Optimal gerüstet für die NIS2-Richtlinie | SITS
NIS2: Es wird Zeit zu handeln

Die neue EU-Richtlinie für Cyber-Sicherheit NIS2 (Network and Information Security Directive 2 (EU) 2022/2555) wurde im Oktober 2022 verabschiedet und muss bis Oktober 2024 in deutsches Recht umgesetzt werden. Bisher liegt das deutsche „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“ erst als Entwurf vor; sicher ist jedoch, dass es erhebliche Auswirkungen auf die IT- und Unternehmensstruktur haben wird.

Denn die NIS2-Richtlinie verlangt eine Reihe neuer und strengerer Sicherheitsmaßnahmen und Meldepflichten.

Organisationen und Unternehmen fast aller Branchen müssen sich daher jetzt vorbereiten. In den Geltungsbereich der Richtlinie – und damit des kommenden Gesetzes – fallen öffentliche und private Unternehmen und Organisationen aller Sektoren, die kritische Güter und Dienstleistungen für EU-Bürgerinnen und -Bürger bereitstellen. Gehört Ihr Unternehmen zu einem der 18 Bereiche, beschäftigt es mehr als 50 Mitarbeitende und hat es einen Jahresumsatz von zehn Millionen Euro oder mehr? Dann müssen Sie jetzt handeln.

Einige wichtige Fakten:

  • Zahlreiche Unternehmen sind noch immer schlecht informiert und unzureichend vorbereitet – dabei müssen viele jetzt ihre IT-Infrastruktur auf NIS2-Konformität überprüfen.
  • Es ist nicht immer eindeutig, ob ein Unternehmen zu den in der Richtlinie genannten Bereichen zählt. Hier ist oft Expertenrat gefragt.
  • Die wird flankiert von der CER-Richtlinie, die die „Resilienz kritischer Unternehmen“ betrifft und ebenfalls bis 18. Oktober in deutsches Recht umgesetzt werden muss.
  • Eine wichtige weitere Gesetzesvorschrift für Finanzinstitute ist die DORA-Verordnung, deren Vorgaben die Branche bis zum 17. Januar 2025 umsetzen muss.
  • Unternehmen, die etwa gegen Risikomanagement-Maßnahmen verstoßen, drohen hohe Bußgelder – bis zu zweistelligen (Artikel 34 der NIS2-Richtlinie).
  • Der Geschäftsbetrieb kann von der Aufsichtsbehörde gestoppt werden, wenn die Netzsicherheit gefährdet ist.
  • Bei einigen Unternehmen spielt die Größe keine Rolle. Dazu gehören etwa Dienstleister mit qualifiziertem Signatur-Management.
  • Geschäftsführer müssen die NIS2-Umsetzung überwachen und haften bei Verstößen.
  • Bei Sicherheitsvorfällen besteht eine Meldepflicht an nationale Behörden.
  • Die Maßnahmen aus der NIS2-Richtlinie helfen bei der Abwehr der ständig zunehmenden Cyber-Angriffe.

Bei der Anpassung des Risikomanagements und der Cyber-Sicherheit an die strengen NIS2-Vorgaben besteht enormer Nachholbedarf. Mehr als doppelt so viele Bereiche wie zuvor werden nun als kritisch eingestuft.

Unternehmensleiter*innen stehen mehr denn je in der Verantwortung. Risikoanalyse, Datensicherung und Krisenmanagement müssen in den betroffenen Unternehmen dringend auf den neuesten Stand gebracht werden.

Mehr anzeigen
Weniger anzeigen
Die NIS2-Reise
Mit Penetrationstests zum Erfolg!
Gewinnen Sie einen Einblick in die Welt von Pentesting! Unser NIS2 Experte Bernhard C. Witt erläutert in dieser Video-Session, welche neuen Standards NIS2 setzt und wie Pentests die Anforderungen unterstützen.
Neue EU-Vorschriften zur Cybersicherheit
Whitepaper
Mit NIS-2 hat die erste große Veränderung bereits begonnen. Die bestehende NIS-Richtlinie zur Sicherung von Netz- und Informationssystemen wurde erweitert und wird als NIS2 in den kommenden Jahren bedeutende Veränderungen für Unternehmen und deren Lieferketten mit sich bringen.
Von Null auf Held
NIS2-Readiness als Superpower der Cyberabwehr
Worauf ist zu achten, um die eigene Supply Chain ausreichend absichern und bestehende Cyberrisiken wirklich beherrschen zu können?
NIS2: Rechtliche Notwendigkeit…
…wird zur wirtschaftlichen Chance
Cyber-Sicherheit wird zur gesetzlichen Pflicht: Die NIS2-Richtlinie stellt strengere Anforderungen an die Gewährleistung der Sicherheit von Netz- und Informationssystemen als ihr Vorgänger. Das bedeutet für Unternehmen: Setzen Sie auf Security Monitoring, Security Assessments, Penetrationstests, Managed Extended Detection & Response, Incident Response Management und weitere Sicherheitsmaßnahmen.
icon
NIS2-Anforderungen an Ihr Unternehmen
Icon
Branchenspezifische NIS2-Anforderungen: Das müssen Sie jetzt tun
Die Vorteile von NIS2
BILD
Risikomanagement im Fokus
NIS2 ist die überarbeitete Fassung der NIS1-Richtlinie zur Netz- und Informationssicherheit. Schätzungen zufolge werden nach ihrer Umsetzung allein in Deutschland zwischen 25.000 und 40.000 Unternehmen davon betroffen sein. Die Richtlinie sieht strenge Sanktionen bei Nichteinhaltung vor, unter anderem Geldbußen. Selbst die Abberufung der Unternehmensleitung gehört zum Sanktionspaket.

Die Implementierung der Richtlinie (bzw. des entsprechenden Gesetzes) in die Strukturen der betroffenen Unternehmen ist entscheidend, um den wachsenden Bedrohungen und Anforderungen an die Cyber-Sicherheit in einer vernetzten Wirtschaft gerecht zu werden, Sanktionen zu vermeiden und die Wettbewerbsfähigkeit zu sichern.

Dafür sind ein zuverlässiges und leistungsstarkes Risikomanagement sowie umfassende Cyber-Sicherheitsmaßnahmen unerlässlich. Richtlinienkonformität lässt sich nur erreichen, wenn das Unternehmen in der Lage ist, technische und betriebliche Risiken einzuschätzen und abzuwehren.

Folgende NIS2-Regeln gelten für betroffene Unternehmen:
Für Unternehmen ist ein professionelles ISMS essenziell. Es gewährleistet unter anderem:

  • Die NIS2-Richtlinie gibt vor, dass Sie robuste und umfassende Konzepte und Praktiken der Risikoanalyse einsetzen.
  • Sie müssen die Wirksamkeit Ihrer Risikomaßnahmen bewerten können.
  • Sie müssen auch die Sicherheitsmaßnahmen von Drittanbietern, deren Lösungen Sie für kritische Dienste nutzen, hinterfragen und kontrollieren. Auch IT-Dienstleister müssen mit Lieferanten-Audits rechnen.
  • Sie müssen über Technologien und Lösungen zur Abwehr von Sicherheitsvorfällen verfügen.
  • Sie sollten ein leistungsstarkes und umfassendes Informationssicherheits-Managementsystem implementieren.
  • Sie müssen über eine fundierte Strategie und definierte Maßnahmen bei Sicherheitsvorfällen und Ausfällen verfügen. Krisen- und Business Continuity Management sind erforderlich.
  • Sie müssen die Beschaffung, Entwicklung und Wartung von IT-und Netzwerklösungen in Ihr Risikomanagement einbeziehen.
  • Sie müssen Sicherheitsfälle proaktiv melden. Per Incident-Reporting-System lassen sich Vorfälle schnell und effizient erfassen und melden.
  • Sie müssen kontinuierliche Sicherheitsschulungen für Mitarbeitende anbieten.
  • Achten Sie zudem auf starke Zugriffskontrollen, Multi-Faktor-Authentifizierung und kontinuierliches Monitoring.
  • Teilen Sie Ihre Erfahrungen und Best Practices mit anderen Unternehmen.

BILD
Vom Finanzwesen bis zu digitalen Dienstleistern
Die NIS2-Richtlinie betrifft Unternehmen und Organisationen in verschiedenen Branchen, insbesondere solche, die als Teil der kritischen Infrastruktur gelten oder wichtige Dienstleistungen für die Gesellschaft erbringen.

Für „wesentliche“ Organisationen sieht die Richtlinie Geldbußen bis zu mindestens zehn Millionen Euro Höchstbetrag vor. Bei „wichtigen“ Einrichtungen betragen sie bis zu mindestens sieben Millionen Euro. Bei erfolgreichen Cyber-Angriffen mit geschäftseinschränkenden Auswirkungen aufgrund mangelhaften Risikomanagements in besonders wichtigen Einrichtungen haftet die Unternehmensleitung direkt.

Zu den wesentlichen Sektoren gehören:

  • Energie (Strom, Öl, Gas, Fernwärme und -kälte sowie Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser und Straße)
  • Gesundheitswesen
  • Wasserversorgung (Trinkwasser, Abwasser).
  • Digitale Infrastruktur (Telekommunikation, DNS, TLD, Cloud-Dienste, Rechenzentren, Anbieter von Vertrauensdiensten)
  • Finanzen (Banken, Finanzmarktinfrastruktur)
  • Öffentliche Verwaltung
  • Raumfahrt

Zu den wichtigen Sektoren gehören:

  • Digitale Anbieter (Online-Märkte, Suchmaschinen, soziale Netzwerke)
  • Postdienste
  • Abfallwirtschaft
  • Lebensmittel
  • Fertigung (medizinische Geräte, Elektronik, Maschinen, Transportmittel)
  • Chemikalien (Produktion und Vertrieb)
  • Forschung

Betroffene Unternehmen und Organisationen müssen jetzt schnell handeln und kritische Maßnahmen rund um Risikomanagement, Cyber-Sicherheit, Reporting und Meldepflichten implementieren.
Sie sollten ein strukturiertes Sicherheits-Managementsystem etablieren, das auf bewährten Methoden und Standards basiert. Dazu gehören die Festlegung von Sicherheitsrichtlinien, Verfahren und Prozessen, die
Förderung des Sicherheitsbewusstseins und -verhaltens von Mitarbeitenden durch Schulungen sowie die regelmäßige Überprüfung und Aktualisierung von Sicherheitsrichtlinien.

Insbesondere in folgenden Bereichen gilt es nachzurüsten:

  • Effektive Prävention zum Erkennen und Verhindern von Sicherheitsvorfällen
  • 24/7-Überwachung Ihrer Security und Cyber-Hygiene
  • Zugriffsschutz für Konten und Daten (Identity and Access Management)
  • Risikomanagement und Assessments Ihrer IT-Infrastruktur
  • Vollumfängliches Krisen- und Business Continuity Management
  • Konstante Bewertung Ihrer Maßnahmen
  • Training und Awareness Ihrer Belegschaft
  • Meldung von Sicherheitsvorfällen: Vorgeschrieben sind eine Frühwarnung innerhalb von 24 Stunden an die zuständige Aufsichtsbehörde, eine detailliertere Vorfallsmeldung nach 72 Stunden und ein Abschlussbericht innerhalb eines Monats.

Push für Sicherheit, Vertrauen und Markenimage
Die NIS2-Vorgaben fordern betroffenen Unternehmen in Bezug auf Risikomanagement, Sicherheitsmaßnahmen, Mitarbeiterschulungen usw. einiges ab. Gleichzeitig ist NIS2 aber auch eine große Chance, die Cyber-Sicherheit ganzheitlich neu zu denken und aufzustellen, Cyber-Kriminellen einen Riegel vorzuschieben, kostspielige Ausfälle und Attacken abzuwehren und nicht zuletzt Firmen-, Kunden- und Mitarbeiterdaten zu schützen.

Laut einer Studie von Cybersecurity Ventures fand 2023 alle 39 Sekunden ein Cyber-Angriff statt. Das entspricht mehr als 2200 Attacken pro Tag, Tendenz steigend. Digitalisierung, Vernetzung, KI und Co. sorgen dafür, dass das Risiko, selbst Opfer eines Angriffs zu werden, stetig steigt.

NIS2 ist deshalb nicht nur eine Frage der Compliance oder eine weitere gesetzliche Vorgabe: Die Umsetzung der NIS2-Anforderungen bietet Ihnen auch die Chance, Ihr Unternehmen in puncto Cyber-Sicherheit neu aufzustellen und wettbewerbstauglicher zu machen. Das bedeutet:

  • Höhere Sicherheitsstandards und verbessertes Sicherheitsniveau
  • Umfassenderer Schutz
  • Eine sichere digitale Umgebung für alle

Mit NIS2-Konformität demonstriert Ihr Unternehmen gegenüber Kunden und Partnern, dass Sie Datenschutz leben und auf dem neuesten Stand der Sicherheitstechnik sind. Und je eher Sie NIS2-Compliance umsetzen, desto schneller stärken Sie Ihre IT-Sicherheit und das Kundenvertrauen.

Dabei helfen:

  • Verbesserte Datenverschlüsselung
  • Penetration Tests
  • Identity und Access Management
  • Network Security
  • Firewalls
  • Intrusion Detection
  • Sicherheitstrainings für Mitarbeitende

NIS2 gibt Ihrem Unternehmen klare Vorgaben und wertvolle Tipps, wie Sie Ihre Cyber-Abwehr stärken können. Unsere erfahrenen NIS2-Expertenteams zeigen Ihnen den besten Weg zur NIS2-Compliance.

Mit SITS zur NIS2-Compliance

Hafte ich als Geschäftsführer, CISO oder verantwortlicher Manager persönlich mit meinem Privatvermögen? Betrifft NIS2 mein Unternehmen? Wo gibt es Sicherheitslücken? Was muss ich tun, um NIS2-konform zu sein?

Diese Fragen sollten Sie sich jetzt stellen. Wir begleiten Sie auf dem Weg zur NIS2-Komformität – von der ersten Prüfung bis zur Umsetzung aller Maßnahmen.

Mit unseren NIS2-Services bieten wir Ihnen ein Rundum-Sorglos-Paket zur Ermittlung Ihres NIS2-Status und informieren Sie über potenzielle Schwachstellen und Herausforderungen.

  • Unser NIS2-Check zeigt kritische Schwachstellen auf.
  • Wir bieten fundierte Beratung zur effizienten Schließung aller Lücken.
  • Mit unserem 360-Grad-Portfolio bieten wir eine umfassende Lösung für die komplette Absicherung Ihrer Unternehmens-IT.
  • Unsere Lösungen sind maßgeschneidert für Unternehmen jeder betroffenen Branche.
  • Für Microsoft-fokussierte Kunden bieten wir zusätzlichen Support und Assessments.

Sicherheit mit einem Klick!
NIS2-Compliance leicht gemacht! Vertrauen Sie auf unser Know-how, um Ihre Organisation sicher und gesetzeskonform zu halten. Wir kümmern uns um alle Aspekte der Compliance, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.
Ihre Vorteile
Unternehmen, die für NIS2 gerüstet sein und Cyber-Security auf ein neues Level heben wollen, brauchen passgenaue Beratung und Top-Technologie. Mit unserem Quick Check erfahren Sie, ob NIS2 für Sie relevant ist. Die NIS2-Fachleute von SITS analysieren Ihre Prozesse und Systeme bis ins kleinste Detail. Setzen Sie auf ein nahtloses, NIS2-konformes Sicherheitskonzept aus unserem 360°-Portfolio.
  • Rundum-Service aus einer Hand ohne Reibungsverluste
  • Unterstützung durch unser erfahrenes NIS2-Team
  • Support ab Tag 1 – vom Assessment bis zum 24/7 Managed Service
  • Passgenaue und auf Ihre Anforderungen abgestimmte Lösungen
  • Prävention und Vorsorge – mit unserem NIS2-Paket sind Sie bestens vorbereitet

NIS2-Compliance in drei Stufen
NIS2-Compliance aus einer Hand: Mit dem NIS2-Quick-Check der SITS prüfen Sie in wenigen Minuten und ganz bequem online, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist. Im 360° NIS2-Assessment vor Ort oder Remote führt unser Expertenteam eine umfassendere Prüfung Ihrer Compliance-Anforderungen durch und berät Sie zu notwendigen Umsetzungen. Auf Wunsch sorgen wir dann auch im Rahmen unseres Compliance-Programs für eine vollständige und dauerhafte Umsetzung aller Maßnahmen.
Unser NIS2-Quick-Check: Der Test
Das NIS2-Assessment: Die Prüfung
Das NIS2-Compliance-Programm: Die Umsetzung
1
2
3
Die NIS2-Richtlinie wird zukünftig mehr als 30.000 Unternehmen (in Deutschland) betreffen. Viele Unternehmen sind sich jedoch nicht sicher, ob sie von NIS2 betroffen sind. Falls Sie sich diesbezüglich ebenfalls unsicher sind, nutzen Sie unseren kostenlosen NIS2 Quick-Check, um die Betroffenheit Ihres Unternehmens zu überprüfen.
Nach der erfolgreichen Durchführung des NIS2-Assessments und der Prüfung Ihrer vorhandenen Security-Maßnahmen erhalten Sie einen detaillierten Report. Auf Grundlage dieser Security Roadmap bieten wir Ihnen die Umsetzung aller notwendigen Sicherheitsmaßnahmen an – von IAM über Security-Operations-Lösungen bis hin zu Cloud-Security-Maßnahmen – maßgeschneidert auf Ihre Bedürfnisse.
Mit unserer Prüfung bereiten Sie sich erfolgreich auf NIS2 vor. Das 360°-Assessment wird von einem Expertenteam mit über 20-jähriger Erfahrung durchgeführt und prüft Ihr Unternehmen remote oder vor Ort auf NIS2-Compliance. Es bildet die Grundlage für die Implementierung von NIS2- UND KRITIS-Anforderungen aus Sicht eines zugelassenen und anerkannten Prüfers.
Der Cyber Chronicle Newsroom
Wir versorgen Sie mit aktuellen News, Daten und Trendthemen
AI
KI-Attacken abwehren: So lassen sich Daten und Systeme schützen
>>>
Assessment & Advisory
ISO-27001-Zertifizierung ohne Umwege
>>>
Assessment & Advisory
Mit Managed Services gegen den Fachkräftemangel
>>>
Security & IT Solutions
Workload Security mit SASE, so funktioniert’s
>>>
Cloud Platform Security
DevOps-Sicherheit: Belastungstest für Kultur und Technologie
>>>
Identity & Access Management
Biometrie – mehr Sicherheit ohne Passwort?
>>>
Cyber Defense
Threat Intelligence – Wissen ist Macht & Sicherheit
>>>
NIS2
NIS2 & ISO/IEC 27001:2022: Neue Controls zur Erfüllung beider Anforderungen
>>>
Identity & Access Management
So schafft Privileged Access Management mehr Sicherheit
>>>
Assessment & Advisory
vCISO - mehr IT-Sicherheit durch flexible Unterstützung
>>>
AI
Cloud Platform Security
KI von Microsoft: Ist Ihr Unternehmen Copilot Ready?
>>>
NIS2
NIS2 & Risikomanagement: Wann sind Cyber-Risiken wirklich beherrschbar?
>>>
Zero Trust
Zero Trust – mehr IT-Sicherheit durch weniger Vertrauen
>>>
Cloud Platform Security
Schutzschild für Ihre Cloud-Plattformen: Tipps, Kniffe, Fallstricke
>>>
Assessment & Advisory
Security-Allrounder CISO: Auslagern oder selbst anheuern?
>>>
Cyber Defense
Management von Cyber-Sicherheitsrisiken im industriellen IoT und OT
>>>
Häufig gestellte Fragen
Die wichtigsten Fragen zur NIS2-Richtlinie

Die NIS1 war die erste EU-Cyber-Sicherheitsrichtlinie zur Verbesserung der Widerstandsfähigkeit von Netzwerken und Informationssystemen. Inzwischen hat sich die Bedrohungslandschaft verändert und erfordert neue Ansätze. Zu den Herausforderungen gehören etwa unzureichende Cyber-Resilienz, mangelndes Verständnis der Bedrohungen und fehlendes Krisenmanagement.

Die NIS2-Richtlinie baut auf den drei Hauptsäulen der NIS1-Richtlinie auf:

  1. Verpflichtung der Mitgliedstaaten zur Umsetzung einer nationalen Cyber-Sicherheitsstrategie
  2. Verpflichtung jedes Mitgliedsstaats, ein nationales CSIRT (Cyber-Sicherheitsbehörde) einzurichten
  3. Verpflichtung, eine zentrale Anlaufstelle (SPOC) für grenzüberschreitende Zusammenarbeit einzurichten

  • Mit NIS2 wird eine EU-Schwachstellendatenbank eingerichtet, die von der EU-Agentur für Cyber-Sicherheit (ENISA) gepflegt wird.
  • Die NIS2-Richtlinie weitet Cyber-Sicherheitsvorschriften auf neue vernetzte Sektoren aus.
  • Sie hebt die Unterscheidung zwischen den Betreibern und Anbietern kritischer Dienste auf.
  • Sie enthält ein Konzept für das Risikomanagement und präzisere Regeln für die Meldung von Vorfällen.

Betroffene Unternehmen müssen Sicherheitsvorfälle gemäß einem mehrstufigen Ansatz melden. Sie müssen innerhalb von 24 Stunden eine Frühwarnung, innerhalb von 72 Stunden eine Incident Notification und innerhalb eines Monats einen Abschlussbericht übermitteln. Dies soll den Aufwand für Unternehmen, die in mehreren EU-Mitgliedstaaten tätig sind, verringern und die Cyber-Sicherheit stärken.

Für die Kontrolle und Durchsetzung der NIS2-Regeln sind die jeweiligen Behörden zuständig. Es gibt eine Mindestliste von Kontrollmaßnahmen, darunter:

  • Regelmäßige und gezielte Audits
  • Kontrollen vor Ort und außerhalb des Unternehmens
  • Anforderung von Informationen
  • Zugang zu Dokumenten und Beweismitteln
Bei den Verpflichtungen wird zwischen wesentlichen (essential) und wichtigen (important) Unternehmen unterschieden.
Sicherheit beginnt hier!
Kontaktieren Sie uns für sofortige Unterstützung bei Sicherheitsfragen.

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Jonas Fischer
Account Manager, SITS Group