NIS-2: Sind Sie sicher? Jetzt bestmöglich vorbereiten!
Die Verschiebung der NIS-2-Richtlinie auf März 2025 bietet Unternehmen die Chance, ihre IT-Sicherheitsstrategie jetzt umfassend zu optimieren.
Cybersicherheit muss bei Unternehmen höchsten Stellenwert einnehmen – im eigenen Interesse, aber auch aufgrund gesetzlicher Anforderungen. Die Implementierung der neuen europäischen NIS-2-Richtlinie stellt strenge Anforderungen an die IT-/Cybersicherheit für ein breites Spektrum von Unternehmen. Ursprünglich sollte das nationale Gesetz zur Umsetzung dieser NIS-2-Richtlinie bereits HEUTE (zum 17. Oktober 2024) in Kraft treten. Doch aufgrund des andauernden politischen Abstimmungsprozesses verzögert sich der Start auf Q1/2025 (voraussichtlich März 2025). Für Sie bedeutet das: Mehr Zeit, um Ihr Unternehmen auf die umfangreichen Cybersicherheitsanforderungen vorzubereiten.
Schieben Sie also die Maßnahmenumsetzung zur Stärkung Ihrer IT-Sicherheit nicht „auf die lange Bank“, sondern nutzen Sie jetzt die Zeit, um die notwendigen Schritte geordnet zu planen und umzusetzen, bevor der Druck steigt. Unabhängig davon, ob Sie vom „NIS-2-Gesetz“ direkt, indirekt (z.B. als Lieferant Ihres betroffenen Kunden) oder gar nicht betroffen sind, ist spätestens jetzt der ideale Moment, um Ihre eigene IT-Sicherheitsstrategie zu überprüfen und gezielt zu verbessern. Die gesetzlichen Anforderungen stellen teils Selbstverständlichkeiten der IT-Sicherheit dar, die grundsätzlich jedes Unternehmen zur eigenen Sicherheit umsetzen sollte. Damit sind Sie nicht nur compliant, sondern auch langfristig sicher aufgestellt.
Was bedeutet NIS-2 für Ihr Unternehmen?
Die NIS-2-Richtlinie ist eine erweiterte Fassung der ersten Richtlinie zur Netzwerk- und Informationssicherheit in der EU. Sie zielt darauf ab, ein hohes gemeinsames IT-Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten und IT-Sicherheitsvorfälle (sowie deren Auswirkungen) zu verhindern bzw. zu minimieren. Mit der neuen Richtlinie werden die Anforderungen an die IT-Sicherheit und die Meldung von IT-Vorfällen für eine breitere Palette von Unternehmen und Sektoren verschärft.
Betroffene Organisationen sind dann gesetzlich verpflichtet, ein umfassendes IT-Risikomanagement zu betreiben. Diese beinhaltet unter anderem die Identifizierung, Bewertung und Bewältigung von Cyberrisiken und damit auch die Einführung geeigneter und angemessener technischer und organisatorischer Maßnahmen, um das Risiko von Cyber-Angriffen zu reduzieren. Durch Anpassung an neue IT-Risiken unter Berücksichtigung der sich ständig weiterentwickelnden IT-Landschaft der Cyberbedrohungen und Technologien, soll so sichergestellt werden, dass EU-Unternehmen besser gegen potenzielle Cyberangriffe gewappnet sind.
Betrifft NIS-2 auch Ihr Unternehmen?
Der Anwendungsbereich von NIS-2 ist wesentlich weiter gefasst als der, der vorherigen Gesetzgebung (und den ehemaligen KRITIS-Einrichtungen). Zum einen wird die Zahl der betroffenen Sektoren erweitert, zum anderen wurden die Größenschwellwerte ab dem ein Unternehmen von NIS-2 betroffen ist, gesenkt.
Wenn Ihr Unternehmen in einem der nachfolgenden Sektoren angesiedelt ist, sollten Sie umgehend eine detaillierte Betroffenheitsanalyse (u.a. unter Berücksichtigung der jeweiligen Schwellwerte) durchführen - kommen Sie hierzu gerne auf uns zu:
- Energie
- Transport und Verkehr
- Finanz-/Versicherungswesen
- Gesundheitswesen
- Wasser/Abwasser
- IT / TK / digitale Infrastruktur / digitale Dienste
- Ernährung / Lebensmittel
- Siedlungsabfallentsorgung / Abfallbewirtschaftung
- Chemie
- verarbeitendes Gewerbe / Herstellung (u.a. Maschinenbau, Fahrzeugbau etc.)
- Forschung
- Weltraum
Wichtig – auch die Betroffenheit durch die Lieferkette beachten!
Unternehmen, die nicht direkt unter NIS-2 fallen, können trotzdem indirekt betroffen sein, da sie das Sicherheitsniveau eines NIS-2-betroffenen Unternehmens beeinflussen können. Betroffene Unternehmen müssen also auch bei nicht-betroffenen Unternehmen in der Lieferkette sicherstellen, dass deren Prozesse und Systeme ebenfalls sicher sind, um die eigene NIS-2-Compliance nicht zu gefährden. Das heißt, Sie können auch als „Lieferant“ somit gezwungen werden, vergleichbare Anforderungen erfüllen und nachweisen zu müssen, auch wenn Sie selbst nicht betroffen sind.
Was müssen Sie tun?
Die NIS-2-Gesetzgebung schafft die Balance zwischen regulatorischen Eingriffen und der Stärkung der Cyber-Resilienz. Nachfolgendes ist zu tun, um die Anforderungen zu erfüllen:
- Betroffenheit prüfen (Analyse Sektoren, Schwellwerte, Lieferketten-Abhängigkeit)
- Verantwortung übernehmen, Verantwortlichkeiten festlegen (Cybersecurity ist Chefsache!)
- Ist-Stand der IT-Sicherheit im Unternehmen feststellen1 (Maßnahmen ableiten und einplanen)
- IT-Risikomanagement etablieren (Cyberrisiken beherrschen, Auswirkungen von Sicherheitsvorfällen vermeiden)
- Geschäftskontinuität sicherstellen (Notfallverfahren üben, resiliente Aufbauorganisation gewährleisten)
- Meldepflichten berücksichtigen (Angriffe erkennen und melden, Meldeverfahren für Sicherheitsvorfälle einrichten)
- weitere Regelungen beachten (Schulung, MFA, Verschlüsselung, Backup-/Wiederherstellungsmanagement etc.)
Von der ersten Analyse1 bis hin zur Unterstützung der Maßnahmenumsetzung2 sowie der Einführung von Security-Lösungen3 bieten wir Ihnen einen umfassenden Beratungsservice, um sicherzustellen, dass Ihr Unternehmen den neuen Anforderungen gerecht wird. Als Experten für Informationssicherheit können wir Ihr Unternehmen bei der Umsetzung von NIS-2 an die Hand nehmen.
Rufen Sie uns an oder senden Sie direkt eine Mail an Matthias Kraft.
Wir unterstützen Sie bei der Einführung von Informationssicherheitsmaßnahmen.