvorfällen:

Sicherheitsvorfälle müssen unverzüglich an die zuständigen Behörden gemeldet werden. Dies soll eine schnelle Reaktion und Minimierung der Auswirkungen ermöglichen. Hierbei sind klare Meldefristen definiert.

  • Sanktionen bei
    Nichteinhaltung:

Die NIS-2-Richtlinie sieht erhebliche Sanktionen für Unternehmen vor, die ihre Verpflichtungen nicht erfüllen. Dies umfasst finanzielle Strafen und andere regulatorische Maßnahmen.

Schritte zur Umsetzung der NIS-2-Richtlinie

Für betroffene Unternehmen ist es entscheidend, frühzeitig Maßnahmen zu ergreifen, um die Anforderungen der NIS-2-Richtlinie zu erfüllen. Wir empfehlen ein mehrstufiges Vorgehen:

  1. Bewertung des aktuellen Sicherheitsniveaus: Führen Sie eine umfassende Bewertung Ihrer aktuellen Sicherheitsmaßnahmen und -protokolle durch, um Schwachstellen zu identifizieren.

  2. Entwicklung eines Risikomanagementplans: Erstellen Sie einen detaillierten Risikomanagementplan, der spezifische Maßnahmen zur Verbesserung der Cybersicherheit beinhaltet. Es gilt klare Richtlinien und Verfahren für den Umgang mit Sicherheitsvorfällen zu definieren.

  3. Schulung und Sensibilisierung: Stellen Sie sicher, dass Ihre Mitarbeiter regelmäßig geschult werden und sich der Bedeutung der Cybersicherheit bewusst sind. Die größte Schwachstelle bei Cyberangriffen ist nach wie vor der Mensch.

  4. Implementierung von Sicherheitsmaßnahmen: Implementieren Sie die erforderlichen Sicherheitsmaßnahmen, einschließlich technologischer Lösungen und organisatorischer Prozesse. Ein Informationssicherheitskonzept kann dabei hilfreich sein.

  5. Regelmäßige Überprüfung und Aktualisierung: Überprüfen und aktualisieren Sie regelmäßig Ihre Sicherheitsmaßnahmen, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten.

Mögliche Maßnahmen zur Umsetzung in der Praxis

Schutz der Vertraulichkeit und Integrität von Daten während der Übertragung und Speicherung.

Unsere Experten nutzen SAP Signavio, um Erhöhung der Sicherheit durch eine zusätzliche Sicherheitsebene beim Zugriff auf sensible Systeme und Daten.

Evaluierung von Sicherheitsrichtlinien, Prozessen und Technologien zur Identifizierung von Schwachstellen und Implementierung von Verbesserungen.

Regelmäßige Schulungen für Mitarbeiter zur Sensibilisierung für Cyber-Bedrohungen und Vermittlung von Best Practices, z.B. Phishing-Prävention, sichere Passwortverwendung und Erkennung verdächtiger Aktivitäten.

Simulationen von Cyberangriffen durch Sicherheitsexperten zur Aufdeckung von Schwachstellen in Systemen und Netzwerken, um potenzielle Sicherheitslücken zu identifizieren und zu beheben.

Regelmäßige Aktualisierung von Software und Betriebssystemen, um bekannte Schwachstellen zu schließen und die Angriffsfläche zu reduzieren.

Grundlegende Schutzmechanismen zum Blockieren unerlaubten Zugriffs und schädlicher Software.

Wir sind NIS-2 zertifiziert!

Patrick Hertle ist unser zertifizierter NIS2 Directive Lead Implementer.

Wir verstehen, wie anspruchsvoll die Umsetzung der NIS2-Richtlinie für Unternehmen sein kann. Deswegen ist es umso wichtiger, sich von Experten beraten zu lassen.

Mit unserer fachkundigen, branchenspezifischen Beratung erarbeiten wir gemeinsam mit Ihnen den optimalen Weg zur NIS2-Compliance für Ihr Unternehmen.

Fazit

Die NIS-2-Richtlinie kann einen bedeutenden Schritt zur Verbesserung der Cybersicherheit in der EU darstellen, wiewohl die Umsetzung gerade für den Mittelstand entsprechende Ressourcen erfordert.

Durch eine frühzeitige Vorbereitung und kann die fristgerechte Umsetzung robuster Sicherheitsmaßnahmen gewährleistet werden.Unternehmen stelle somit nicht nur die Compliance sicher, sondern stärken auch ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen.

Bei Fragen zur praktischen Umsetzung stehen wir Ihnen jederzeit gerne unterstützend zur Seite

Für weitere Informationen nehmen Sie gerne Kontakt mit uns auf.

Profitieren Sie vom Know-how unserer Experten.

Felix Hofstetter

Business Development Manager

E-Mail: felix.hofstetter@sp-it.de

Alle Neuigkeiten auf einen Blick.

Mehr erfahren +08 Oktober 2024 Von agnesjabrik in news., Termine.

Online-Workshop: BPMN 2.0 am 08.10.2024 ab 09 Uhr – Melden Sie sich jetzt an!

Mehr erfahren +13 September 2024 Von agnesjabrik in news., Termine.

(Hybrid) Treffen der Fachgruppe IT-Compliance am 13.09.2024 ab 10 Uhr

Mehr erfahren +12 September 2024 Von agnesjabrik in news., Termine.

(Hybrid) Kooperationsstammtisch PMI und ISACA: Compliance im Projektmanagement am 12.09.2024 ab 17 Uhr

Sonntag & Partner
Partnerschaftsgesellschaft mbB
Wirtschaftsprüfer, Steuerberater, Rechtsanwälte
Schertlinstraße 23
86159 Augsburg

Telefon: +49 821 57058-0
Telefax: +49 821 57058-153

www.sonntag-partner.de

Aktuelles

Expertise

Services

Mitgliedschaften

Support

Support

Wir verzahnen wirtschaftliche, steuerliche und rechtliche Aspekte und beraten fachübergreifend und auf Augenhöhe.

Wir begleiten große Familienvermögen, um langfristige Werte über Generationen zu bewahren.

Wir bieten maßgeschneiderte, praktikable Lösungen zu IT-Compliance, Digitalisierung und IT-Projektmanagement.

Wir beraten, bewerten und prüfen – national, aber auch international als unabhängiger MOORE-Netzwerkpartner.

OBEN