NIS-2 Umsetzung

Die NIS 2 Richtlinie bringt Organisationen dazu Ihre IT Sicherheitsstandards zu erhöhen

Sind Sie in der öffentlichen Verwaltung oder erfüllen eine wichtige gesellschaftliche Aufgabe? Dann sind Sie wahrscheinlich auch von NIS2 betroffen

Beratung anfordern

Darum geht es in der NIS2 Richtlinie

Die NIS2-Richtlinie ist eine neue Reihe von Cybersicherheitsverpflichtungen für Organisationen in vielen als wirtschaftlich kritisch eingestuften Sektoren. Alle 27 EU-Mitgliedstaaten müssen diese neuen Verpflichtungen bis September 2024 in ihr nationales Recht aufnehmen​  1  ​. Die Richtlinie trat am 16. Januar 2023 in Kraft und ersetzte die Richtlinie (EU) 2016/1148. Sie zielt darauf ab, die bestehende Cybersicherheitslage in der EU durch die Schaffung einer notwendigen Struktur für das Cyber-Krisenmanagement, bekannt als CyCLONe, zu verbessern​  2  ​.

Die NIS2-Richtlinie reguliert die Cyber- und Informationssicherheit von Unternehmen und Institutionen und muss von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden​   3  ​. Sie stellt den europäischen Rahmen für Betreiber kritischer Infrastrukturen dar und legt Cybersicherheits-Mindeststandards in der EU fest. Die Richtlinie erweitert die betroffenen Sektoren und Pflichten erheblich, und bis 2024 müssen die EU-Mitgliedstaaten die NIS2 in die lokale Gesetzgebung überführen und nationale Betreiber in Bezug auf Cybersicherheit regulieren​  4  ​.

Die NIS2-Richtlinie führt bedeutende Änderungen ein, darunter die Erweiterung des Anwendungsbereichs der NIS1-Richtlinie und die Überarbeitung der Art und Weise, wie Unternehmen klassifiziert werden. Sie skizziert auch 10 Kernmaßnahmen zur Cybersicherheit, die alle betroffenen Organisationen umsetzen müssen, und behandelt die Sicherheit von ICT-Lieferketten und Lieferantenbeziehungen​  5  ​.

Geschäftsführer werden in die Haftung gezogen

Die NIS2-Richtlinie lässt Geschäftsführer persönlich haften, sollte es nach Cybersecurity Vorfällen, wie Ransomware Erpressung, zu Produktionsausfällen und Schäden bei Betroffenen und Kunden kommen. Dies gilt auch, wenn Sie nicht mit entsprechender Sorgfalt Ihre Zulieferer überwachen und es wegen deren Verschulden zu einem IT Sicherheitsvorfall kommen sollte.

NIS2 ist daher als Weckruf zu sehen, rechtzeitig Vorsorge zu betreiben, z.B. durch die Umsetzung eines risikobasierten Informationssicherheits-Management Systems wie die ISO27001.

Alle Infos zu NIS2

So setzen Sie NIS 2 um

in den folgenden 10 Punkten skizzieren wir, den prinzipiellen Ablauf, den Sie als Organisation gehen müssen um NIS2 konform zu werden. Basis ist immer die Einführung eines Informationssicherheitsmanagement-Systems (ISMS) wie SOC, SOC2 oder ISO 27001. Hinzu kommen aber noch weitere Anforderungen.

  • 1.Anwendungsbereich der NIS2-Richtlinie verstehen

    Analysieren Sie, welche Teile Ihrer Organisation von der NIS2-Richtlinie betroffen sind und welche spezifischen Anforderungen zu erfüllen sind.

  • 2.Sicherheitsrichtlinien entwickeln

    Entwickeln Sie detaillierte Sicherheitsrichtlinien und -verfahren, die den NIS2-Standards entsprechen.

  • 3.Personal schulen

    Schulen Sie Ihr Personal regelmäßig über die neuen Sicherheitsrichtlinien, -verfahren und -bestimmungen.

  • 4Sicherheitsüberprüfungen durchführen

    Implementieren Sie ein Programm für regelmäßige Sicherheitsüberprüfungen, um die Einhaltung der Richtlinie sicherzustellen

  • 5.Audit Vorbereitung

    Stellen Sie sicher, dass alle Dokumentationen und Nachweise für Audits bereit und zugänglich sind.

  • 6.Zertifikats- und PKI-Sicherheit stärken

    Überprüfen Sie Ihre vorhandenen Zertifikats- und PKI-Sicherheitspraktiken und verbessern Sie sie gemäß den NIS2-Anforderungen.

  • 7.Managementprozesse für Zertifikate implementieren

    Etablieren Sie robuste Verfahren für das Management und die Erneuerung von Sicherheitszertifikaten.

  • 8.Kontinuierliche Überwachung

    Entwickeln Sie Mechanismen zur kontinuierlichen Überwachung und Bewertung der Sicherheitsmaßnahmen.

  • 9.Bedrohungslandschaft überwachen

    Bleiben Sie informiert über neue Bedrohungen und Entwicklungen im Bereich der Cybersicherheit und passen Sie Ihre Maßnahmen entsprechend an.

  • 10.Verbesserungspläne erstellen

    Entwickeln Sie einen detaillierten Plan für die kontinuierliche Verbesserung der Sicherheitsmaßnahmen, um auf dem neuesten Stand der Technik und Compliance zu bleiben.

Fragen zu NIS2

Folgendes sollten Sie wissen

Nicht alle Branchen werden betroffen sein, aber wer bereits KRITIS Betreiber ist, fällt auf jeden Fall in die Richtlinie. 

Wer betroffen sein wird haben wir bereits in diesem Artikel beschrieben.

Für wen gilt NIS2?
Wir gehen davon aus, dass ca. 16000 Organisationen in Deutschland, betroffen sein werden, das sind deutlich mehr als die derzeit 1800 KRITIS Betreiber
Reicht meine derzeitige Zertifizierung nach VDS10000 oder CISIS2 nicht aus?
Zertifizierungen zu einem ISMS sind immer ein guter Start. Sie werden jedoch hier deutlich mehr investieren müssen um mindestens auf ein Level von ISO27001 auf Basis von BSI IT Grundschutz zu kommen
Wie lange dauert die Umsetzung ca.?
Gehen Sie davon aus, dass sie mind. 1 Jahr Vorlauf rechnen sollten um NIS 2 konform zu werden
Warum sind plötzlich so viel mehr betroffen als bei KRITIS?
Die Einordnung erfolgt diesmal rein durch Branchenzugehörigkeit und in den meisten Fällen auf Basis von Mitarbeiteranzahl. Bei KRITIS galten spezifische Schwellwerte je nach Branche
Wo kriege ich notwendige Informationen her?
Am besten kontaktieren Sie uns und wir analysieren gemeinsam, wie Sie NIS2 konform werden können.

Unsere Dienstleistungen

Comliance Prüfung & Beratung

Unsere Experten unterstützen Sie bei der Navigation durch die Anforderungen der NIS2-Richtlinie. Wir bieten eine gründliche Compliance-Prüfung Ihrer vorhandenen Cybersicherheitsmaßnahmen an und identifizieren Bereiche, die verbessert oder angepasst werden müssen, um die EU-Standards zu erfüllen. Ferner begleiten wir Sie bei der Einführung oder dem Ausbau Ihres ISMS.

Technische Umsetzung und Support

Mit unserem technischen Team an Ihrer Seite stellen wir sicher, dass Ihr Unternehmen die notwendigen technischen Maßnahmen umsetzt, um den Anforderungen der NIS2-Richtlinie gerecht zu werden. Dies umfasst die Implementierung von Sicherheitslösungen, die Überwachung von Netzwerken und Systemen sowie die Bereitstellung kontinuierlicher Support-Dienstleistungen, um die Aufrechterhaltung der Compliance zu gewährleisten.

Schulung und Bewusstseinsbildung

Die Humanressourcen sind ein wesentlicher Aspekt der Cybersicherheit. Wir bieten Schulungen und Workshops an, um das Bewusstsein und die Kompetenzen Ihrer Mitarbeiter im Bereich der Cybersicherheit zu stärken. Unser Ziel ist es, ein Kultur der Sicherheit zu fördern, die das Risiko von Sicherheitsverletzungen minimiert und die Resilienz Ihres Unternehmens gegenüber Cyber-Bedrohungen stärkt.

Fragen? Dann kontaktieren Sie uns gerne