NIS2-Richtlinie

Wir beraten und unterstützen Sie bei der rechtssicheren und rechtzeitigen Umsetzung der kommenden Cyber Security Richtlinie der EU.

Jetzt unverbindliches Beratungsgespräch vereinbaren

Bis Inkrafttreten der NIS2-Richtlinie

Tag(e)

:

Stunde(n)

:

Minute(n)

:

Sekunde(n)

Die NIS2-Richtlinie im Überblick

Zielsetzung der NIS2 (Netz- und Informationssysteme)-Richtlinie ist, das Cybersicherheitsniveau von Netz- und Informationssystemen innerhalb der Europäischen Union (EU) zu erhöhen. Dabei baut die NIS2-Richtlinie auf der ursprünglichen NIS-Richtlinie von 2016 auf und ist Teil eines umfangreichen Maßnahmenpakets, um die Cybersicherheit in der EU zu verbessern.

Die NIS2 ist am 16. Januar 2023 in Kraft getreten. Seitdem haben die EU-Mitgliedsstaaten nun 21 Monate – bis zum 17. Oktober 2024 – Zeit, die Richtlinie in nationales Recht zu überführen. In Deutschland gibt es zur Umsetzung der NIS2-Richtlinie bereits einen Referentenentwurf des Bundesinnenministeriums.

Neben der Erhöhung des Cybersicherheitsniveaus, soll die NIS2-Richtlinie dabei helfen, die Cybersicherheit in der EU zu vereinheitlichen. Hierzu erhöht sie die Sicherheitsanforderungen an Unternehmen, adressiert die Absicherung von Lieferketten (Supply Chain Security), erweitert Berichtspflichten und den zuständigen nationalen Behörden umfassende Aufsichts- und Durchsetzungsmöglichkeiten an die Hand. EU-weit sollen zudem die gleichen Sanktionsmöglichkeiten eingeführt werden. Ebenfalls wird der Anwendungsbereich der NIS2-Richtlinie auf deutlich mehr Organisationen und Sektoren erweitert. NIS2 legt zusätzlich großen Fokus auf das Risikomanagement in Unternehmen und verpflichtet diese, potentielle Cyber-Risiken zu identifizieren und zu bewerten.

Weitere wesentliche Änderungen der NIS2-Richtlinie beziehen sich auf mögliche Sanktionsmaßnahmen. Handelt sich um ein Unternehmen oder eine Organisation, die einem wesentlichen Sektor zuzuordnen ist, dann ist mit Strafen von bis 10 Millionen Euro oder zwei Prozent des Jahresumsatzes zu rechnen – je nach dem, welcher Betrag höher ist. Für Wirtschaftsteilnehmer aus wichtigen Sektoren liegen die Strafen bei bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes. Neu ist zudem, dass im Rahmen der NIS2-Richtlinie vorgesehen ist, die Leitungsorgane von Unternehmen für die Einhaltung der Richtlinie mit ihrem Privatvermögen haften. Die Obergrenze für diese Haftung liegt bei 2% des globalen Jahresumsatzes des Unternehmens.

Welche Unternehmen und Organisationen sind von der NIS2-Richtlinie betroffen und wer muss jetzt reagieren?

Die NIS2-Richtlinie bezieht eine Vielzahl von Unternehmen und Organisationen ein, deutlich mehr als in der ursprünglichen NIS-Richtlinie. Konkret werden 11 wesentliche und 7 wichtige Sektoren erfasst, deren Wirtschaftsteilnehmer im Rahmen der Richtlinie zu Maßnahmen verpflichtet werden, Ihre Systeme vor Cyberattacken zu schützen. Der Hauptunterschied zwischen den wesentlichen und wichtigen Sektoren besteht im Wesentlichen darin, dass für „wichtige“ Unternehmen geringere Geldstrafen vorgesehen sind und diese nur einer reaktiven Aufsicht der Behörden unterliegen. Unterschiede hinsichtlich der zu ergreifenden Maßnahmen macht die NIS2-Richtlinie zwischen den Sektoren nicht. Auch möchte die EU keine unterschiedlichen Mindestschwellwerte definieren. Unter die NIS2-Regulierung fallen mittlere und große Unternehmen sowie Organisationen bei folgenden Kriterien:

  • Mittel
    • 50 – 250 Beschäftigte
    • 10 – 50 Mio. Euro Umsatz
    • < 43 Mio. Euro Bilanzsumme
  • Groß:
    • > 250 Beschäftigte
    • > 50 Mio. Euro Umsatz
    • > 43 Mio. Euro Bilanzsumme

Mit diesen Schwellwerten und der Sektoren-Erweiterung wird der Anwendungsbereich der NIS2-Richtlinie enorm ausgeweitet. Konkret sind nun folgende Sektoren und Branchen erfasst, wobei jeweils sowohl produzierende wie auch handelnde Unternehmen je Sektor adressiert werden.

Wesentliche Sektoren

Bankwesen/Finanzwesen

Kredit, Handel, Markt und Infrastruktur, Versicherungswesen

Wasser

Trinkwasserversorger und Abwasserentsorger

Öffentliche Verwaltung

(insbesondere Bundesverwaltungseinrichtungen)

Raumfahrt

Betreiber bodengestützter Infrastrukturen

Luft-, Schienen-, Straßen- und Schiffsverkehr

(einschließlich Reedereien und Hafenanlagen)

Energie

Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas und Öl, Heizung/Kühlung, Wasserstoff, Betreiber von Ladestationen für Elektrofahrzeuge

Gesundheit

Gesundheitsdienstleister, Forschungslabors, Pharmazeutika, Herstellung medizinischer Geräte

Digitale Infrastruktur und IT-Dienste

DNS-Dienstanbieter, TDL-Namensregister, Vertrauensdienstanbieter, Rechenzentren, Cloud Computing, elektronische Kommunikationsdienste, verwaltete Dienste und verwaltete Sicherheitsdienste, Betreiber von Inhaltszustellnetzen, Betreiber von Internet-Knoten, Anbieter öffentlicher elektronischer Kommunikationsnetze

Wichtige Sektoren

Anbieter von Post- und Kurierdiensten

Forschungseinrichtungen

Digitale Anbieter

Online-Marktplätze, Suchmaschinen, soziale Plattformen

Ernährung

Produktion, Verarbeitung und Vertrieb von Lebensmitteln

Abfallwirtschaft

Chemische Erzeugnisse

Produktion und Vertrieb

Verarbeitendes und produzierendes Gewerbe / Herstellung von Waren

Medizin-/Diagnosegeräte, Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge, Anhänger, Sattelanhänger, sonstige Transportmittel

Die wesentlichen Anforderungen der NIS2-Richtlinie

Die NIS2 orientiert sich am all-hazard approach. Dabei verfolgt die Richtlinie das Ziel, sämtliche Netzwerke, Informationssysteme und die physischen Umgebungen dieser Systeme vor Sicherheitsvorfällen und gezielten Attacken zu schützen. Die – noch nicht final verabschiedeten (Stand Q4/2023) – Anforderungen an betroffene Unternehmen und Organisationen umfassen unter anderem:

  • Einführung von Richtlinien mit Bezug auf Informationssicherheit
  • Etablierung von Maßnahmen zur Prävention, Detektion und Bewältigung von Sicherheitsvorfällen
  • Etablierung eines Meldeverfahrens bei Sicherheitsvorfällen an entsprechende Behörden
  • Einführung eines Business Continuity Management mit Backup-Management, Disaster Recovery und Krisenmanagement
  • Sicherstellung der Informationssicherheit in den Lieferketten
  • Etablierung von Verfahren zur Beschaffung sicherer IT- und Netzwerk-Systeme
  • Durchführung regelmäßiger Risiko-Analysen und -Bewertungen
  • Durchführung regelmäßiger Trainingsmaßnahmen für Mitarbeitenden zur Security Awareness und Cyber-Sicherheit
  • Einführung von Verfahren zur Kryptographie und Verschlüsselung von Informationen
  • Einrichtung von Zugangskontrollen und weiteren physischen Sicherheitsmaßnahmen
  • Einführung und Etablierung eines Asset Managements
  • Einsatz sicherer Kommunikationssysteme (Sprach-, Video- und Text-Kommunikation) sowie Einsatz gesicherter Notfall-Kommunikationssysteme
  • Regelmäßige Identifikation von Schwachstellen in IT-Systemen und Penetrationtests

Alter Solutions Deutschland hilft Ihnen bei der Umsetzung der NIS2-Richtlinie

Der 17. Oktober 2024 ist der Stichtag zur Umsetzung der NIS2-Richtlinie für alle betroffenen Unternehmen. Ab diesem Tag müssen betroffene Einrichtungen NIS2-compliant sein. Unternehmen sind also gut beraten, bereits jetzt aktiv zu werden und sich mit der NIS2-Richtlinie aktiv auseinanderzusetzen.

Unsere Unterstützungsleistungen verfolgen den Ansatz, angemessene und verhältnismäßige Maßnahmen zu ergreifen, die die korrekte Umsetzung der NIS2 gewährleistet, aber auch individuelle Gegebenheiten ihres Unternehmens berücksichtigt. Ziel aller Maßnahmen, die wir empfehlen ist, Sicherheitsvorfälle zu vermeiden oder deren Auswirkung zu minimieren.

Analysephase - Assessment

Unser Ansatz ist modular aufgebaut und beginnt immer mit einer Analysephase, in der wir die Betroffenheit ihres Unternehmens in Bezug auf die NIS2-Richtlinie feststellen. Ist diese Betroffenheit gegeben, untersuchen wir die Auswirkungen der Richtlinie auf Ihr Unternehmen. Wir schließen die Analysephase mit einem Assessment ab, in dem wir die erforderlichen Maßnahmen definieren, um NIS2 erfolgreich zu erfüllen. Dabei berücksichtigen wir ihr individuelles Sicherheitsniveau und betrachten auch bereits ergriffene Maßnahmen.

Analysephase - Ergebnisreport

Als Ergebnis der Analysephase erhalten Sie von uns einen detaillierten Report, der eine Auflistung aller noch zu etablierenden oder zu ergänzenden Maßnahmen zur Umsetzung der NIS2-Richtlinie enthält. Dabei sprechen wir je Maßnahme konkrete Umsetzungsempfehlungen aus und definieren den jeweiligen Aufwand.

Umsetzungsphase

Unser individuelles Einzelmaßnahmenpaket – als Ergebnis der Analysephase – umfasst sämtliche NIS2-relevanten Bereiche wie u.a. die Einrichtung notwendiger Melde- und Berichtswesen, die Durchführung von Risikoanalyse oder auch die Umsetzung technischer Maßnahmen. Dabei bieten wir Ihnen selbstverständlich zunächst die Möglichkeit zu entscheiden, welche Einzelmaßnahmen sie selbst umsetzen möchten bzw. wo sie unsere Unterstützung hinzuziehen möchten. Basierend auf dieser Entscheidung, entwickeln wir einen individuellen Umsetzungsplan und starten mit Ihnen entsprechend die Umsetzungsphase.

Überwachungsphase

Nach Abschluss der Umsetzungsphase wird Ihr Unternehmen alle notwendigen Anforderungen der NIS2-Richtlinie erfüllen. Ab diesem Punkt ist es wichtig, die Wirksamkeit der umgesetzten Maßnahmen regelmäßig zu überprüfen und ggf. anzupassen. Ebenfalls sieht NIS2 Anforderungen vor, die regelmäßig umgesetzt werden müssen, bspw. die Durchführung von Trainingsmaßnahmen oder die Identifikation von technischen Schwachstellen in Systemen und Netzwerken. In dieser fortlaufenden Überwachungsphase stehen wir ihnen ebenfalls bei Bedarf unterstützend zur Seite.

Buchen Sie jetzt Ihr kostenloses und unverbindliches Beratungsgespräch mit unserem Sales Team.

Unverbindliches Beratungsgespräch buchen

Alter Solutions Deutschland –
IT Sicherheit. Individuell. Für Sie.

E

Alter Solutions Deutschland versteht sich als IT-Sicherheitsberatung für den Mittelstand. Unsere Certified Security Analysts verfügen über langjährige Erfahrung in der Sicherheitsanalyse von IT-Systemen bei unterschiedlichsten Kunden in den verschiedensten Branchen.

E

Alter Solutions Deutschland bildet seine Mitarbeitenden kontinuierlich weiter. Unsere Certified Security Analysts und weitere Experten und Expertinnen unseres Cyber Security Teams werden fortlaufend zu den aktuellen Entwicklungen der IT-Sicherheit trainiert und verfügen über Branchen-anerkannte Zertifizierungen.

E

Alter Solutions Deutschland ist aktiver Gestalter der Cyber-Sicherheit in Deutschland. Als Mitglied in der Allianz für Cyber-Sicherheit und dem Bundesverband für IT-Sicherheit pflegen wir den vertrauensvollen Austausch mit anderen Unternehmen und Institutionen zu Themen wie geeignete Schutzmaßnahmen.

Kontakt

Klaus-Bungert-Straße 6a
40468 Düsseldorf
+49 211 5456019-0
digital@alter-solutions.com