Optimal gerüstet für die NIS2-Richtlinie
Die neue EU-Richtlinie für Cyber-Sicherheit NIS2 (Network and Information Security Directive 2 (EU) 2022/2555) wurde im Oktober 2022 verabschiedet und muss bis Oktober 2024 in deutsches Recht umgesetzt werden. Bisher liegt das deutsche „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“ erst als Entwurf vor; sicher ist jedoch, dass es erhebliche Auswirkungen auf die IT- und Unternehmensstruktur haben wird.
Denn die NIS2-Richtlinie verlangt eine Reihe neuer und strengerer Sicherheitsmaßnahmen und Meldepflichten.
Organisationen und Unternehmen fast aller Branchen müssen sich daher jetzt vorbereiten. In den Geltungsbereich der Richtlinie – und damit des kommenden Gesetzes – fallen öffentliche und private Unternehmen und Organisationen aller Sektoren, die kritische Güter und Dienstleistungen für EU-Bürgerinnen und -Bürger bereitstellen. Gehört Ihr Unternehmen zu einem der 18 Bereiche, beschäftigt es mehr als 50 Mitarbeitende und hat es einen Jahresumsatz von zehn Millionen Euro oder mehr? Dann müssen Sie jetzt handeln.
Einige wichtige Fakten:
- Zahlreiche Unternehmen sind noch immer schlecht informiert und unzureichend vorbereitet – dabei müssen viele jetzt ihre IT-Infrastruktur auf NIS2-Konformität überprüfen.
- Es ist nicht immer eindeutig, ob ein Unternehmen zu den in der Richtlinie genannten Bereichen zählt. Hier ist oft Expertenrat gefragt.
- Die wird flankiert von der CER-Richtlinie, die die „Resilienz kritischer Unternehmen“ betrifft und ebenfalls bis 18. Oktober in deutsches Recht umgesetzt werden muss.
- Eine wichtige weitere Gesetzesvorschrift für Finanzinstitute ist die DORA-Verordnung, deren Vorgaben die Branche bis zum 17. Januar 2025 umsetzen muss.
- Unternehmen, die etwa gegen Risikomanagement-Maßnahmen verstoßen, drohen hohe Bußgelder – bis zu zweistelligen (Artikel 34 der NIS2-Richtlinie).
- Der Geschäftsbetrieb kann von der Aufsichtsbehörde gestoppt werden, wenn die Netzsicherheit gefährdet ist.
- Bei einigen Unternehmen spielt die Größe keine Rolle. Dazu gehören etwa Dienstleister mit qualifiziertem Signatur-Management.
- Geschäftsführer müssen die NIS2-Umsetzung überwachen und haften bei Verstößen.
- Bei Sicherheitsvorfällen besteht eine Meldepflicht an nationale Behörden.
- Die Maßnahmen aus der NIS2-Richtlinie helfen bei der Abwehr der ständig zunehmenden Cyber-Angriffe.
Unternehmensleiter*innen stehen mehr denn je in der Verantwortung. Risikoanalyse, Datensicherung und Krisenmanagement müssen in den betroffenen Unternehmen dringend auf den neuesten Stand gebracht werden.
Hafte ich als Geschäftsführer, CISO oder verantwortlicher Manager persönlich mit meinem Privatvermögen? Betrifft NIS2 mein Unternehmen? Wo gibt es Sicherheitslücken? Was muss ich tun, um NIS2-konform zu sein?
Diese Fragen sollten Sie sich jetzt stellen. Wir begleiten Sie auf dem Weg zur NIS2-Komformität – von der ersten Prüfung bis zur Umsetzung aller Maßnahmen.
Mit unseren NIS2-Services bieten wir Ihnen ein Rundum-Sorglos-Paket zur Ermittlung Ihres NIS2-Status und informieren Sie über potenzielle Schwachstellen und Herausforderungen.
- Unser NIS2-Check zeigt kritische Schwachstellen auf.
- Wir bieten fundierte Beratung zur effizienten Schließung aller Lücken.
- Mit unserem 360-Grad-Portfolio bieten wir eine umfassende Lösung für die komplette Absicherung Ihrer Unternehmens-IT.
- Unsere Lösungen sind maßgeschneidert für Unternehmen jeder betroffenen Branche.
- Für Microsoft-fokussierte Kunden bieten wir zusätzlichen Support und Assessments.
- Rundum-Service aus einer Hand ohne Reibungsverluste
- Unterstützung durch unser erfahrenes NIS2-Team
- Support ab Tag 1 – vom Assessment bis zum 24/7 Managed Service
- Passgenaue und auf Ihre Anforderungen abgestimmte Lösungen
- Prävention und Vorsorge – mit unserem NIS2-Paket sind Sie bestens vorbereitet
Die NIS1 war die erste EU-Cyber-Sicherheitsrichtlinie zur Verbesserung der Widerstandsfähigkeit von Netzwerken und Informationssystemen. Inzwischen hat sich die Bedrohungslandschaft verändert und erfordert neue Ansätze. Zu den Herausforderungen gehören etwa unzureichende Cyber-Resilienz, mangelndes Verständnis der Bedrohungen und fehlendes Krisenmanagement.
Die NIS2-Richtlinie baut auf den drei Hauptsäulen der NIS1-Richtlinie auf:
- Verpflichtung der Mitgliedstaaten zur Umsetzung einer nationalen Cyber-Sicherheitsstrategie
- Verpflichtung jedes Mitgliedsstaats, ein nationales CSIRT (Cyber-Sicherheitsbehörde) einzurichten
- Verpflichtung, eine zentrale Anlaufstelle (SPOC) für grenzüberschreitende Zusammenarbeit einzurichten
- Mit NIS2 wird eine EU-Schwachstellendatenbank eingerichtet, die von der EU-Agentur für Cyber-Sicherheit (ENISA) gepflegt wird.
- Die NIS2-Richtlinie weitet Cyber-Sicherheitsvorschriften auf neue vernetzte Sektoren aus.
- Sie hebt die Unterscheidung zwischen den Betreibern und Anbietern kritischer Dienste auf.
- Sie enthält ein Konzept für das Risikomanagement und präzisere Regeln für die Meldung von Vorfällen.
Betroffene Unternehmen müssen Sicherheitsvorfälle gemäß einem mehrstufigen Ansatz melden. Sie müssen innerhalb von 24 Stunden eine Frühwarnung, innerhalb von 72 Stunden eine Incident Notification und innerhalb eines Monats einen Abschlussbericht übermitteln. Dies soll den Aufwand für Unternehmen, die in mehreren EU-Mitgliedstaaten tätig sind, verringern und die Cyber-Sicherheit stärken.
Für die Kontrolle und Durchsetzung der NIS2-Regeln sind die jeweiligen Behörden zuständig. Es gibt eine Mindestliste von Kontrollmaßnahmen, darunter:
- Regelmäßige und gezielte Audits
- Kontrollen vor Ort und außerhalb des Unternehmens
- Anforderung von Informationen
- Zugang zu Dokumenten und Beweismitteln
Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen